Podvodné SMS (smishing) — od pošty, banky, ČEZ
SMS, která se tváří jako od důvěryhodné firmy a chce, abys klikl na odkaz.
Co to je
Smishing (SMS + phishing) je SMS od „balíkové služby", „banky", „ČEZ", „Finančního úřadu" — typicky s časovým tlakem („balíček čeká na proclení 24h", „platba byla zablokována"). Odkaz vede na podvrženou stránku, která sbírá tvé přihlašovací údaje, údaje o platební kartě, nebo instaluje malware.
Proč to záleží
V ČR je smishing top útok 2024-2026 — denně přichází tisíce zpráv. Pravidlo zní: nikdy neklikej na odkaz v SMS od firmy. Když máš pochyb, otevři aplikaci té služby ručně (Česká pošta, Air Bank, ČSOB…) a zkontroluj tam stav. Česká pošta ani Zásilkovna ti SMS s odkazem na zaplacení cla neposílá — celní poplatky se hradí jinak.
Jak útok funguje
Smishing flow je téměř identický s phishingem, ale kanálem je SMS:
- Zpráva s urgency — typické šablony v ČR 2024-2026:
- "Česká pošta: Vaše zásilka čeká na proclení 49 Kč. Zaplaťte do 24h: bit.ly/cp-celni"
- "Air Bank: Detekována podezřelá platba 12 450 Kč. Pokud nepoznáváte, klikněte: airbank-secure.com/blokace"
- "ČEZ: Nedoplatek 1 280 Kč. Zaplatit přes: cez-platba.tk"
- "DPD: Doručení odloženo. Změňte datum: dpd-delivery.com"
- Krátká URL nebo subdoména —
bit.ly/...,tinyurl.com/..., nebo cizí doména obsahující jméno firmy (ceska-posta-celni.com). Krátké URL útočník volí kvůli SMS limitu (160 znaků) a zakrytí cílové domény. - Klikneš — landing page je vizuálně 1:1 originál. Logo ČP/banky/operátora, font, layout. Žádá tě platit cla, ověřit účet, zaplatit nedoplatek.
- Vyplníš platební údaje — útočník je zachytí. Někdy zachytí i 3DS SMS kód, který právě dorazil. Karta je do hodiny zneužitá.
Specifické české vlny 2024-2026:
- "Celní zásilka" — dominantní. Hraje na lidi, kteří objednávají z Číny / Temu / AliExpress.
- "Banka — podezřelá platba" — cílí na zmatek a tlak. Vlnami v týdnech, vždy nová doména.
- "Daňový bonus" / "Vrácení daně" — sezonní (jaro = daňové přiznání).
- "Nedoplatek za elektřinu/plyn" — typicky podzim/zima, hraje na obavy z odpojení.
- "Heureka / Alza vrácení peněz" — útočník tě naladí "máš peníze čekající na vrácení, vyplň údaje karty pro připsání" → karta je zneužitá.
Eskalace přes Android malware:
Pokročilejší smishing posílá link na "FedEx tracking" aplikaci (.apk soubor). Když ji nainstaluješ (Android dovolí, iOS ne), získá útočník plný přístup k SMS — krade kódy z banky, krade 2FA SMS. Tomuto se říká banking trojan (FluBot, BRATA, atd.). Pokud máš Android, NIKDY neinstaluj aplikaci z linku v SMS.
Jak se chránit
Pravidlo č. 1: Banky, pošty, dodavatelé energií, daně — ti ti NIKDY neposílají odkazy v SMS.
Veškerá komunikace probíhá: (a) v jejich aplikaci, (b) na jejich webu po manuálním otevření, (c) poštou. SMS jsou pro krátké notifikace ("transakce dokončena") — nikdy pro akci na odkazu.
Když zpráva přijde:
- Neklikat. Žádné výjimky.
- Otevřít aplikaci (banka, Česká pošta, ČEZ, Heureka) ručně — nikdy z odkazu. Zkontrolovat status zásilky / transakce / nedoplatku tam.
- Pokud je opravdu nedoplatek, aplikace ho ukáže. Pokud ne, byl to podvod.
- Smazat zprávu, blokovat číslo (volitelné — útočníci čísla mění).
Pokud jsi klikl:
- Když jsi nic nevyplnil → zavři kartu, vyčisti cache prohlížeče. Malware se z čistého kliknutí nezašlo (kromě Android .apk).
- Když jsi vyplnil platební údaje → IHNED zavolat banku (kontakt na kartě), zablokovat kartu. Banky to zvládají 24/7.
- Když jsi vyplnil bankovní login a 3DS kód → banka okamžitě + změnit heslo. Pokud útočník stihl převod, máš ~hodinu na storno.
- Android malware nainstalován (.apk) → faktory reset zařízení + změnit hesla na všech bankovních a důležitých účtech z jiného zařízení.
Nahlášení:
- Operátor — T-Mobile, O2, Vodafone mají reportovací čísla. 7726 funguje univerzálně v ČR pro nahlášení spam SMS (kopie zprávy + číslo odesílatele). Operátoři tak útočníky filtrují.
- Banka — pokud zpráva napodobuje konkrétní banku, banka má speciální mailovou adresu (csas:
phishing@csas.cz, ČSOB:bezpecnost@csob.cz, atd.). Banky pak zablokují podvodné domény. - Policie ČR / NÚKIB — pokud došlo ke škodě.
Preventivní opatření:
- Banking aplikace s biometrií — bez ní 3DS přes SMS by se neovládl.
- Spamový filtr v telefonu — iOS má "Filter Unknown Senders" v Nastavení → Zprávy. Android: spam protection v Messages by Google.
- Nikdy nesdílej telefon na sociálních sítích veřejně — útočníci sbírají čísla z public profilů.
- Pro krytí důležitých registrací zvážit eSIM s dedikovaným číslem (operátorovo "virtual number") jen pro citlivá ID.
Časté mýty
Mýtus"Když přijde SMS od České pošty, je to asi pravda — odkaz je z bit.ly, ale to bývá."
RealitaČeská pošta nikdy nepošle SMS s odkazem na zaplacení cla nebo přebal. Pravá komunikace: notifikace o uložení zásilky v aplikaci ČP, klasická SMS s avizem (bez odkazu, jen číslem zásilky). Cla se hradí jinak — buď automaticky kurýrem nebo přes oficiální app. Pokud SMS obsahuje odkaz s naléhavou platbou, je to vždy podvod.
Mýtus"iPhone mě před tím ochrání, malware tam neexistuje."
RealitaiPhone tě chrání před INSTALACÍ malwaru (kromě sideloadingu, který většina uživatelů neumí spustit). Ale NEchrání tě před vyplněním údajů karty / banky na podvržené webové stránce. Smishing v iPhone funguje stejně dobře jako na Androidu — landing page je v Safari, vyplníš ji ručně. Hlavní obrana je behaviorální, ne technická.
Mýtus"Když smažu zprávu, problém zmizel."
RealitaSmazání zprávy řeší jen viditelnost. Když jsi klikl, dialog byl spuštěn na cizí stránce — to smazání zprávy neovlivní. Pokud jsi vyplnil cokoli citlivého, zpráva v inboxu nesouvisí s vyšetřováním. Naopak: kopii zprávy si **uschovej** (screenshot) pro nahlášení operátorovi / bance / Policii.
Quick checklist
Standardní rutina (vždy):
- SMS od firmy s odkazem? Neklikat.
- Otevřít oficiální aplikaci té služby ručně, zkontrolovat status tam.
- Pokud realný problém — vyřešit přes oficiální kanály.
Nastavení (jednou):
- Spam filter v iOS / Android Messages zapnutý.
- Banking aplikace s biometrií, banking přes web vypnutý.
- Android: zákaz instalace z neznámých zdrojů (Nastavení → Zabezpečení).
- Číslo nezveřejňovat veřejně na sociálních sítích.
Když jsi klikl a vyplnil údaje:
- Karta vyplněna → IHNED zavolat banku (číslo na kartě, 24/7).
- Banking login vyplněn → IHNED změnit heslo z jiného zařízení + zavolat banku.
- Android malware (.apk) → faktory reset + změna hesel.
- Screenshot zprávy pro nahlášení.
Nahlásit (i když nic nevyplnil):
- Operátor 7726 — přeposlat zprávu + číslo odesílatele.
- Banka (pokud jméno banky bylo zneužito).
- Policie ČR (974 887 555 — pokud došlo k finanční škodě).
Podobná témata
Souvisí s kategoriemi v testu: Rozpoznání podvodných zpráv, Falešné zprávy v messengerech
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.