Falešné SMS od České pošty a kurýrů: jak je rozpoznat a co dělat

Přišla vám SMS o balíku, který čeká na doručení, a stačí zaplatit drobný poplatek? Pravděpodobně jde o smishing – podvod, který v České republice od roku 2022 zaznamenává prudký nárůst. Útočníci napodobují komunikaci České pošty, Zásilkovny, Balíkovny, PPL a DPD s věrností, která může zmást i zkušené uživatele.

V tomto průvodci se dozvíte, jak podvodné SMS vypadají, jak je spolehlivě rozpoznat, co dělat v případě, že jste na odkaz klikli, a kde incident nahlásit.

Co je smishing a proč je účinný

Smishing je phishing realizovaný prostřednictvím SMS. Kombinuje dva psychologické faktory: naléhavost zásilky (kdo by chtěl přijít o balík?) a zdánlivě nízkou cenu (28 Kč za doplatek nevypadá nebezpečně).

Výhoda útočníků je v tom, že ve správný čas – když opravdu čekáte zásilku – zpráva působí naprosto věrohodně. Útočníci navíc zasílají SMS masivně, takže statisticky zasáhnou řadu lidí, kteří skutečně zásilku očekávají.

Jak typická podvodná SMS vypadá

Podvodné zprávy mají obvykle tuto strukturu:

Vaše zásilka čeká na doručení. Pro finalizaci doručení uhraďte poplatek 28 Kč: [podvodný odkaz]

nebo

Česká pošta: Váš balíček nemohl být doručen. Uhraďte 27,90 Kč do 48 hodin, jinak bude zásilka vrácena: [odkaz]

Variace na Zásilkovnu:

Zásilkovna: Vaše zásilka je pozastavena z důvodu chybějícího poplatku. Doplatek: 28 Kč. Odkaz: [podvodný odkaz]

Poplatek se pohybuje v rozmezí 25–35 Kč – dost nízko, aby nevzbudil podezření. Odkaz vede na falešnou stránku vizuálně věrnou originálu. Po zadání platebních údajů útočníci strhnou mnohem vyšší částky nebo údaje použijí opakovaně.

Jak rozpoznat podvodnou zprávu

Kontrolní bod 1: Odkaz v SMS

Nejspolehlivější způsob, jak odhalit podvod, je zkontrolovat doménu v odkazu. Pozor na:

• Domény napodobující originál: ceska-posta-info.cz, zasifkovna.cz, balikov-na.cz.
• Domény s obecným jménem: delivery-payment.com, parcel-fee.eu.
• Domény ve formátu subdomény: ceskaposta.overeni-baliku.net – pravá doména je overeni-baliku.net, nikoliv ceskaposta.

Legitimní domény:

• Česká pošta: ceskaposta.cz
• Zásilkovna: zasilkovna.cz
• PPL: ppl.cz
• DPD: dpd.com

Kontrolní bod 2: Žádost o platbu přes odkaz

Toto je nejdůležitější pravidlo: žádný legitimní dopravce v ČR nepožaduje platbu přes odkaz v SMS. Pokud zásilka vyžaduje doplatek (clo, dobírka), řeší se to přímo s kurýrem, na poštovní přepážce nebo přes aplikaci konkrétního dopravce s přihlášením.

Kontrolní bod 3: Číslo odesílatele

Smishingové zprávy přicházejí z různých zdrojů:

• Mobilní čísla (např. +420 xxx xxx xxx) – pravé notifikace od České pošty nebo Zásilkovny přicházejí z alfanumerických odesílatelů (např. „CeskaPosta”), ne z běžných čísel.
• Alfanumerické odesílatele lze podvrhnout – zobrazení „CeskaPosta” jako odesílatele ještě neznamená, že zpráva je pravá.

Kontrolní bod 4: Jazyk a formátování

Podvodné zprávy mohou být gramaticky správné, ale sledujte:

• Překlepy nebo atypické frázování.
• Neobvyklé znaky nebo mezery.
• Chybějící diakritika nebo naopak nekonzistentní diakritika.

Specifika jednotlivých dopravců v ČR

Česká pošta notifikace zasílá ze systému Portál zásilek. Zpráva obsahuje číslo zásilky sledovatelné na ceskaposta.cz. Žádný doplatek přes odkaz z SMS.

Zásilkovna (Packeta) zasílá notifikace z domény zasilkovna.cz. Aplikace Zásilkovny je bezpečnější způsob sledování zásilek než SMS. Platby přes odkaz v SMS jsou u Zásilkovny nestandardní.

Balíkovna je partnerská síť České pošty a Albert. Notifikace přicházejí ze systémů České pošty.

PPL a DPD mají vlastní notifikační systémy. Sledování zásilek vždy ověřujte přímo na jejich oficiálních webech.

Co dělat, pokud jste klikli na odkaz

Pokud jste klikli, ale nic nezadali

Samotné kliknutí je méně nebezpečné, ale ne zcela bez rizika. Stránka mohla zkoušet stáhnout malware nebo zneužít zranitelnost prohlížeče (tzv. drive-by download, dnes méně časté díky aktualizovaným prohlížečům).

Doporučené kroky:

1. Okamžitě zavřete stránku.
2. Spusťte antivirovou kontrolu telefonu.
3. Zkontrolujte, zda se nestáhl žádný neznámý soubor.
4. Sledujte chování telefonu v následujících dnech (neobvyklé přenosy dat, zkrácení výdrže baterie).

Pokud jste zadali číslo karty nebo jiné platební údaje

Jednejte neprodleně:

1. Zavolejte zákaznickou linku banky – požádejte o okamžitou blokaci karty nebo zmrazení transakcí.
   • ČSOB: 800 300 300
   • Česká spořitelna: 800 207 207
   • Air Bank: 515 202 202
   • Komerční banka: 955 551 552
2. Sledujte výpis účtu – neoprávněné transakce reklamujte bezodkladně (zákonná lhůta je 13 měsíců, ale čím dříve, tím lépe).
3. Změňte hesla ke všem účtům, kde jste použili stejné heslo jako k e-mailu nebo bankovnictví.

Pokud jste zadali přihlašovací údaje (e-mail, heslo)

1. Okamžitě změňte heslo k danému účtu.
2. Zapněte 2FA (dvoufázové ověření) – podrobnosti v Bezpečnost na internetu: kompletní průvodce pro rok 2026.
3. Zkontrolujte, zda útočníci nemají přístup k vašemu e-mailu – sledujte historii přihlášení.

Kam nahlásit podvodnou SMS

CSIRT.CZ Národní centrum pro kybernetické bezpečnostní incidenty. Formulář na csirt.cz nebo e-mail abuse@csirt.cz. Přiložte screenshoty zprávy a případně podvodné webové stránky.

Bezpečnostní tým dopravce Česká pošta, Zásilkovna i ostatní mají vlastní bezpečnostní kanály pro hlášení podvodů. Kontakt najdete na jejich webových stránkách.

Policie ČR Pokud jste přišli o peníze nebo zadali citlivé osobní údaje, podejte trestní oznámení. Podat ho lze na jakémkoliv oddělení Policie ČR nebo přes datovou schránku. Uchovejte veškeré důkazy: screenshoty zprávy, číslo odesílatele, transakce.

Vaše banka Neoprávněné transakce hlaste bezprostředně bance – mají povinnost prošetřit a v případě prokázaného podvodu vrátit peníze.

Prevence: jak se nenakazit příště

• Sledujte zásilky přes aplikace dopravců – stáhněte si oficiální aplikaci Zásilkovny, České pošty nebo PPL. Notifikace v aplikaci jsou bezpečnější než SMS.
• Zkontrolujte číslo zásilky přímo na webu dopravce – pokud SMS uvádí číslo zásilky, zadejte ho ručně na webu dopravce (ne přes odkaz ze zprávy).
• Nesdílejte telefonní číslo zbytečně – méně vystavené číslo přijme méně smishingových zpráv.
• Blokujte podezřelá čísla – moderní telefony i operátoři nabízejí filtry nevyžádaných zpráv.

Více o phishingu obecně se dozvíte v Jak se bránit phishingu: průvodce pro uživatele v ČR. Základní přehled kybernetické bezpečnosti v ČR najdete v Bezpečnost na internetu: kompletní průvodce pro rok 2026.

Co teď udělat?

1. Zkontrolujte svůj SMS inbox – existuje v něm zpráva o zásilce a doplatku? Ověřte číslo zásilky přímo na webu dopravce, ne přes odkaz ze zprávy.
2. Stáhněte si aplikaci svého oblíbeného dopravce – sledování zásilek přes aplikaci je bezpečnější než přes SMS.
3. Zapněte 2FA na svém e-mailu – pokud útočník získá přístup k vašemu e-mailu, může obejít řadu dalších ochrán.
4. Nahlaste podvodnou SMS na CSIRT.CZ – i pokud jste nenaletěli, hlášení pomáhá chránit ostatní.
5. Informujte rodinu o tomto podvodu – zejména starší příbuzné, kteří mohou být méně obeznámeni s technikami smishingu.