Útoky přes e-maily, SMS nebo telefon (phishing)

Průběžně aktualizováno (naposledy 19. 1. 2026)

Útoky s cílem získat naše citlivá data, především přístup k našim penězům, jsou už téměř každodenní součástí našich životů. Podvodníci jsou díky vysoké kvalitě technologií, přesvědčovacím schopnostem a malé pozornosti svých obětí jsou mimořádně úspěšní.

V článku najdete:

• jak podvody obvykle probíhají
• příklady phishingových útoků
• jak podvod rozpoznat, na co si dát pozor
• jak se před phishingem chránit

Vishing (voice phishing) je podvod zahájený přes telefonní hovor (falešní bankéři, falešní policisté), souvisí s ním spoofing (zneužití telefonního čísla, e-mailu, identity instituce nebo člověka). Smishing je podvod zahájený přes textovou zprávu (SMS, e-mail, Messenger, WhatsApp apod.).

Jak podvod probíhá

1. Přijde vám e-mail, SMS nebo jiná zpráva, která vypadá, že ji poslal důvěryhodný odesílatel (banka, Česká pošta nebo přepravní služba, bezpečnostní instituce apod.).
2. Text vás varuje, že vaše peníze jsou v akutním ohrožení, nebo vás informuje, že vám nějaké peníze přišly.
   Další variantou je předstírání nákupu nebo prodeje: podvodník se vydává za nakupujícího nebo prodávajícího, který s vámi chce uzavřít obchod, ale pro zaplacení/odeslání zboží po vás požaduje zadání vašich přihlašovacích údajů do internetového bankovnictví nebo údaje pro platbu kartou.
   Může mít i formu lákavé reklamy.
3. Zpráva obsahuje odkaz a vyzývá vás kliknout.
4. Odkaz vás přivede na stránku, která vypadá jako vstup do internetového bankovnictví nebo formulář pro platbu kartou, platební brána a podobně. Vytvořili ji podvodníci, aby od vás získali přístup k vašim penězům.
   Jak ověřit pravost webu?
   1. V adresním řádku před adresou webové stránky je ikona zámku 🔒. To znamená, že webová stránka je zabezpečená. Symbol přeškrtnutého zámku naopak značí nezabezpečenou stránku, na kterou nechoďte!
   2. Kliknutím na symbol zámku zobrazíte informaci, komu byl certifikát zabezpečení vydaný – například „Zabezpečené spojení, Certifikát vydán pro: Fio banka, a.s. (CZ)“.
   
5. Další variantou je, že se do vašeho zařízení nainstaluje software, který tím překoná běžné zabezpečení internetového bankovnictví.
6. Peníze z vašeho účtu zmizí. Vypadá to, že jste je převedli vy sami.

Příklady phishingových útoků

Příklady pokusu o vylákání přístupu k bankovnímu účtu oběti (výskyt od srpna 2022). Falešný název webové stránky (pravá doména je mpsv.cz), tykání, přehozená písmena v názvu odesílatele. Výzvy chodí jako SMS nebo e-mail.
Varování Ministerstva práce a sociálních věcí před falešnými doménami, které vyzývaly k podání žádosti o příspěvek na bydlení. Těchto podvodných stránek už byly zablokovány desítky.

Příklad pokusu o zaslání peněz na účet podvodníků (prosinec 2025). Podvodník se vydává za přítele a žádá o rychlé zapůjčení peněz „jen do večera“. Zprávy přichází z čísla, které máte uložené ve svých kontaktech – podvodníkům se podařilo vlomit do nedostatečně zabezpečeného skutečného účtu. Podvodníci žádosti zašlou všem kontaktům účtu. Konkrétně tento případ řešila i policie, protože někteří přátelé žádosti uvěřili a několik tisíc poslali. Jak se pokusům o podvod vyhnout? Mějte opravdu silné heslo a používejte dvoufaktorové (dvoufázové) ověřování přístupu na účty sociálních sítí. Nevěřte nikomu! Vždy se ptejte po účelu a položte i kontrolní otázku – dotaz na něco z vašeho života nebo společných zážitků, které podvodníci nemůžou vědět (příklad vidíte na konci konverzace na obrázku) nebo zavolejte na telefonní číslo „žadatele o půjčku“, které máte uložené v kontaktech (nevolejte přes WhatsApp).

„Ahoj mami, ahoj tati, spadl mi mobil“

Příklad pokusu o zaslání peněz na účet podvodníků. „Dítě“ kontaktuje svého rodiče s tvrzením, že se mu rozbil mobil a má nové číslo. Pokud oslovený zareaguje, následuje naléhavá žádost o zaslání platby s odůvodněním, že „dítě“ musí rychle něco zaplatit, ale kvůli zničenému telefonu se nedostane do bankovnictví. Peníze odchází na účet podvodníka. Text přechází z tykání do vykání, vyznívá jinak, než vaše dítě obvykle komunikuje, obsahuje logické nesmysly a naléhavě tlačí na zaslání peněz. Podrobné informace o dopadech podvodu najdete v našem samostatném článku.

„Pošli mi telefonní číslo na tebe“

Klasický a letitý podvod šířený prostřednictvím Messengeru (Facebook). Jak probíhá? Z účtu vašeho známého na Messengeru přijde zpráva s žádostí o zaslání vašeho telefonního čísla. Pokud se zeptáte na důvod, přijde vám odpověď, že dostanete dárkovou kartu a jen stačí, když do zprávy opíšete kódy, které vám přijdou do SMS. Proč jste v nebezpečí, pokud kódy žadateli pošlete? Důvody mohou být dva:

1. Kódy v SMS jsou PIN kódy k platebním transakcím (m-platba), které udělá podvodník, ale uhradíte vy svými penězi.
2. Pomocí kódu podvodníci překonají vaše dvoufaktorové ověření přístupu do účtu, změní heslo i telefonní číslo a váš účet unesou. Co se stane s uneseným účtem?
   • Podvodníci rozešlou žádost o zaslání telefonního čísla a SMS kódů všem vašim kontaktům – tím se podvod dál šíří.
   • Podvodníci zneužívají účet a fotky k dalším podvodům – vytváření falešných identit nebo vydírání.
   • Přes váš účet se dostanou i do aplikací, kde jste přihlášeni svým facebookovým účtem (hry, e-shopy, marketplace…) a můžou na vás například provádět nákupy, které opět platíte vy (dostanou se k vašim uloženým platebním údajům).
   • Často se ke svému účtu už nedostanete, přijdete tak o své vzpomínky, historii, kontakty.
3. Jako bonus získávají podvodníci vaše telefonní číslo, které můžou používat k dalším podvodům.

Jak se ochránit? Pokud vám přijde žádost o zaslání telefonního čísla, ptejte se po účelu. Zeptejte se pisatele na něco, co může vědět jen člověk, se kterým se opravdu znáte.

Útoky k získání přístupu do bankovního účtu

Příklad pokusu o vylákání přístupu k bankovnímu účtu oběti. Falešný název webové stránky, chybí oslovení, pozdrav, podpis, zpráva začíná malým písmenem, zahraniční telefonní číslo (Francie, Maďarsko).

Příklad pokusu o vylákání přístupu k bankovnímu účtu oběti. Oslovení „Ahoj“, jméno, které není vaše, ani jste ho nepoužili k založení nějakého účtu na internetu, heslo ve zprávě, bez podpisu, zahraniční telefonní číslo (Ekvádor). Poznámka: USDT je zkratka pro jednu z kryptoměn zvanou Tether. U zprávy aplikace WhatsApp nabízí možnost nahlásit odesílatele – této možnosti využijte.

Příklad pokusu o vylákání přístupu k osobním údajům oběti. Text bez diakritiky, s mezerami, bez uvedení odesílatele.

Social Network Registry Corporation: Příklad pokusu o vylákání přístupu k facebookovému účtu oběti (výskyt 2022). Falešná facebooková stránka vydávající se za administrátora fy. Meta. Facebook nekomunikuje s uživateli formou zmínek v příspěvcích, text se ve vás pokouší vyvolat paniku a obavy, nutí vás k rychlému kliknutí na nesrozumitelný odkaz.
Další informace k těmto pokusům najdete například na blogu POOH.cz nebo přímo na facebooku.

Nečekejte, že se o vás postará Facebook, nahlaste stránku a zablokujte si ji. Jak na to?

0. Nikdy neklikejte na odkaz ve zprávě!
1. Klikněte na název stránky, která vám zprávu poslala (Social Network Registry Corporation).
2. Na stránce můžete vidět, že na Facebooku nemá žádnou jinou aktivitu (1 To se mi líbí, žádná úvodní fotka, jediný příspěvek…).
3. Klikněte na 3 tečky (Nastavení) u názvu stránky.
4. Vyberte možnost Získat podporu nebo stránku nahlásit.
5. Vyberte možnost Podvody a falešné stránky.
6. Vyberte možnost Vydávání se za jinou firmu.
7. Ve vyhledávacím okně vyplňte název firmy (např. Meta). Potvrďte výběr.
8. Zablokujte si falešnou stránku (možnost blokování vám nabídne Facebook sám).
9. Nastavte si dvoufázové ověření přihlášení k facebookovému účtu.

Další zachycené pokusy o podvody přes SMS zprávy

• innogy (duben 2022) – podvodníci se pokouší vylákat údajné nedoplatky za energie
  • fiktivní vymáhání nedoplatků je rozpoznatelné podle koncovky kontaktní e-mailové adresy @outlook.cz (pravé e-maily mají koncovku @innogy.cz), číslo účtu ani kód banky neodpovídají standardním účtům innogy
  • pokud vám přijde SMS, informujte skupinu innogy na zákaznické lince 800 11 33 55. Více na webu společnosti.
• Česká spořitelna – tipy, jak nenaletět, a první pomoc pro klienty #bezpecnasporka
• „předvolání“ Policie ČR (srpen 2022) – podvodníci se pokouší přesvědčit adresáta e-mailu, že na něj mají kompromitující materiály
  • policie neposílá předvolání k soudu, nepoužívá se svých e-mailových adresách jinou koncovku než @pcr.cz, formát zákonných ustanovení se používá výhradně § 123 zákona č. 12/1234 Sb. a další
  • více informací a varianty zpráv najdete například na stránkách hoax.xz

Příklady z praxe ostravské policie a rady, na co si dát pozor