Návody

Jak se bránit phishingu: průvodce pro uživatele v ČR

Rozpoznejte podvodné e-maily a SMS od bank nebo České pošty. Praktický návod, jak phishing funguje, co dělat a kam ho nahlásit v ČR.

Redakce Digitální Ochrana Aktualizováno

Phishing – podvodná komunikace, která se tváří jako legitimní e-mail, SMS nebo webová stránka – tvoří v České republice drtivou většinu kybernetických incidentů. Podle dat CSIRT.CZ za rok 2024 jde o 74 % z celkových 2 281 zaznamenaných incidentů. Útočníci se přitom neustále zdokonalují: zprávy jsou gramaticky správné, vizuálně věrné originálu a psychologicky dobře nastavené.

Tento průvodce vám ukáže, jak phishing funguje, jak ho rozpoznat v konkrétních situacích, co dělat, pokud na něj naletíte, a kam ho nahlásit.

Co je phishing a proč je tak účinný

Phishing (z anglického „fishing” – rybaření) je technika sociálního inženýrství. Útočník nevlamuje do systémů technicky – přesvědčí vás, abyste mu přihlašovací údaje, číslo karty nebo osobní data odevzdali sami.

Účinnost phishingu stojí na psychologii:

  • Naléhavost – „Váš účet bude zablokován do 24 hodin” vyvolá paniku a zkrátí dobu na rozmyšlenou.
  • Autorita – zpráva zdánlivě přichází od banky, finančního úřadu nebo datové schránky.
  • Strach – „Zjistili jsme podezřelou transakci na vašem účtu.”
  • Odměna – „Máte nárok na vrácení daně” nebo „Vyhráli jste cenu.”

Moderní phishingové kampaně navíc využívají AI k bezchybnému překladu do češtiny a k přizpůsobení zpráv konkrétním obětem (spear phishing). Spoléhat se na překlepy nebo špatnou češtinu jako jedinou obranu nestačí.

Phishing zaměřený na české uživatele: konkrétní příklady

Falešné e-maily od bank

Nejčastějším cílem v ČR jsou klienti ČSOB, České spořitelny a Air Bank. Typický scénář:

  • E-mail přichází zdánlivě z adresy info@csob.cz – ale skutečná doména odesílatele je csob-info.net nebo csob-bezpecnost.cz.
  • Text vás varuje, že přihlášení z neznámého zařízení vyžaduje „ověření identity”.
  • Odkaz vede na vizuálně identický, ale falešný web banky.
  • Po zadání přihlašovacích údajů jsou okamžitě odcizeny.

Jak to poznat: Banky v ČR nikdy nežádají heslo, PIN nebo kód pro přihlášení přes e-mail. Pokud pochybujete, přihlaste se přímo přes záložku v prohlížeči nebo aplikaci – ne přes odkaz z e-mailu.

Phishing zaměřený na datovou schránku a státní portály

Datová schránka je v ČR povinná pro podnikatele a hojně využívaná pro komunikaci se státem. Útočníci toho využívají: posílají e-maily tvářící se jako notifikace z Portálu občana nebo systému datových schránek. Odkaz vede na falešnou přihlašovací stránku.

Skutečné notifikace datové schránky vás nikdy nevyzývají k zadání hesla přes odkaz v e-mailu. Přihlašte se vždy přímo na mojedatovaschranka.cz nebo přes eIdentitu / BankID.

Falešné SMS o zásilce

Smishing (SMS phishing) s tématikou zásilky je v ČR mimořádně rozšířený. Falešné zprávy napodobují Českou poštu, Zásilkovnu, Balíkovnu, PPL nebo DPD a informují o doplatku ~28 Kč za nevyzvednutý balík. Podrobný průvodce, jak tyto zprávy rozpoznat, najdete v Falešné SMS od České pošty a kurýrů: jak je rozpoznat a co dělat.

Anatomie phishingového e-mailu: co hledat

Projděte si tyto kontrolní body pokaždé, když e-mail vyžaduje akci nebo uvádí naléhavost:

1. Zkontrolujte odesílatelskou adresu

Zobrazené jméno odesílatele může být libovolné – skutečná e-mailová adresa je jiná věc. Klikněte na jméno odesílatele a zobrazí se celá adresa.

Červená vlajka: doména se liší od oficiální (přebytečné slovo, překlep, jiná TLD).

Příklady podvodných domén:

  • csas-bezpecnost.cz místo csas.cz
  • ceska-posta-dostavka.com místo ceskaposta.cz
  • airbank-info.net místo airbank.cz

2. Najeďte myší na odkaz (bez kliknutí)

Ve většině e-mailových klientů se po najetí myší na hypertextový odkaz zobrazí skutečná cílová URL ve spodním řádku prohlížeče nebo v tooltipu. Zkontrolujte:

  • Odpovídá doména tomu, co očekáváte?
  • Začíná adresa https:// (nikoliv http://)?
  • Není v URL podivný řetězec nebo jiná doména po lomítku?

3. Sledujte jazyk a tón

I kdyby byl text gramaticky bezchybný, sledujte tón:

  • Neobvyklá naléhavost a výhružky.
  • Žádost o akci, která by legitimní firma nikdy nepožadovala (zadání hesla, PINu nebo kódu karty v e-mailu).
  • Příliš lákavá nabídka (vrácení peněz, výhra, dárek).

4. Přílohy

Nikdy neotvírejte přílohu v e-mailu, který jste nečekali – ani pokud znáte odesílatele. Účty odesílatelů mohou být kompromitovány. Zvláštní opatrnost u příloh .exe, .zip, .docx (makra), .xls.

Co dělat, když jste na phishing naletěli

Rychlost reakce je klíčová. Postupujte takto:

Krok 1: Okamžitě zavřete podvodnou stránku. Nepotvrzujte žádné formuláře ani nepokračujte v interakci.

Krok 2: Změňte heslo napadeného účtu. Přihlaste se přímo přes záložku nebo aplikaci – ne přes odkaz v e-mailu. Heslo nastavte nové, silné a jedinečné.

Krok 3: Zapněte dvoufázové ověření (2FA). Pokud ještě nemáte, je to nyní priorita. Útočník s odcizeným heslem bez druhého faktoru neprojde.

Krok 4: Informujte banku nebo poskytovatele služby. Pokud jste zadali bankovní údaje nebo číslo karty, volejte okamžitě zákaznickou linku. Banka může kartu zablokovat a monitorovat podezřelé transakce. ČSOB: 800 300 300, Česká spořitelna: 800 207 207, Air Bank: 515 202 202.

Krok 5: Zkontrolujte, zda vaše přihlašovací údaje neunikly. Použijte Have I Been Pwned nebo nástroj na /nastroje/generator-hesel/. Podrobný návod najdete v Jak zjistit, zda vaše heslo uniklo: kontrola úniků dat krok za krokem.

Krok 6: Spusťte antivirovou kontrolu. Pokud jste otevřeli přílohu nebo stáhli soubor, proveďte úplnou kontrolu počítače.

Jak nahlásit phishing v ČR

Hlášení phishingových kampaní pomáhá ochránit ostatní uživatele a umožňuje úřadům zasáhnout.

CSIRT.CZ (Computer Security Incident Response Team) Hlavní místo pro hlášení kybernetických incidentů v ČR. Formulář na csirt.cz nebo e-mail abuse@csirt.cz. Přiložte celý e-mail včetně hlaviček (v Gmailu: tři tečky → „Zobrazit originál”).

Bezpečnostní tým vaší banky Každá česká banka má e-mailovou adresu nebo formulář pro hlášení podvodů. Kontakt bývá na webových stránkách v sekci bezpečnost nebo pro média.

Česká obchodní inspekce (ČOI) Pro podvodné e-shopy a klamavou reklamu: coi.cz.

Policie ČR Trestný čin podvodu nahlaste na nejbližším oddělení nebo přes datovou schránku. Uchovejte veškeré důkazy: snímky obrazovky, e-maily, čísla účtů.

Nástroje, které pomáhají

  • Filtr prohlížeče – Chrome, Firefox a Edge mají integrované Safe Browsing, které blokuje phishingové weby ze své databáze.
  • Antivirový software – webové filtry v produktech ESET, Avast nebo Bitdefender blokují phishingové stránky v reálném čase.
  • Správce hesel – automatické vyplňování funguje pouze na legitimní doméně. Pokud správce heslo nenabídne, je to výstraha, že jste možná na falešném webu.
  • 2FA – nejsilnější ochrana pro případ, že útočník heslo přece jen získá.

Více informací o bezpečnosti na internetu obecně najdete v Bezpečnost na internetu: kompletní průvodce pro rok 2026. Slovníkové vysvětlení pojmu phishing najdete v Phishing – co to je a jak ho poznat?.

Co teď udělat?

  1. Zapněte dvoufázové ověření na svém e-mailu a bankovnictví – je to nejúčinnější ochrana proti odcizení hesla.
  2. Naučte se kontrolovat odesílatele: klikněte na jméno odesílatele v e-mailové aplikaci a přečtěte si celou adresu.
  3. Nahlaste podezřelý e-mail na CSIRT.CZ (abuse@csirt.cz) – ochráníte tím ostatní.
  4. Ověřte, zda vaše adresa unikla – přejděte na Jak zjistit, zda vaše heslo uniklo: kontrola úniků dat krok za krokem a proveďte kontrolu.
  5. Sdílejte tento průvodce s rodinou – phishing míří také na seniory a méně zkušené uživatele, pro které je osvěta nejcennější ochranou.

Často kladené otázky: jak se bránit phishingu

Jak poznám, že e-mail je phishing?

Sledujte čtyři signály: podezřelou odesílatelskou adresu (doména se liší od originálu), naléhavost textu (zablokování účtu, platba do 24 hodin), žádost o citlivé údaje (heslo, číslo karty) a podivné přílohy nebo odkazy. Před kliknutím vždy najeďte myší na odkaz a zkontrolujte skutečnou cílovou URL.

Co mám dělat, když jsem kliknul na phishingový odkaz?

Ihned zavřete stránku a nezadávejte žádné údaje. Pokud jste něco zadali, okamžitě změňte heslo na daném účtu a zapněte dvoufázové ověření. Pokud jde o bankovní údaje nebo číslo karty, zavolejte na zákaznickou linku banky a kartu nechte zablokovat. Incident nahlaste na CSIRT.CZ.

Jak nahlásit phishing v ČR?

Podvodný e-mail nebo web nahlaste na CSIRT.CZ přes webový formulář nebo e-mail abuse@csirt.cz. Podvodné e-maily imitující konkrétní banku předejte také bezpečnostnímu týmu dané banky – kontakt bývá na jejich webu. Podvodné e-shopy hlaste ČOI.

Může mě antivirus před phishingem ochránit?

Antivirové programy a moderní prohlížeče mají filtry pro blokování phishingových URL ze svých databází. Pomáhají, ale nejsou stoprocentní – nové podvodné stránky vznikají rychleji, než je databáze stíhají zachytit. Nejdůležitější je vaše vlastní obezřetnost.

Nenechte se na internetu napálit

Praktické návody, nezávislé testy a jasná srovnání — vše česky a bez marketingového balastu.

Číst návody Vyzkoušet nástroje