Bankovní phishing je v Česku nejdražší typ podvodu — průměrná škoda přesahuje 80 000 Kč (Policie ČR, 2025). Útočníci se vydávají za ČSOB, Komerční banku, Air Bank, Českou spořitelnu, Raiffeisen i mBank a snaží se získat tvé přihlašovací údaje, číslo karty nebo SMS kódy z 3D Secure.
Tři hlavní kanály útoku
- E-mail s falešnou žádostí o ověření účtu— typicky „Z bezpečnostních důvodů jsme zablokovali váš účet, prosím přihlaste se zde“.
- SMS o podezřelé transakci— „Detekovali jsme platbu 12 800 Kč v zahraničí. Pokud jste to nebyli vy, zrušte zde: ...“.
- Telefonát od „bezpečnostního oddělení banky“(vishing) — útočník zná tvé jméno, vystrašuje s „právě probíhajícím útokem“ a navádí k převodu peněz na „bezpečný účet“.
Konkrétní ukázky a charakteristické fráze
ČSOB
Vážený kliente, z důvodu podezřelé aktivity jsme dočasně zablokovali Vaši kartu. Pro odblokování klikněte: csob-overeni.cz/login. Neodpovídejte na tuto SMS.Skutečné domény ČSOB: csob.cz, csobonline.cz. Vše ostatní (csob-overeni.cz, csob-bezpecnost.com, cs-csob.cz) je podvod.
Komerční banka
Vaše karta byla použita pro platbu 8 945 Kč v zahraničí. Pokud transakce není vaše, zamítněte ji zde:kb-secure.com/stornoSkutečné domény KB: kb.cz, mojebanka.cz. Žádné z nich nemá podtržítko.
Air Bank
Air Bank: Aktualizujte si bezpečnostní certifikát, jinak Vám bude zablokováno bankovnictví.airbank-update.czSkutečné domény: airbank.cz, ib.airbank.cz. „Update“ certifikátu se nikdy nedělá přes SMS odkaz.
Jaký je vzorec phishingu
Bez ohledu na konkrétní banku jde vždy o stejný psychologický trik:
- Vyvolat strach — „Váš účet je zablokovaný / proběhla podezřelá transakce“.
- Vytvořit časový tlak — „Pokud nejednáte do 24 hodin, peníze budou převedeny“.
- Ukázat „jednoduché řešení“ — odkaz, který jen vypadá důvěryhodně.
- Sebrat přihlašovací údaje + 3D Secure SMS — útočník v pozadí spustí převod a tobě pošle SMS, abys ji „potvrdil pro ochranu“.
Sedm bodů kontroly za 5 sekund
- Doména se shoduje s oficiální? (ČSOB =
csob.cz, KB =kb.cz, Air Bank =airbank.cz, Česká spořitelna =csas.cz) - Je v doméně pomlčka, podtržítko nebo nezvyklá koncovka? Pokud ano, je to podvod (
csob-secure.com). - Oslovuje tě obecně („Vážený kliente“) místo jménem? Skutečná banka tě obvykle osloví jménem.
- Tlačí na čas? Útočníci ano, banky ne.
- Žádá tě o přihlašovací údaje, kód z karty nebo SMS kód? Banka tě o to nikdy neptá — tyto informace ti slouží jen k autorizaci, neposíláš je nikomu.
- SMS přišla z běžného čísla? Skutečné banky posílají SMS ze zkrácených jmen („CSOB“, „KB“, „AIRBANK“).
- Je tam diakritika a správná čeština? Útočníci často chybují — „ucet“, „zaplatte“, „Vas“.
Co dělat, když jsi přihlašovací údaje zadal(a)
- Okamžitě se přihlas do bankovnictví ze zařízení, které jsi nepoužil pro klik na odkaz (jiný telefon / počítač) a změň heslo.
- Zablokuj kartu v aplikaci nebo na infolince banky.
- Sleduj transakce — pokud něco proběhlo, ihned to nahlas bance jako neautorizovanou transakci.
- Banka má 30 dní na rozhodnutí o vrácení podle zákona č. 370/2017 Sb. Doloží ti, že jsi nejednal(a) hrubě nedbale.
- Nahlaš na Policii ČR přes policie.cz nebo 158.
Pozor na vishing — telefonický podvod
Telefonát od „bezpečnostního oddělení banky“ je nejnebezpečnější forma, protože je interaktivní — útočník reaguje na tvé pochybnosti. Zlatá pravidla:
- Banka tě nikdy nezavolá s žádostí o převod peněz na „bezpečný účet“.
- Banka po telefonu nikdy nežádá kód z autorizační SMS ani heslo do bankovnictví.
- Když máš pochybnost, zavěs a sám zavolej na číslo z webu banky (ne na číslo, které ti dal volající).
Praktická obrana
- Zapni si notifikace o transakcích v aplikaci banky — uvidíš každou platbu okamžitě.
- Nastav si nízký limit pro internetové platby, který jednoduše navýšíš v aplikaci, když to potřebuješ.
- Pro online nákupy používej virtuální kartu (Revolut, Air Bank, ČSOB) — když ji ukradnou, nepřijdeš o hlavní účet.
- Pokud máš pochybnost, pošli zprávu k ověření — vlož text na NeKlikni.cz a do 3 sekund víš.