Nové metody podvodů 2026: AI hlasy, quishing a vishing

Kybernetičtí podvodníci v roce 2026 přišli s novou generací metod, které jsou zákeřnější než klasický phishingový e-mail. Umělá inteligence umožnila klonovat hlasy, QR kódy se staly nástrojem phishingu a telefonní podvody dosáhly nové úrovně věrohodnosti. Redakce Digitální Ochrana přináší přehled aktuálních trendů a konkrétní rady, jak se bránit.

Aktualizováno: 18. června 2026.

AI klonování hlasů: „Mami, mám problém”

Jedna z nejzáludnějších nových metod využívá umělou inteligenci ke klonování hlasů. Útočník stáhne z internetu krátký zvukový záznam oběti (příspěvek na sociálních sítích, video, nahrávka z hovoru) a pomocí AI nástroje vygeneruje věrohodnou imitaci hlasu.

Scénář útoku je typicky tento: volá „syn” nebo „dcera” zděšeným hlasem, říká, že má vážný problém (nehoda, zadržení policií, nouzová situace v zahraničí) a potřebuje peníze – hotovost předanou kurýrovi nebo převod na jiný účet. Hovor je krátký a emotivně naléhavý, aby nedal prostor k ověření.

V ČR byly zaznamenány případy i v roce 2025–2026. Nejzranitelnější jsou starší dospělí a lidé, jejichž příbuzní pravidelně zveřejňují hlasový nebo video obsah online.

Jak se bránit:

• Domluvte se s rodinou na tajném ověřovacím slově, které můžete použít při pochybnostech.
• Při jakémkoliv neočekávaném hovoru s naléhavou žádostí položte telefon a zavolejte zpět na číslo, které máte uložené v telefonu.
• Nikdy nepředávejte hotovost kurýrovi na základě telefonní žádosti bez fyzického ověření.

Quishing: podvod skrytý v QR kódu

QR kódy zažily po pandemii boom – platební terminály, restaurační jídelní lístky, marketingové materiály i úřední dokumenty je využívají běžně. Útočníci toho využívají technikou nazvanou quishing (QR phishing).

Funguje takto: útočník vloží podvodný QR kód do e-mailu (kde antispam neskenuje obrázek jako URL), přes nálepku překryje legitimní QR kód na platebním terminálu nebo veřejném místě, nebo vytiskne plakáty napodobující veřejné vyhlášky. Po naskenování přejdete na podvodnou přihlašovací stránku – banky, e-mailové schránky nebo firemního portálu.

Quishing je zákeřný právě proto, že QR kódy nejsou čitelné lidským okem a antispamové filtry je zpravidla netestují.

Jak se bránit:

• Po naskenování vždy zkontrolujte URL dříve, než kliknete – doména musí odpovídat legitimní instituci.
• Na platebních terminálech zkontrolujte, zda QR kód nevypadá jako nálepka přelepující originál.
• V e-mailech od neznámých odesílatelů QR kódy raději vůbec neskenujte.

Falešní operátoři a „technici zabezpečení”

Tato technika (vishing – voice phishing) je nová svou sofistikovaností, nikoliv principem. Útočník volá a vydává se za zaměstnance mobilního operátora, banky nebo dokonce policie. Scénáře se liší:

• „Na vašem účtu jsme zaznamenali podezřelou aktivitu – musíme ověřit vaši identitu.”
• „Váš telefon byl infikován malwarem, pomohu vám ho odstranit – nainstalujte si tuto aplikaci.”
• „Jsme z oddělení prevence podvodů banky, váš účet je v ohrožení. Převeďte prostředky na bezpečný účet.”

Cílem je buď přímo získat přihlašovací údaje nebo přimět oběť k instalaci aplikace pro vzdálený přístup (TeamViewer, AnyDesk), přes kterou pak útočník ovládne zařízení.

Jak se bránit:

• Žádná legitimní banka ani operátor nevolá s požadavkem na sdělení PIN kódu, hesel nebo přístupů.
• Žádná legitimní banka nežádá o instalaci vzdáleného přístupu (TeamViewer, AnyDesk, Quick Support).
• Žádná legitimní banka nežádá o převod peněz na ‘bezpečný účet’ telefonicky.
• Při sebemenším podezření: položte telefon. Zavolejte zpět na číslo z oficiálního webu banky nebo operátora (ne na číslo, které vám volající sdělil).

Proč tyto metody fungují lépe než klasický phishing

Tradiční phishingový e-mail má dnes řadu filtrů – antispam, bezpečnostní prohlížeče, Google Safe Browsing. Nové metody tyto filtry obcházejí:

• AI hlas se neprojde e-mailovým filtrem – jde o telefonní hovor.
• QR kód v e-mailu je obrázek, který antispam nečte jako URL.
• Vishing (telefonní podvod) nevyžaduje kliknutí na odkaz – závisí na důvěře oběti v hlasový kontakt.

CSIRT.CZ a NÚKIB opakovaně varují, že sociální inženýrství (manipulace lidí) je nejúčinnějším útočným vektorem bez ohledu na technické zabezpečení. Přehledný průvodce obranou najdete v článcích Jak se bránit phishingu: průvodce pro uživatele v ČR a Bezpečnost na internetu: kompletní průvodce pro rok 2026.

Co teď udělat?

• Domluvte se s rodinou na ověřovacím slově – pro případ hovoru s podezřelou naléhavou žádostí.
• Naučte se zkontrolovat URL po skenování QR kódu – než přejdete na stránku, ověřte doménu.
• Uložte si číslo zákaznické linky vaší banky do kontaktů – při podezření zavolejte zpět sami.
• Sdílejte tyto informace s rodiči a prarodiči – jsou nejzranitelnější skupinou.