Každý den dostanou Češi miliony podvodných e-mailů. Některé jsou tak přesvědčivé, že na ně naletí i zkušení uživatelé. Phishing – podvod, kdy se útočník vydává za důvěryhodnou instituci a láká z vás přihlašovací údaje nebo peníze – je nejčastější kybernetický útok v Česku.

V tomto článku si ukážeme, jak phishing funguje, jak vypadají reálné české podvody a jak se před nimi chránit. Žádná teorie – konkrétní příklady a pravidla, která si zapamatujete.

Jak phishing funguje

Princip je jednoduchý: útočník vám pošle e-mail (nebo SMS), který vypadá jako od banky, pošty, operátora nebo úřadu. V e-mailu je odkaz na falešnou webovou stránku, která vypadá přesně jako skutečná. Když tam zadáte své přihlašovací údaje, útočník je získá a může s nimi nakládat – přihlásit se do vašeho bankovnictví, e-mailu nebo datové schránky.

5 nejčastějších českých podvodů

1. Falešná banka

Přijde vám e-mail s předmětem typu „Důležité: Vaše konto bylo zablokováno" nebo „Potvrzení platby 15 890 Kč". Odesílatel vypadá jako Česká spořitelna, ČSOB nebo Komerční banka. V e-mailu je odkaz „Přihlaste se a ověřte transakci".

Jak to poznat:

  • Banka vám nikdy nepošle e-mail s odkazem na přihlášení
  • Podívejte se na e-mailovou adresu odesílatele – místo @csob.cz bude něco jako @csob-overeni.xyz nebo @csobbank.info
  • Odkaz nevede na oficiální web banky – najeďte myší (neklikejte!) a podívejte se, kam odkaz směřuje

2. Falešná zásilka

„Vaše zásilka čeká na vyzvednutí. Zaplaťte celní poplatek 49 Kč." Tvrdí, že je to od České pošty, DPD, Zásilkovny nebo PPL. Cílem je získat údaje o platební kartě.

Jak to poznat:

  • Pokud nic neočekáváte, je to podvod
  • Česká pošta neposílá e-maily s žádostí o platbu celního poplatku přes podezřelé odkazy
  • Částka je vždy malá (29–99 Kč), aby vám nepřišlo divné ji zaplatit

3. Falešné vyúčtování energií

E-mail od „ČEZu" nebo „innogy" s přeplatkem nebo nedoplatkem. Odkaz na „zobrazení faktury" vede na falešnou stránku.

Jak to poznat:

  • Energetické společnosti posílají vyúčtování poštou nebo do ověřeného zákaznického portálu – ne e-mailem s odkazem
  • Ověřte si to: přihlaste se do zákaznického portálu přímo (ne přes odkaz v e-mailu) a podívejte se, jestli tam vyúčtování skutečně je

4. Falešný úřad

Zpráva, která vypadá jako od finančního úřadu, ČSSZ nebo policie. „Máte nedoplatek na dani" nebo „Byly zjištěny nesrovnalosti". Cílem je vyvolat strach a donutit vás kliknout.

Jak to poznat:

  • Úřady komunikují přes datovou schránku, ne přes běžný e-mail
  • Pokud máte datovou schránku, úřad vám musí poslat zprávu tam – e-mail nemá právní váhu
  • V případě pochybností zavolejte přímo na úřad (číslo najděte na webu úřadu, ne v e-mailu)

5. Falešná výhra nebo dědictví

„Vyhráli jste iPhone 15!" nebo „Zdědili jste 2 miliony eur od vzdáleného příbuzného z Nigérie." Tyhle podvody jsou starší než internet, ale stále fungují – hlavně na méně zkušené uživatele.

Jak to poznat:

  • Pokud jste se do soutěže nepřihlásili, nemůžete vyhrát
  • Nikdo vám nedá peníze jen tak – vždy je to podvod

Univerzální kontrolní seznam pro podezřelý e-mail

Než na cokoliv kliknete, projděte si těchto 6 otázek:

  1. Čekám tento e-mail? – Pokud ne, buďte obezřetní.
  2. Kdo je odesílatel? – Zkontrolujte e-mailovou adresu, ne jen zobrazované jméno. Podvodníci píšou „Česká spořitelna" jako jméno, ale adresa je @random-domain.com.
  3. Obsahuje e-mail naléhavý tón? – „Ihned", „Do 24 hodin", „Vaše konto bude zablokováno" – to jsou typické phishingové fráze. Úřady a banky takhle nekomunikují.
  4. Jsou v textu chyby? – Překlepy, divné formulace, špatná čeština. Profesionální instituce si dávají na textech záležet.
  5. Kam vede odkaz? – Najeďte myší na odkaz (neklikejte!) a podívejte se na adresu v dolní liště prohlížeče. Vede na oficiální doménu?
  6. Žádá e-mail o osobní údaje? – Heslo, číslo karty, rodné číslo. Legitimní instituce tyhle věci přes e-mail nepožadují.

Co dělat, když na phishing naletíte

Stane se. Důležité je jednat rychle:

  1. Změňte heslo – okamžitě na službě, kde jste údaje zadali. Pokud používáte stejné heslo jinde, změňte ho všude.
  2. Kontaktujte banku – pokud jste zadali údaje o platební kartě, zavolejte na klientskou linku banky a nechte kartu zablokovat.
  3. Nahlaste incident – Policie ČR přijímá hlášení na policie.cz. Můžete využít i NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost).
  4. Informujte okolí – pokud podvod přišel e-mailem, který vypadal věrohodně, řekněte o tom kolegům a rodině. Možná ho dostali taky.

Jak se chránit preventivně

  • Dvoufaktorové ověření (2FA) – zapněte ho všude, kde to jde (banka, e-mail, sociální sítě). I kdyby útočník získal vaše heslo, bez druhého faktoru se nepřihlásí.
  • Silná a unikátní hesla – pro každou službu jiné heslo. Používejte správce hesel (např. Bitwarden – ten je bez poplatků).
  • Aktualizujte software – operační systém, prohlížeč, antivirus. Aktualizace opravují bezpečnostní díry.
  • Neotevírejte přílohy od neznámých – přílohy mohou obsahovat škodlivý software.
  • Ověřujte jiným kanálem – pokud vám „banka" napíše e-mail, zavolejte na oficiální linku a zeptejte se.

Phishing cílí hlavně na méně zkušené uživatele

Podvodníci to vědí: nejzranitelnější jsou lidé, kteří nemají zkušenosti s internetem. Senioři, lidé vracející se na trh práce, začínající podnikatelé. Proto je digitální gramotnost tak důležitá – není to luxus, ale nutná ochrana.

V našem kurzu digitální gramotnosti věnujeme kyberbezpečnosti celé 4 hodiny. Účastníci si na reálných příkladech procvičí rozpoznávání podvodů – e-mailů i SMS. Kurz je plně hrazený z Úřadu práce a po absolvování získáte osvědčení akreditované MŠMT. Domluvte si nezávazný hovor a zjistěte, jak kurz zorganizovat pro vaši obec nebo zaměstnance.