Přeskočit na obsah
OwlGuardScore

Podvodné SMS (smishing) — od pošty, banky, ČEZ

SMS, která se tváří jako od důvěryhodné firmy a chce, abys klikl na odkaz.

Co to je

Smishing (SMS + phishing) je SMS od „balíkové služby", „banky", „ČEZ", „Finančního úřadu" — typicky s časovým tlakem („balíček čeká na proclení 24h", „platba byla zablokována"). Odkaz vede na podvrženou stránku, která sbírá tvé přihlašovací údaje, údaje o platební kartě, nebo instaluje malware.

Proč to záleží

V ČR je smishing top útok 2024-2026 — denně přichází tisíce zpráv. Pravidlo zní: nikdy neklikej na odkaz v SMS od firmy. Když máš pochyb, otevři aplikaci té služby ručně (Česká pošta, Air Bank, ČSOB…) a zkontroluj tam stav. Česká pošta ani Zásilkovna ti SMS s odkazem na zaplacení cla neposílá — celní poplatky se hradí jinak.

Jak útok funguje

Smishing flow je téměř identický s phishingem, ale kanálem je SMS:

  1. Zpráva s urgency — typické šablony v ČR 2024-2026:
    • "Česká pošta: Vaše zásilka čeká na proclení 49 Kč. Zaplaťte do 24h: bit.ly/cp-celni"
    • "Air Bank: Detekována podezřelá platba 12 450 Kč. Pokud nepoznáváte, klikněte: airbank-secure.com/blokace"
    • "ČEZ: Nedoplatek 1 280 Kč. Zaplatit přes: cez-platba.tk"
    • "DPD: Doručení odloženo. Změňte datum: dpd-delivery.com"
  2. Krátká URL nebo subdoménabit.ly/..., tinyurl.com/..., nebo cizí doména obsahující jméno firmy (ceska-posta-celni.com). Krátké URL útočník volí kvůli SMS limitu (160 znaků) a zakrytí cílové domény.
  3. Klikneš — landing page je vizuálně 1:1 originál. Logo ČP/banky/operátora, font, layout. Žádá tě platit cla, ověřit účet, zaplatit nedoplatek.
  4. Vyplníš platební údaje — útočník je zachytí. Někdy zachytí i 3DS SMS kód, který právě dorazil. Karta je do hodiny zneužitá.

Specifické české vlny 2024-2026:

  • "Celní zásilka" — dominantní. Hraje na lidi, kteří objednávají z Číny / Temu / AliExpress.
  • "Banka — podezřelá platba" — cílí na zmatek a tlak. Vlnami v týdnech, vždy nová doména.
  • "Daňový bonus" / "Vrácení daně" — sezonní (jaro = daňové přiznání).
  • "Nedoplatek za elektřinu/plyn" — typicky podzim/zima, hraje na obavy z odpojení.
  • "Heureka / Alza vrácení peněz" — útočník tě naladí "máš peníze čekající na vrácení, vyplň údaje karty pro připsání" → karta je zneužitá.

Eskalace přes Android malware:

Pokročilejší smishing posílá link na "FedEx tracking" aplikaci (.apk soubor). Když ji nainstaluješ (Android dovolí, iOS ne), získá útočník plný přístup k SMS — krade kódy z banky, krade 2FA SMS. Tomuto se říká banking trojan (FluBot, BRATA, atd.). Pokud máš Android, NIKDY neinstaluj aplikaci z linku v SMS.

Jak se chránit

Pravidlo č. 1: Banky, pošty, dodavatelé energií, daně — ti ti NIKDY neposílají odkazy v SMS.

Veškerá komunikace probíhá: (a) v jejich aplikaci, (b) na jejich webu po manuálním otevření, (c) poštou. SMS jsou pro krátké notifikace ("transakce dokončena") — nikdy pro akci na odkazu.

Když zpráva přijde:

  1. Neklikat. Žádné výjimky.
  2. Otevřít aplikaci (banka, Česká pošta, ČEZ, Heureka) ručně — nikdy z odkazu. Zkontrolovat status zásilky / transakce / nedoplatku tam.
  3. Pokud je opravdu nedoplatek, aplikace ho ukáže. Pokud ne, byl to podvod.
  4. Smazat zprávu, blokovat číslo (volitelné — útočníci čísla mění).

Pokud jsi klikl:

  • Když jsi nic nevyplnil → zavři kartu, vyčisti cache prohlížeče. Malware se z čistého kliknutí nezašlo (kromě Android .apk).
  • Když jsi vyplnil platební údaje → IHNED zavolat banku (kontakt na kartě), zablokovat kartu. Banky to zvládají 24/7.
  • Když jsi vyplnil bankovní login a 3DS kód → banka okamžitě + změnit heslo. Pokud útočník stihl převod, máš ~hodinu na storno.
  • Android malware nainstalován (.apk) → faktory reset zařízení + změnit hesla na všech bankovních a důležitých účtech z jiného zařízení.

Nahlášení:

  • Operátor — T-Mobile, O2, Vodafone mají reportovací čísla. 7726 funguje univerzálně v ČR pro nahlášení spam SMS (kopie zprávy + číslo odesílatele). Operátoři tak útočníky filtrují.
  • Banka — pokud zpráva napodobuje konkrétní banku, banka má speciální mailovou adresu (csas: phishing@csas.cz, ČSOB: bezpecnost@csob.cz, atd.). Banky pak zablokují podvodné domény.
  • Policie ČR / NÚKIB — pokud došlo ke škodě.

Preventivní opatření:

  • Banking aplikace s biometrií — bez ní 3DS přes SMS by se neovládl.
  • Spamový filtr v telefonu — iOS má "Filter Unknown Senders" v Nastavení → Zprávy. Android: spam protection v Messages by Google.
  • Nikdy nesdílej telefon na sociálních sítích veřejně — útočníci sbírají čísla z public profilů.
  • Pro krytí důležitých registrací zvážit eSIM s dedikovaným číslem (operátorovo "virtual number") jen pro citlivá ID.

Časté mýty

  • Mýtus"Když přijde SMS od České pošty, je to asi pravda — odkaz je z bit.ly, ale to bývá."

    RealitaČeská pošta nikdy nepošle SMS s odkazem na zaplacení cla nebo přebal. Pravá komunikace: notifikace o uložení zásilky v aplikaci ČP, klasická SMS s avizem (bez odkazu, jen číslem zásilky). Cla se hradí jinak — buď automaticky kurýrem nebo přes oficiální app. Pokud SMS obsahuje odkaz s naléhavou platbou, je to vždy podvod.

  • Mýtus"iPhone mě před tím ochrání, malware tam neexistuje."

    RealitaiPhone tě chrání před INSTALACÍ malwaru (kromě sideloadingu, který většina uživatelů neumí spustit). Ale NEchrání tě před vyplněním údajů karty / banky na podvržené webové stránce. Smishing v iPhone funguje stejně dobře jako na Androidu — landing page je v Safari, vyplníš ji ručně. Hlavní obrana je behaviorální, ne technická.

  • Mýtus"Když smažu zprávu, problém zmizel."

    RealitaSmazání zprávy řeší jen viditelnost. Když jsi klikl, dialog byl spuštěn na cizí stránce — to smazání zprávy neovlivní. Pokud jsi vyplnil cokoli citlivého, zpráva v inboxu nesouvisí s vyšetřováním. Naopak: kopii zprávy si **uschovej** (screenshot) pro nahlášení operátorovi / bance / Policii.

Quick checklist

Standardní rutina (vždy):

  • SMS od firmy s odkazem? Neklikat.
  • Otevřít oficiální aplikaci té služby ručně, zkontrolovat status tam.
  • Pokud realný problém — vyřešit přes oficiální kanály.

Nastavení (jednou):

  • Spam filter v iOS / Android Messages zapnutý.
  • Banking aplikace s biometrií, banking přes web vypnutý.
  • Android: zákaz instalace z neznámých zdrojů (Nastavení → Zabezpečení).
  • Číslo nezveřejňovat veřejně na sociálních sítích.

Když jsi klikl a vyplnil údaje:

  • Karta vyplněna → IHNED zavolat banku (číslo na kartě, 24/7).
  • Banking login vyplněn → IHNED změnit heslo z jiného zařízení + zavolat banku.
  • Android malware (.apk) → faktory reset + změna hesel.
  • Screenshot zprávy pro nahlášení.

Nahlásit (i když nic nevyplnil):

  • Operátor 7726 — přeposlat zprávu + číslo odesílatele.
  • Banka (pokud jméno banky bylo zneužito).
  • Policie ČR (974 887 555 — pokud došlo k finanční škodě).

Podobná témata

Souvisí s kategoriemi v testu: Rozpoznání podvodných zpráv, Falešné zprávy v messengerech

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.