Podvodné SMS „Balíček čeká“: Jak nenaletět

·

,
Jan avatar
Jan

Cinkne mobil. Podíváte se na displej a vidíte zprávu: „Váš balíček nemohl být doručen z důvodu neúplné adresy. Aktualizujte údaje zde…“ Kliknete, protože přece čekáte balík z e-shopu. Stop. Právě jste vstoupili do minového pole zvaného Smishing. V roce 2026 už to nejsou jen lámanou češtinou psané nesmysly, ale sofistikované útoky, které vás mohou stát celoživotní úspory během tří minut.

Smishing (kombinace slov SMS a Phishing) je v současnosti nejrychleji rostoucí formou kyberkriminality. Proč? Protože e-maily už máme naučené ignorovat a padají do spamu. Ale SMS? Té věříme. Mobil máme v ruce neustále a naše reakce jsou impulzivní. Jako bezpečnostní expert vám v tomto článku ukážu, jak útočníci přemýšlejí a hlavně – co přesně dělat, když uděláte chybu.

Anatomie podvodu: Rozbor smrtící SMS

Abychom pochopili nepřítele, musíme si ho rozebrat. Podívejme se na typickou podvodnou zprávu, která v různých obměnách chodí tisícům Čechů denně.

Odesílatel: Info (nebo neznámé číslo +420 735…)
Text: Posta-CZ: Vas balicek CS45892 byl pozastaven. Chybi cislo popisne. Prosime doplatte 19 KC za opakovane doruceni a upravte adresu zde: http://bit.ly/cpost-platba

Na první pohled to vypadá legitimně. Ale podívejme se na to očima experta. Zde jsou varovné signály, které by měly ve vaší hlavě spustit alarm:

  • Doména (URL): Odkaz nevede na ceskaposta.cz, ale na zkracovač bit.ly nebo na podivnou doménu typu posta-doprava-cz.com. Oficiální instituce nikdy nepoužívají domény třetích stran pro platby.
  • Odesílatel: Často jde o běžné mobilní číslo (+420 60x…), nikoliv o „Shortcode“ (krátké číslo), které používají firmy. I když se odesílatel jmenuje „CeskaPosta“, nevěřte tomu – jméno odesílatele (tzv. Sender ID) lze snadno zfalšovat (spoofing).
  • Čeština a tón: V roce 2026 už AI pomáhá podvodníkům s gramatikou, takže hrubky mizí. Zůstává ale absence diakritiky (háčků a čárek) nebo strojový slovosled.
  • Požadavek na mikroporlatky: Chtějí po vás 19 Kč, 40 Kč nebo jinou zanedbatelnou částku. To je psychologický trik. „O nic nejde, zaplatím to, ať mám klid.“

Psychologie útoku: Proč naletíme?

Nemyslete si, že naletí jen senioři. Mám klienty z řad IT manažerů, kteří klikli. Útočníci totiž nehrají na vaši hloupost, ale na vaše emoce a biologii.

Jak hacker hackne váš mozek:
Útok využívá tzv. „Urgency Loop“ (Smyčka naléhavosti). Zpráva tvrdí, že balíček bude vrácen odesílateli, nebo že vám bude zablokován účet. Váš mozek (amygdala) vyhodnotí hrozbu ztráty a vypne racionální myšlení (prefrontální kortex). Kliknete dřív, než si uvědomíte, že vlastně žádný balík nečekáte.

Akční plán: Co dělat, když jste klikli?

Stalo se. Klikli jste na odkaz. Co teď? Panika je váš nepřítel. Postupujte podle toho, jak daleko jste zašli.

Scénář A: Pouze jsem kliknul na odkaz, nic jsem nevyplnil

Většinou jste v bezpečí, ale ne stoprocentně.

  1. Okamžitě zavřete okno prohlížeče.
  2. Odpojte se od internetu (vypněte Wi-Fi i data).
  3. Pokud máte Android, zkontrolujte složku „Stažené soubory“. Některé smishingové útoky se snaží do telefonu stáhnout aplikaci (soubor .apk), která se tváří jako sledování zásilky, ale ve skutečnosti je to malware (např. FluBot), který krade vaše SMS kódy. Pokud tam takový soubor je, smažte ho a telefon projeďte antivirem.
  4. Pokud máte iPhone (iOS), riziko instalace viru pouhým kliknutím je minimální, pokud nemáte Jailbreak.

Scénář B: Vyplnil jsem přihlašovací údaje (Heslo do banky, e-mailu)

Toto je kritický stav. Útočník má vaše klíče.

  1. Ihned změňte heslo. Přihlašte se (z jiného zařízení!) do služby, jejíž údaje jste zadali, a změňte heslo.
  2. Zapněte 2FA (Dvoufázové ověření). Pokud ho ještě nemáte, okamžitě ho aktivujte. I když má útočník heslo, bez SMS kódu nebo potvrzení v aplikaci se tam nedostane.
  3. Zkontrolujte, zda útočník nezměnil kontaktní e-mail nebo telefon v nastavení účtu.
NEJVĚTŠÍ HROZBA: Bankovní identita
Pokud jste zadali přihlašovací údaje do internetového bankovnictví, okamžitě volejte na non-stop linku své banky a nechte zablokovat přístupy do bankovnictví. Minuty rozhodují.

Scénář C: Zadal jsem číslo karty (Červený kód)

Toto je nejčastější cíl útoků „balíček za 19 Kč“. Útočníkovi nejde o těch 19 korun. Jde mu o to, abyste zadali číslo karty, datum platnosti a CVC kód. Jakmile to uděláte, buď si kartu uloží do Apple Pay/Google Pay na svém mobilu, nebo provede velkou platbu.

🚨 KRIZOVÝ POSTUP:

  1. Okamžitá blokace karty: Nečekejte na spojení s operátorem. Otevřete aplikaci své banky v mobilu. Většina bank má tlačítko „Zablokovat kartu“ nebo „Dočasně deaktivovat“. Udělejte to HNED.
  2. Zkontrolujte transakce: Podívejte se, zda odešly nějaké peníze. Pokud vidíte „čekající platbu“, kterou jste neautorizovali, kontaktujte banku s žádostí o reklamaci (Chargeback).
  3. Nestačí změnit limit: Mnoho lidí si myslí, že stačí snížit limit na internetové platby na nulu. Nestačí. Útočník už mohl údaje prodat na Dark Webu. Jedinou jistotou je trvalá blokace a vydání nové karty.
  4. Kontaktujte Policii ČR: Pokud vám zmizely peníze (v řádu tisíců a více), jděte na policii. Banka bude protokol od policie vyžadovat pro reklamační řízení.

Jak se bránit v budoucnu?

Obranou není antivir, ale vaše nedůvěra.

  • Nikdy neklikejte na odkazy v SMS, pokud jste si je sami nevyžádali (např. při resetu hesla).
  • Ověřujte u zdroje. Přišla SMS od PPL? Neotvírejte odkaz. Otevřete aplikaci PPL nebo jděte na web ppl.cz a zadejte číslo zásilky tam.
  • Dívejte se na URL. ceskaposta.cz je bezpečné. ceska-posta-platba.online je podvod.

Mějte na paměti: Žádná pošta ani banka po vás nikdy nebude chtít doplatek 19 Kč přes odkaz v SMS, kde musíte zadat celé číslo karty. Nikdy.

Nepropásněte