Aktuality

Varování: falešné SMS o balíku od České pošty a Zásilkovny

Aktuální vlna podvodných SMS o zásilce od České pošty, Zásilkovny, PPL a DPD. Jak rozpoznat podvod a co dělat, pokud jste klikli.

Redakce Digitální Ochrana Aktualizováno

Česká republika čelí aktuální vlně podvodných SMS zpráv (tzv. smishing), které napodobují doručovací služby – Českou poštu, Zásilkovnu, PPL a DPD. Redakce Digitální Ochrana varuje: tyto zprávy jsou klamavé a jejich cílem je ukrást údaje vaší platební karty.

Aktualizováno: 18. června 2026.

Jak podvodná SMS vypadá

Typická zpráva vypadá přibližně takto:

„Vaše zásilka čeká na doručení. Doplatek za skladné: 28 Kč. Potvrďte platbu do 24 hodin, jinak bude zásilka vrácena: [zkrácený odkaz]”

Útočníci napodobují grafiku a jméno skutečných doručovatelů. Odkaz vede na podvodnou stránku věrně kopírující design České pošty nebo Zásilkovny, kde jsou oběti vyzvány zadat číslo karty, datum platnosti a CVC kód „na zaplacení doplatku”.

Po zadání údajů karta slouží k podvodným transakcím – částka 28 Kč je jen záminka.

Proč tato vlna funguje

Podvodníci spoléhají na několik psychologických mechanismů. Zaprvé, částka 28–49 Kč působí banálně a nevzbuzuje podezření. Zadruhé, SMS přichází ve chvíli, kdy mnozí skutečně čekají na zásilku – e-shopy a doručování jsou součástí každodenního života. Zatřetí, časový tlak („24 hodin”) potlačuje kritické myšlení.

Smishing (SMS phishing) je jednou z nejrychleji rostoucích forem kybernetického podvodu v ČR. CSIRT.CZ eviduje stovky hlášení podobných kampaní ročně.

Jak rozpoznat podvod – klíčové znaky

Legitimní doručovací společnosti (Česká pošta, Zásilkovna, PPL, DPD) se odlišují od podvodníků v několika oblastech:

Odesílatel SMS:

  • Česká pošta a Zásilkovna používají registrované alfanumerické odesílatele (např. „CeskaPosta”, „Zasilkovna”), ne náhodná čísla.
  • Podvodná SMS přichází z obyčejného mobilního čísla nebo neznámého kódu.

Odkaz v SMS:

  • Legitimní odkaz vede na ceskaposta.cz, zasilkovna.cz, ppl.cz nebo dpd.cz – ověřte přesnou doménu.
  • Podvodný odkaz vede na zkrácené URL (bit.ly a podobné) nebo domény jako ceskaposta-doruceni.cz, zasilkovna-doplatek.info.

Způsob platby:

  • Legitimní doplatky Česká pošta vybírá při doručení (od poštovního doručovatele) nebo přes platební stránku přímo na ceskaposta.cz – nikdy přes neznámý odkaz v SMS.
  • Zásilkovna doplatky řeší přes výdejní místa, ne přes platební stránku v SMS.

Co dělat, pokud jste obdrželi podezřelou SMS

  1. Neklikejte na odkaz. Pokud jste zvědaví, zda zásilka skutečně existuje, přejděte přímo na web doručovatele a zadejte číslo zásilky ručně.
  2. Smažte zprávu a zablokujte číslo, ze kterého přišla.
  3. Nahlaste SMS na CSIRT.CZ (abuse@csirt.cz) nebo přímo doručovatelské společnosti.

Pokud jste na odkaz klikli, přečtěte si průvodce Falešné SMS od České pošty a kurýrů: jak je rozpoznat a co dělat s podrobnějším postupem.

Pokud jste zadali údaje karty – jednejte okamžitě

Čas hraje v takovýchto situacích klíčovou roli:

  1. Ihned zavolejte bance a nechte kartu zablokovat nebo zmrazte odchozí platby. ČSOB, Česká spořitelna i Air Bank mají zákaznické linky dostupné 24 hodin denně.
  2. Zkontrolujte historii transakcí – útočníci někdy neprovádějí velkou platbu okamžitě, ale testují kartu malou platbou.
  3. Nahlaste incident na CSIRT.CZ a případně na Policii ČR (online na policie.cz nebo na nejbližší služebně).
  4. Požádejte banku o vydání nové karty s novým číslem.

Kompletní návod na rozpoznání phishingu (e-mail i SMS) najdete v článku Jak se bránit phishingu: průvodce pro uživatele v ČR.

Co teď udělat?

  • Upozorněte okolí: Pošlete tuto informaci rodičům, prarodičům nebo kolegům – smishing je zvláště zákeřný pro lidi, kteří s ním nemají zkušenost.
  • Uložte si kontakt na banku: Mějte zákaznickou linku banky uloženou v telefonu – v případě podvodu není čas hledat číslo na Googlu.
  • Ověřte zásilku přímo: Pokud čekáte zásilku, zkontrolujte stav přímo na webu doručovatele (ceskaposta.cz, zasilkovna.cz) – zadejte adresu ručně, ne přes odkaz ze SMS.
  • Nahlašte podvod: Pomáháte tím CSIRT.CZ blokovat phishingové domény a chránit ostatní uživatele.

Často kladené otázky: falešné SMS doručovací služby

Jak poznám, že SMS o balíku je podvodná?

Podvodná SMS typicky: (1) přichází z obyčejného čísla nebo neznámého krátkého kódu, ne od ověřeného odesílatele; (2) obsahuje zkrácenou nebo podezřelou URL (bit.ly, náhodné domény místo ceskaposta.cz nebo zasilkovna.cz); (3) žádá platbu malé částky kartou; (4) vytváří časový tlak – 'balík bude vrácen do 24 hodin'. Legitimní doručovatelé komunikují přes ověřené odesílatele a platbu za doplatek řeší při převzetí, nikoliv předem přes odkaz.

Co mám dělat, pokud jsem kliknul na odkaz v podvodné SMS?

Pokud jste pouze klikli, ale nic nezadali: zavřete stránku, nic neinstalujte a zprávu smažte. Pokud jste zadali číslo karty nebo přihlašovací údaje: okamžitě zavolejte na zákaznickou linku banky a nechte kartu zablokovat nebo zmrazte platby. Změňte heslo, pokud jste zadali přihlašovací údaje. Incident nahlaste na CSIRT.CZ.

Kde nahlásit podvodnou SMS v ČR?

Podvodnou SMS nebo web nahlaste na CSIRT.CZ přes webový formulář nebo e-mail abuse@csirt.cz. Podvodné zprávy imitující konkrétního doručovatele předejte také bezpečnostnímu týmu dané společnosti (kontakt bývá na jejich webu). ČOI přijímá stížnosti na podvodné e-shopy.

Nenechte se na internetu napálit

Praktické návody, nezávislé testy a jasná srovnání — vše česky a bez marketingového balastu.

Číst návody Vyzkoušet nástroje