Česká pošta vydala důležité varování. Pokud vám přijde tato SMS, v žádném případě na ni neklikejte

Zpráva vypadá věrohodně, odkaz vede na stránku, která se od webu České pošty téměř neliší. A přesně v tom spočívá nebezpečí takzvaného smishingu – phishingu šířeného prostřednictvím SMS zpráv.

Tato forma podvodu není v Česku novinkou, ale její intenzita a propracovanost v posledních měsících výrazně vzrostla. Útočníci se zaměřují na běžné situace, které zná každý – čekání na zásilku, komunikaci s poštou, online nákupy ze zahraničí. Sází na to, že v rychlosti a stresu nebudeme přemýšlet.

Jak útočníci vytvářejí iluzi důvěryhodnosti

Klíčovou technikou je takzvaný SMS spoofing. Útočníci dokážou manipulovat s identifikací odesílatele tak, že se zpráva tváří, jako by přišla přímo od České pošty. V některých případech se podvodná SMS dokonce zařadí do existující konverzace s legitimními zprávami od pošty. To dramaticky zvyšuje šanci, že příjemce uvěří.

Podvodné domény jsou dalším pilířem těchto kampaní. Názvy jako ceskaposta-cz.online nebo posta-info.net na první pohled vypadají důvěryhodně. Stránky na nich hostované jsou vizuálně téměř identické s oficiálním webem a obsahují platební formuláře, které sbírají údaje o kartách – číslo, datum expirace i CVV kód.

Tři nejčastější scénáře podvodu

První varianta pracuje s údajně chybějícími údaji pro doručení. Zpráva tvrdí, že zásilka byla pozastavena kvůli neúplné adrese a vyzývá k aktualizaci údajů přes odkaz. Druhý scénář cílí na lidi nakupující v zahraničních e-shopech – zpráva informuje o zadržení balíčku na celnici a požaduje doplatek cla nebo DPH. Třetí typ simuluje neúspěšné doručení a nabízí výběr nového termínu.

Všechny tři varianty mají společný cíl: přimět oběť k zadání platebních údajů. Částka požadovaná k úhradě bývá záměrně nízká – 10 až 50 korun – aby nevzbuzovala podezření. Jakmile ale útočníci získají kompletní údaje o kartě, mohou provádět transakce v řádech tisíců.

Jak se brání operátoři a Česká pošta

Mobilní operátoři v Česku investují do systémů, které analyzují SMS provoz v reálném čase. Algoritmy založené na umělé inteligenci vyhledávají podezřelé vzorce – náhlé špičky v odesílání identických zpráv, známé podvodné domény nebo typická klíčová slova. T-Mobile například uvádí, že denně zablokuje statisíce až miliony nevyžádaných zpráv.

Česká pošta spolupracuje s Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) a týmem CERT.CZ. Monitoruje online prostor, reaguje na nahlášení od klientů a snaží se o rychlé zablokování podvodných domén. Problém je v rychlosti útočníků – jakmile jedna doména padne, během minut vznikají další.

Co dělat, když jste klikli na podvodný odkaz

Pokud jste zadali údaje o platební kartě nebo přihlašovací údaje k bankovnictví, okamžitě kontaktujte svou banku. Požádejte o zablokování karty a případně i účtu. Čas hraje zásadní roli – čím rychleji zareagujete, tím větší šance, že se podaří zabránit ztrátě peněz.

Dalším krokem by mělo být odpojení zařízení od internetu a provedení kompletní antivirové kontroly. Změňte hesla ke všem službám, ideálně z jiného zařízení. Zkontrolujte bankovní výpisy a hledejte podezřelé transakce. Pokud máte podezření na infekci malwarem, kterou antivirus neodstranil, zvažte obnovení továrního nastavení.

Incident nahlaste policii a České poště. Vaše zkušenost pomůže mapovat rozsah kampaně a může přispět k ochraně dalších potenciálních obětí.

Proč je tak těžké útočníky zastavit

Organizované skupiny stojící za těmito kampaněmi operují globálně. Servery hostující podvodné stránky bývají umístěny v zemích s problematickou vymahatelností práva. Útočníci používají VPN, proxy servery a kryptoměny k anonymizaci. Ukradené peníze často mizí přes síť takzvaných money mules – lidí, kteří vědomě či nevědomě pomáhají s praním peněz.

Koordinace mezi operátory, bankami, CERT týmy a policií je klíčová, ale logisticky náročná. Vyžaduje sdílení informací v reálném čase a jednotné protokoly. I přes veškeré úsilí zůstává boj s těmito podvody během na dlouhou trať.

Budoucnost: ověřování odesílatele SMS

Jednou z nadějných technologií je systém Verified SMS, který ověřuje pravost odesílatele a zobrazuje logo a název společnosti. Pro uživatele by to znamenalo jasný vizuální signál, že zpráva skutečně pochází od České pošty. Implementace však vyžaduje spolupráci s operátory a široké rozšíření na straně uživatelů.

Do té doby platí základní pravidlo: Česká pošta nikdy nepožaduje údaje o platební kartě prostřednictvím SMS. Podezřelá doména, jazykové chyby, nečekaný požadavek na platbu – to vše jsou varovné signály. Než kliknete na jakýkoli odkaz, ověřte si informaci přímo na oficiálních stránkách nebo na zákaznické lince.