Phishing & podvody

    Phishing, vishing, quishing: přehled podvodů 2026 a jak je poznat

    Falešné SMS od DHL, deepfake hlasy bankéřů, podvodné QR kódy. Co v Česku aktuálně koluje a jak se bránit.

    Duben 202612 min čteníVlaďka Dudák
    Poznámka: Článek obsahuje affiliate odkazy. Pokud si produkt koupíte přes odkaz, dostanu provizi bez navýšení ceny pro vás. Doporučuji pouze nástroje, které sama používám.

    Naposledy aktualizováno: 6. dubna 2026

    Dnes ráno mi přišla SMS od „PPL" s tím, že zásilka čeká na celnici a mám zaplatit 49 Kč za proclení. Odkaz vedl na stránku, která vypadala k nerozeznání od reálného webu PPL. Pokud bych neklikla na URL a nepodívala se na doménu, možná bych se nechala nachytat. Tenhle scénář dostanu průměrně dvakrát týdně, vždy od jiného dopravce nebo instituce. A v práci navíc dostávám phishingové emaily jako součást bezpečnostního testování firmy.

    Phishingové útoky v ČR v roce 2026 nejsou žádná novinka, ale mění se jejich kvalita. Napsat vám, co aktuálně koluje a jak to poznat.

    Proč je phishing v roce 2026 nebezpečnější než dřív

    Dřív šlo phishingové zprávy poznat podle gramatických chyb, podivné češtiny a podezřelého formátování. Dnes to tak jednoduché není. Útočníci využívají nástroje umělé inteligence k automatizovanému generování zpráv v gramaticky bezchybné češtině, s přesnou imitací vizuálního stylu bank, pojišťoven nebo zásilkových společností.

    Data NÚKIB

    Podle dat NÚKIB bylo v ČR za roky 2022 až 2026 zaznamenáno přes 7 793 phishingových incidentů. Jen za první dva měsíce roku 2026 způsobily vishing útoky, při kterých útočníci napodobují hlasy bankéřů nebo policistů, škody přes 150 milionů korun.

    Jako IT analytička to vidím i z druhé strany. Ve firmě nás pravidelně testují simulovanými phishingovými emaily. Pokud klikneme na odkaz, jde zpráva nadřízenému a musíme absolvovat bezpečnostní školení. Je to nepříjemné, ale funguje to. Dobře navržený phishingový email může nachytat i zkušeného IT pracovníka, pokud přijde ve správný moment.

    5 typů útoků, které v ČR právě kolují

    1. SMS phishing (smishing) od dopravců

    Nejčastější scénář, který dostávám, napodobuje Českou poštu, DHL nebo PPL. Zpráva oznamuje, že zásilka čeká na vyzvednutí, nebo že je potřeba zaplatit drobný poplatek. Odkaz vede na falešnou stránku, která sbírá platební údaje.

    Jak to poznat: zkontroluj doménu v odkazu. Oficiální stránky dopravců mají přesné adresy (ppl.cz, dhl.com), ne podezřelé varianty jako ppl-delivery.eu nebo dhl-platba.cz. Pokud čekáš zásilku, zkontroluj stav přímo na webu dopravce zadáním sledovacího čísla ručně.

    2. Vishing a deepfake hlasy

    Deepfake vishing je typ útoku kdy útočníci naklonují hlas příbuzného nebo bankéře z nahrávky dostupné online. Ke klonování stačí tři sekundy záznamu z YouTube nebo Facebooku. Jedinou spolehlivou obranou je rodinné bezpečnostní heslo - tajné slovo které AI neví. Pokud vás kdokoli žádá o okamžitou akci přes telefon, zavěste a zavolejte zpět na číslo z oficiálního webu instituce. (Zdroj: CDC.cz - AI v rukou kyberzločinců)

    Cílová skupina vishingu jsou podle dat NÚKIB především ženy, průměrný věk 45 let. Útočníci hrají na emoce: naléhavost, strach ze ztráty úspor, nebo tvrzení že je příbuzný v nouzi.

    3. Quishing: podvody přes QR kódy

    Quishing (phishing přes QR kódy) se šíří přes parkovací automaty s nalepenými falešnými QR kódy nebo přes dopisy vydávající se za korespondenci od Finančního úřadu. Po naskenování kód přesměruje na falešnou platební stránku nebo formulář pro zadání přihlašovacích údajů.

    Moje pravidlo: QR kód z fyzického dopisu nebo automatu na ulici nikdy neskenuju. Vždy raději zadám adresu webu ručně.

    4. Email phishing od bank a pojišťoven

    Po registraci u jakékoli finanční instituce se e-mailová adresa dostane do oběhu. Dostávám phishingové emaily napodobující banky které používám, pojišťovny i Finanční úřad. Kvalita se liší, ale ty nejpropracovanější mají identický vizuál i styl komunikace jako originál.

    Nedávno mi přišel email, který na první pohled vypadal legitimně: banka prý potřebuje potvrdit osobní údaje kvůli nesouhlasu s registrem obyvatel. Zavolala jsem přímo na infolinku banky. Tentokrát to bylo legitimní, ale bez ověřovacího telefonátu bych to od phishingu nerozlišila. Přesně tohle je podstata problému.

    5. Investiční podvody po registraci u brokera

    Tenhle typ je méně diskutovaný, ale čím dál rozšířenější. Po registraci u brokerské platformy začínají chodit nabídky na exkluzivní IPO příležitosti, garantované výnosy z kryptoměn nebo investice do akcií ČEZ s tvářemi Petra Pavla v reklamách. Zprávy přicházejí emailem i přes WhatsApp a LinkedIn.

    Útočníci pravděpodobně sbírají data z uniklých registrací nebo kupují emailové seznamy ze šedého trhu. Princip je vždy stejný: naléhavá příležitost, exkluzivní přístup, časový tlak. Žádná legitimní investiční příležitost takto nefunguje.

    Jak poznám, že to je podvod: postup který používám

    Po letech každodenního boje s phishingem mi funguje tenhle přístup.

    1

    Všimnu si emocí. Naléhavost, strach ze sankce, radost z výhry nebo strach o příbuzného jsou klasické spouštěče. Pokud zpráva vyžaduje okamžitou akci bez prostoru na rozmyšlení, je to první varování.

    2

    Zkontroluji doménu nebo číslo odesílatele. U emailů koukám na skutečnou emailovou adresu, ne jen na zobrazené jméno. U SMS si všimnu, jestli číslo odpovídá formátu běžné komunikace od dané instituce.

    3

    Nikdy neklikám na odkaz v emailu ani SMS. Adresu webu zadám ručně do prohlížeče, nebo zavolám přímo na číslo z oficiálního webu instituce.

    4

    V práci reportuji podezřelé emaily. Nikdy nepřeposílám ani neotevírám přílohy, i kdyby zpráva vypadala jako interní komunikace.

    Nástroje, které mi pomáhají

    Technické nástroje nejsou náhrada za obezřetnost, ale snižují riziko pochybení ve chvíli nepozornosti.

    Správce hesel

    Správce hesel automaticky vyplní přihlašovací údaje jen na doméně, kde je účet skutečně zaregistrovaný. Pokud mě phishing přesměruje na falešnou stránku, správce odmítne vyplnit heslo, protože doménu nerozpozná. Používám NordPass s rodinným plánem, který chrání celou domácnost.

    Antivirus s ochranou webu

    Zachytí phishingové URL ještě než stránku otevřeš. Surfshark Antivirus skenuje přílohy v reálném čase a má funkci blokování nebezpečných domén.

    VPN pro šifrování přenosu

    VPN šifruje přenos dat, takže i kdyby útočník monitoroval veřejnou WiFi, nezíská přihlašovací údaje v čitelné podobě. Já používám Proton VPN a zapínám ho vždy, když jsem mimo domácí síť.

    Affiliate odkaz: tyto produkty doporučuji na základě vlastní zkušenosti. Pokud si produkt koupíte přes odkaz, dostanu provizi bez navýšení ceny pro vás.

    Časté dotazy

    Co mám dělat, když jsem klikla na phishingový odkaz?

    Pokud jsi na falešné stránce nezadala žádné údaje, pravděpodobně se nic nestalo. Pokud jsi zadala přihlašovací jméno a heslo, okamžitě ho změň všude kde ho používáš a v bance aktivuj upozornění na transakce. Pokud jsi zadala platební údaje, kontaktuj banku na čísle na zadní straně karty a požádej o blokaci.

    Jak funguje deepfake vishing a jak ho poznat?

    Útočník nahraje hlas příbuzného nebo bankéře z veřejně dostupné nahrávky a pomocí AI ho naklonuje v reálném čase. Výsledkem je telefonát, který zní jako skutečná osoba. Nejspolehlivější obranou je domluvené bezpečnostní slovo v rodině. Pokud ho volající nezná, zavěs.

    Je každá SMS od DHL nebo PPL podvod?

    Ne, dopravci SMS legitimně posílají. Rozdíl je v tom, co po tobě zpráva chce. Podvodná zpráva vyžaduje platbu nebo přihlášení přes odkaz s podezřelou doménou. Zásilku vždy ověř ručním zadáním sledovacího čísla na webu dopravce.

    Jak ověřím, jestli je email od banky pravý?

    Nikdy neklikej na odkaz v emailu od banky. Přejdi na web banky přímým zadáním adresy do prohlížeče, přihlas se tam a zkontroluj jestli banka má v systému nějakou zprávu nebo výzvu. Pokud email požaduje potvrzení údajů, zavolej přímo na infolinku. Banky nikdy nevyžadují nahrání skenu dokladu přes email.

    Co z toho vyplývá

    Phishing v roce 2026 není záležitost pro neznalé. Falešné zprávy, které dostávám, jsou technicky i vizuálně propracované a cílí na momentální nepozornost. Žádný nástroj tě neochrání stoprocentně, ale kombinace obezřetnosti a správného softwaru riziko výrazně snižuje.

    Nejjednodušší první krok je správce hesel. Chrání tě automaticky, bez toho aniž bys musela při každém přihlášení přemýšlet o doméně. Pokud ho ještě nemáš, začni tady: NordPass.

    Pokud jsi dostala podezřelou zprávu a nevíš jestli jde o podvod, napiš mi na vladka@digitalnibezpeci.cz, podívám se na to s tebou.

    Mohlo by tě zajímat