Zítra může být pozdě: falešné BankID, datovky a mikropoplatky útočí na každého

Zítra může být pozdě: falešné BankID, datovky a mikropoplatky útočí na každého

Podzim 2025 je nejdivočejší sezóna podvodů za poslední roky. Útočníci už se neschovávají jen za banku nebo kurýra. Kombinují falešné přihlášení přes BankID, Datové schránky a drobné platby, které vypadají neškodně. Celé to řídí skripty a umělá inteligence, takže texty i hlasy znějí přesvědčivě. Pokud si nejste jisti, stačí jeden unáhlený klik a škody mohou jít do desítek tisíc.

Jak vypadá podvodný scénář od první zprávy až po odčerpání peněz

Začíná to nevinně. SMS hlásí blokovaný účet, neuhrazený poplatek u dopravce nebo údajný přeplatek od energetiky. Zpráva obsahuje odkaz na stránku, která vypadá jako vaše banka nebo portál pro datovky. V adrese je drobný rozdíl, často navíc znak X, který má působit jako technická značka. Po kliknutí přijde výzva k přihlášení a ověření platby v řádu desítek korun.

Jakmile vyplníte údaje, útočníci spustí domino kroků. Vyžádají kód z SMS, přesvědčí vás telefonátem, že jde o bezpečnostní ověření, a přimějí vás potvrdit notifikaci. V další fázi vylákají údaje k platební kartě nebo vás navedou k instalaci vzdálené správy, aby mohli pracovat přímo na vašem zařízení.

Anatomie falešné přihlašovací stránky

Kopírování vzhledu je dnes dokonalé. Fonty, barvy, ikony a formuláře odpovídají originálu. Rozdíly jsou schované v detailech, které běžně přehlédnete. Útočníci například použijí subdoménu se jménem banky, ale hlavní doména jim nepatří, nebo záměrně vynechají diakritiku v textu, aby obešli filtry. Zabezpečený protokol https už sám o sobě nic negarantuje, certifikát si dnes vyrobí každý.

• Adresa: malý překlep, netypická koncovka nebo přidaný znak X
• Jazyk: směs češtiny a slovenštiny, divná interpunkce
• Formulář: žádost o údaje, které normální přihlášení nechce, například číslo karty nebo rodné číslo
• Chování: tlačí na rychlost, odpočítávání času a blikající upozornění

Proč padá dvoufaktorové ověření a co s tím

Dvoufaktor chrání, ale není neprůstřelný. Útočníci spoléhají na lidský faktor. Přes telefon se představí jako bezpečnostní oddělení a vyžádají kód, prý aby zastavili útok. Při takzvané únavě z notifikací posílají potvrzení tak dlouho, až jedno z nich bez přemýšlení schválíte. Když je k tomu ještě přimějete nainstalovat vzdálenou správu, 2FA ztrácí smysl úplně, protože útočník kliká přímo na vašem zařízení.

Lepší je používat silnější metody. Tam, kde to jde, zvolte přihlašování přes hardwarový klíč nebo biometriku v oficiální aplikaci. Nikdy nesdělujte kódy po telefonu a nespoléhejte na falešné alarmy, které vás nutí jednat do 30 sekund.

Rychlý desetisekundový test pravosti

Tři jednoduché kroky dokážou zachránit peníze i nervy. Nejsou technické a zvládne je každý. Vytvořte si z nich návyk, jako je zamknutí bytu při odchodu.

• Zadejte adresu ručně: nepoužívejte odkaz z e-mailu ani SMS
• Zastavte nátlak: hrozby a ultimáta jsou znakem podvodu, časová tíseň je jejich zbraň
• Ověřte druhým kanálem: zavolejte na číslo z oficiálního webu, ne na číslo ze zprávy

Nejčastější scénáře posledních měsíců a jak je poznáte

Falešné doručení balíku s mikropoplatkem, přeplatek za energie, výzva k aktualizaci datovky, údajná blokace bankovního účtu, vrácení DPH a naléhavý převod ve firmě. Všechno má společnou dramaturgii. Podvodník vytvoří problém, nabídne rychlé řešení a přiměje vás potvrdit akci, která je ve skutečnosti schválením transakce nebo přidáním nového zařízení.

Zvlášť nebezpečné jsou telefonáty, kde zní důvěryhodný hlas generovaný AI. Operátor zná vaše jméno a některé detaily, které sebrali z dřívějších úniků. Cílem je vyvolat pocit, že už je pozdě, a jediná záchrana je potvrzení kroku, který vám právě diktují.

Co dělat v první hodině, když jste klikli nebo zadali údaje

Okamžitě kontaktujte banku přes oficiální číslo a požádejte o blokaci přístupů, karty i podezřelých plateb. Změňte hesla k bance, e-mailu a dalším službám. Pokud jste poskytli přihlašovací údaje k BankID nebo k datovkám, proveďte jejich zneplatnění a nastavení nových prostředků. Vypněte a odinstalujte všechny vzdálené nástroje, které jste nainstalovali na pokyn údajného technika.

Zaznamenejte si čas, adresu stránky, telefonní čísla a obsah zpráv. Udělejte snímky obrazovky, ať máte důkazy. Nahlaste incident bance a policii. Čím dřív, tím větší šance na zastavení převodů a dohledání pachatelů.

Obnova a prevence pro příště

Přepněte na silnější ověřování tam, kde to jde. V bankovní aplikaci nastavte limity pro odchozí platby, upozornění na každou transakci a povinné potvrzení pomocí biometriky. V e-mailu zapněte dvoufaktor a vytvořte jedinečné heslo, které nikde jinde nepoužíváte. Zálohujte telefonní číslo pro obnovu účtů a přidejte alternativní kontakt.

V prohlížeči si uložte záložky na oficiální weby banky, BankID a datovek a používejte výhradně ty. Odeberte z telefonu všechny aplikace, které neznáte nebo které vyžadují zbytečná oprávnění. Udržujte systém a prohlížeč aktuální, protože staré verze mohou mít chyby, které útočníci zneužívají.

Firemní rizika: falešné faktury, změna účtu a BEC útoky

Firmy jsou pro útočníky lákavé, protože jediná chyba znamená velké částky. Častým trikem je změna čísla účtu na faktuře. Podvodníci se vetřou do e-mailové komunikace a upraví platební údaje. Druhým hitem je sociální inženýrství, kdy se někdo vydává za vedení a naléhavě žádá okamžitý převod s tím, že jde o důvěrnou akvizici.

Zaveďte pravidlo dvou osob pro schvalování plateb, ověřování změny účtu telefonem na známý kontakt a pravidelné čtení výpisů. V účetním systému nastavte whitelisting bankovních účtů a notifikace na změny. Pracovníkům vysvětlete, že nátlak a tajné úkoly jsou varovný signál, nikoliv důkaz důležitosti.

Jak to vysvětlit rodičům a dětem během tří minut

Domluvte si rodinné pravidlo. Nikdo nesděluje kódy z SMS po telefonu. Nikdo neinstaluje vzdálenou správu na žádost neznámého technika. Nikdo neplatí mikropoplatky přes odkaz ze zprávy. Když přijde výzva k přihlášení, adresa se zadává ručně. Když si nejsme jisti, voláme si navzájem a probereme to dřív, než klikneme.

Dětem ukažte jednoduchý test. Pokud je v adrese písmeno navíc, třeba X, nebo chybí háčky a čárky, stránka je podezřelá. Naučte je používat záložky na důležité služby a neinstalovat nic mimo oficiální obchod.

Mýty a časté omyly, které nahrávají útočníkům

Mýtus první: když je u adresy zámek, je to bezpečné. Realita je jiná, certifikát dnes neznamená důvěryhodnost. Mýtus druhý: útočníci jdou jen po seniorech. Ve skutečnosti cílí na kohokoliv, kdo zrovna spěchá. Mýtus třetí: banka vás vždy ochrání. Banky pomohou, ale odpovědnost za potvrzení platby nese klient.

Nebezpečný omyl je také pocit, že se vás to netýká. Útočníci nerozlišují, střílejí široce a používají vábení, které se trefí skoro na každého. Jeden den je to balík, druhý den přeplatek a třetí den bezpečnostní kontrola. Všechny cesty vedou k přihlášení nebo kódu, který jim sami potvrdíte.

Mini checklist pro domácnost

• Používejte záložky na banku, BankID a datovky
• Zapněte notifikace na každou platbu a nastavte limity
• Mějte jedinečná hesla a dvoufaktor mimo SMS, kde to jde
• Neinstalujte vzdálenou správu na základě telefonátu
• Vytvořte rodinné pravidlo: před kliknutím si zavolat

Kdy kontaktovat banku, policii a co si připravit

Jakmile jste vyplnili údaje, potvrdili kód nebo provedli platbu, jednejte okamžitě. Banka může zastavit převody a dočasně zablokovat přístupy. Policie potřebuje výpis komunikace, telefonní čísla, adresy webů a snímky obrazovky. Čím přesnější informace, tím vyšší šance na prošetření a možnou refundaci.

Nebojte se situaci nahlásit ani v případě, že peníze zatím nezmizely. Často jde o koordinované kampaně a každé hlášení pomáhá chránit další oběti. V bance si nastavte dočasné limity a sledujte účet několik dní, protože útok se může vrátit ve chvíli, kdy polevíte v ostražitosti.

Jak si hlídat digitální stopy a předcházet únikům dat

Používejte správce hesel, který vám vygeneruje dlouhé a náhodné kombinace. Zkontrolujte, zda se vaše staré e-maily neobjevily v dřívějších únicích a kde to jde, změňte přístupové údaje. Vypněte automatické přeposílání pošty a nastavte upozornění na přihlášení z nových zařízení. V bankovní aplikaci pravidelně projděte seznam připojených zařízení a zrušte ta, která neznáte.

Uložte si do telefonu nouzové kontakty na banku a na rodinu tak, aby byly po ruce. Připravte si jednoduchý plán, co uděláte při podezření na podvod. Když máte jasný postup, méně podlehnete nátlaku a panice.

Shrnutí: pomalý klik je nejlevnější pojištění

Útočníci sázejí na rychlost, strach a pocit, že jde o maličkost typu ověření za pár korun. Když zpomalíte, zkontrolujete adresu a ověříte informaci jiným kanálem, většina podvodů ztratí sílu. Vytvořte si návyk zadávat adresy ručně, nesdělovat kódy a nepovolovat vzdálené ovládání. Jediný pomalý klik umí ušetřit spoustu peněz i nervů.