Smishing (SMS phishing) je v Česku každodenní realita. Operátoři reportují řádově desítky tisíc podvodných SMS denně. Tady je 7 typů, které právě teď kolují, s reálnými ukázkami a obranou.
1. Falešná Česká pošta
Nejčastější. Tvrdí, že nelze doručit balík kvůli „poplatku“. Detaily v samostatném článku:Falešná Česká pošta.
Ceska posta: Vas balik nelze dorucit kvuli chybejicimu poplatku 29 Kc. Zaplatte zde: ceska-posta-doruceni.com/platba
2. Bankovní phishing
Vystrašení „podezřelou transakcí“ nebo „zablokovaným účtem“. Konkrétně pro ČSOB, KB, Air Bank atd. viz Bankovní phishing v Česku.
Vážený kliente, Vaše karta byla zablokována z důvodu podezřelé aktivity. Pro odblokování klikněte: csob-overeni.cz/login
3. Nedoplatek na zdravotním pojištění / dani
Útočníci se vydávají za VZP, OSSZ nebo Finanční úřad. Cílí na strach z exekuce.
Financni urad CR: Evidujeme u Vas nedoplatek na dani z prijmu ve vysi 4 250 Kc. Pokud nezaplatite do 48 hodin, bude zahajeno exekucni rizeni. Platba zde: financni-urad-platby.cz
Realita: FÚ ani VZP nikdy nepošlou SMS s odkazem na platbu. Komunikují datovou schránkou, doporučeným dopisem nebo přes oficiální portál (mojedane.cz, vzp.cz).
4. „Mami, rozbil se mi telefon“
Velmi účinný útok cílený na rodiče. Útočník se vydává za vaše dítě z neznámého čísla, tvrdí, že má rozbitý telefon a žádá rychlou platbu nebo přihlašovací údaje k účtu.
Ahoj mami, rozbil se mi telefon, tohle je nove cislo. Ulozim si ho prosim? Potrebuju pomoct s urgentni platbou, muzes prosim?
Obrana:vždy zavolej dítěti na jeho původní číslo (i když ti říkají, že tam nejde). Nebo dohodněte rodinné „heslo“, které musí použít, když se ozve z neznámého čísla.
5. Falešná soutěž / výhra
„Vyhrál(a) jste iPhone, vyzvedněte si ho zde“. Forma je téměř vždy výhra elektroniky nebo dárkové karty od značek (Lidl, Albert, Tesco).
GRATULUJEME! Byl/a jste vybran/a jako vyherce iPhone 16 Pro v nasi soutezi. Pro vyzvednuti vyplnte udaje zde: vyhry-cz.com/iphone
Realita: Pokud jsi do soutěže nepřihlásil(a), žádná výhra neexistuje. Útočníci sebrali jména a čísla z úniků dat a posílají hromadně.
6. Falešný kurýr (DPL, Zásilkovna, GLS)
Stejná logika jako Česká pošta, ale jméno přepravce střídá. Aktuálně velmi populární u Zásilkovny a DPL.
Zasilkovna: Vas balik byl odeslan na vyzvednutim. Pro doruceni domu zaplatte 35 Kc: zasilkovna-doruceni.com
Skutečné domény: zasilkovna.cz, dpd.cz, gls-czech.com. Sledování balíků se nikdy neplatí přes SMS odkaz.
7. Falešný operátor (T-Mobile, O2, Vodafone)
Tvrzení o „nedoplaceném vyúčtování“ nebo „ztraceném tarifu“.
T-Mobile: Vase faktura nebyla uhrazena, sluzba bude prerusena. Zaplatte do 24h: tmobile-platby.cz
Skutečné domény: t-mobile.cz, o2.cz, vodafone.cz. Vyúčtování ti operátor pošle e-mailem nebo přes svou aplikaci, nikdy odkazem k zaplacení v SMS.
Univerzální slovní zásoba útočníků
Většina podvodných SMS používá kombinaci tří prvků. Pokud zprávu obsahuje, je s 90% pravděpodobností phishing:
- Slovní tlak: „okamžitě“, „do 24 hodin“, „pokud nezaplatíte, bude...“, „poslední upozornění“.
- Drobná částka: 29, 35, 45, 49 Kč. Účelně malá, abys zbytečně nepřemýšlel(a).
- Bez diakritiky: SMS přes zahraniční brány nemají háčky.
Pět pravidel obrany
- Klikni jen na to, co jsi sám(a) inicioval(a). Pokud čekáš balík, jdi na ofiicální web nebo do aplikace, ne přes SMS odkaz.
- Když pochybuješ, ověř to. Vlož SMS sem na NeKlikni.cz, nebo zavolej na oficiální linku organizace (z jejich webu, ne z SMS).
- Žádný úřad ani banka neposílá platební link. FÚ, VZP, ČSSZ, banky — komunikují přes datovou schránku, dopisem nebo oficiální portál.
- Rodinné heslo proti útokům typu „mami, rozbil se mi telefon“. Krátké slovo, které dítě řekne, když se ozve z cizího čísla.
- Sdílej toto varování. Útočníci cílí na lidi, kteří nikdy neslyšeli, že to existuje. Pošli tento článek rodičům a prarodičům.
Kde nahlásit podvodnou SMS
- policie.cz — oznámení podvodu nebo zlozinu.
- NÚKIB.cz — Národní úřad pro kybernetickou bezpečnost (i pro firmy).
- Tvůj operátor — přepošli SMS na číslo 7726 (T-Mobile, O2, Vodafone) jako spam nahlášení.