Jak nová vlna podvodů funguje a proč je nebezpečná
Bezpečnostní experti i operátoři v posledních týdnech upozorňují na zvýšený výskyt phishingových SMS, které se tváří jako výzvy k úhradě mýta, potvrzení balíku nebo doplacení drobného poplatku za doručení. Typická zpráva obsahuje krátký text, odkaz na falešnou stránku a časový tlak. Podvodníci často pracují s částkami v řádu desítek korun, protože nízká suma snižuje ostražitost a zvyšuje šanci, že uživatel zaplatí bez kontroly.
Podle dlouhodobých trendů kyberpodvodů funguje právě jednoduchost. Útočníci nechtějí, aby oběť přemýšlela, jen aby klikla během několika sekund. Využívají známá jména dopravců, mýtných systémů nebo státně působících služeb, protože lidé těmto značkám běžně důvěřují. V praxi jde často o kombinaci podvodného odkazu, falešné platební brány a sběru osobních údajů nebo údajů z platební karty.
Jak vypadají nejčastější podvodné SMS
Podobné zprávy mívají několik společných znaků. Text bývá stručný, s gramatickými chybami jen minimálně, aby působil věrohodně. Odkaz vede na doménu, která se podobá originálu, ale obsahuje drobnou odchylku, například zaměněné písmeno, jinou koncovku nebo zkrácený URL zkracovač. V některých případech se útočníci vydávají za dopravce a tvrdí, že balík nelze doručit bez doplacení 29 Kč, jindy za provozovatele mýtného systému, který údajně eviduje nedoplatek.
Typické je i to, že zpráva používá obecné oslovení bez jména, nebo naopak náhodně získané jméno příjemce. Některé kampaně navíc přidávají falešné logo, aby stránka vypadala jako oficiální web. V mobilu je rozdíl hůře vidět, zejména na menším displeji. Proto je důležité nekontrolovat jen obsah textu, ale hlavně adresu webu a způsob platby.
- Varovný signál č. 1: tlak na okamžitou akci typu „zaplaťte do 24 hodin“.
- Varovný signál č. 2: neobvyklá doména nebo zkrácený odkaz.
- Varovný signál č. 3: platba kartou na stránce, která nemá jasné kontakty a obchodní podmínky.
- Varovný signál č. 4: zpráva o drobném nedoplatku, který nedává smysl vzhledem k vaší situaci.
Co dělat okamžitě, když na odkaz kliknete
Samotné otevření falešné stránky ještě nemusí znamenat problém, ale rozhodující je, co se stalo dál. Pokud jste nic nezadali, riziko je nižší. Jestliže jste vyplnili údaje o kartě, heslo nebo přihlašovací jméno, je nutné jednat ihned. Nejprve zablokujte kartu přes bankovní aplikaci nebo linku banky. Pokud jste zadali přihlašovací údaje do e-mailu, e-shopu nebo firemního systému, změňte heslo a ukončete všechna aktivní přihlášení.
U firemních účtů je vhodné zkontrolovat, zda nebyl zneužit e-mail k dalšímu rozesílání phishingu. Pokud jde o telefon s Androidem nebo iOS, ověřte, zda jste nepovolili instalaci profilu, aplikace nebo notifikací z neznámého zdroje. U některých podvodných kampaní se útočníci snaží přimět uživatele k instalaci aplikace mimo oficiální obchod, což může znamenat dlouhodobý přístup k datům.
- Okamžitě kontaktujte banku, pokud jste zadali údaje o platební kartě.
- Změňte hesla na účtech, kde jste použili stejné nebo podobné přihlašovací údaje.
- Zkontrolujte pohyby na účtu a upozornění na transakce.
- Uložte screenshot SMS i podvodné stránky pro případné hlášení.
Jak ověřit, jestli je zpráva skutečná
Nejspolehlivější postup je nikdy nekliknout na odkaz z SMS a místo toho si službu otevřít ručně. U dopravců a mýtných systémů to znamená zadat adresu webu přímo do prohlížeče nebo použít oficiální aplikaci. Pokud jde o balík, ověřte číslo zásilky v aplikaci dopravce, v e-mailu z objednávky nebo v zákaznické zóně e-shopu. Reálný dopravce vás obvykle nevyzývá k drobné okamžité platbě přes podezřelý odkaz v SMS.
Praktické je také sledovat doménu odesílatele, pokud zpráva přichází z internetové brány. U běžných SMS sice nevidíte plnou identitu odesílatele vždy, ale podvodné kampaně často používají cizí nebo generická jména. Pokud si nejste jistí, zavolejte na oficiální zákaznickou linku dané služby. Při podezření na mýtný systém je vhodné zkontrolovat i účet v oficiálním portálu dopravce, nikoli přes odkaz v SMS.
V domácnostech i firmách funguje jednoduché pravidlo: žádný odkaz z nevyžádané SMS není potvrzený zdroj. Stejný princip by měl platit i pro e-mail a zprávy v aplikacích typu WhatsApp nebo Messenger. Útočníci často přecházejí mezi kanály, aby zvýšili šanci na úspěch.
Co mohou udělat firmy, e-shopy a správci webu
Pokud provozujete web, e-shop nebo zákaznický portál, je vhodné počítat s tím, že se vaše značka může stát terčem zneužití. Z technického pohledu pomáhá především jasná komunikace na webu: viditelný seznam oficiálních domén, upozornění na podvodné SMS a jednoduchý návod, jak ověřit platbu nebo zásilku. Na stránku podpory se vyplatí přidat i FAQ sekci s konkrétními příklady falešných zpráv.
Užitečné je také nasadit strukturovaná data a dobře viditelné kontaktní informace, aby uživatelé i vyhledávače snadno našli oficiální kanály. Z hlediska bezpečnosti je vhodné mít správně nastavený SPF, DKIM a DMARC pro firemní e-maily, protože phishing často navazuje na předchozí komunikaci se zákazníkem. Pokud se útočníci vydávají za vaši firmu, pomůže rychlá reakce: zveřejněte varování na webu, sociálních sítích i v newsletteru.
- Na webu zobrazte: oficiální domény, telefonní kontakt a vzor podvodné zprávy.
- V e-mailu nastavte: SPF, DKIM a DMARC s minimálně monitorovací politikou.
- V zákaznické podpoře připravte: krátký skript pro ověření platby nebo zásilky.
- V analytice sledujte: nárůst návštěv z podezřelých odkazů, zvýšené odchody z platební stránky a dotazy na „doplacení“.
Jak snížit riziko do budoucna v domácnosti i ve firmě
Dlouhodobá obrana stojí na kombinaci technických opatření a návyků. Na telefonech i počítačích by měly být zapnuté automatické aktualizace systému i prohlížeče. Antivirová ochrana sice phishing sama nevyřeší, ale umí blokovat část škodlivých stránek. V rodinách i menších firmách se vyplatí nastavit dvoufaktorové ověření pro e-mail, banku, cloud a administraci webu. Pokud útočník získá heslo, bez druhého faktoru se často dál nedostane.
Pro firmy je klíčové školení zaměstnanců. Stačí krátký interní manuál na jednu stránku: neklikat na odkazy ze SMS, ověřovat platby ručně, hlásit podezřelé zprávy IT nebo správci webu a nikdy nezadávat údaje do formuláře, jehož doména se liší od oficiální značky. V praxi pomáhá i pravidelné testování formou interních phishingových simulací, které ukážou, jak zaměstnanci reagují.
Pokud chcete mít přehled o tom, zda se vaše značka neobjevuje v podvodných kampaních, sledujte také zmínky v komunitních fórech, bezpečnostních komunitách a v Google Search Console u vlastního webu. U e-shopů a dopravních služeb se vyplatí kontrolovat, zda podvodné stránky nepoužívají podobné názvy produktů, logo nebo brandové fráze. Čím dřív se podobný podvod zachytí, tím menší škody napáchá na zákaznících i reputaci značky.
