Vyluxují vám konto během vteřiny: Pokud v SMS vidíte tento kód, na nic neklikejte

Začíná to nevinně. Prodáte starou skříň, dětské oblečení nebo třeba telefon, který už nepotřebujete. Za pár hodin vám přijde SMS: Vaše platba čeká na potvrzení. Klikněte zde pro přijetí.

Odkaz vypadá důvěryhodně – třeba jako zasilkovna-platba.xyz nebo ppl-doruceni.online. Na první pohled to sedí. Jenže právě v tom je háček. Tahle zpráva nepřišla od kurýra. Přišla od někoho, kdo chce vaše peníze.

Anatomie podvodu: proč na to lidé skočí

Celý trik stojí na jednom principu – vypadá to legitimně. Útočníci používají zkracovače odkazů typu bit.ly, registrují domény, které se liší od originálu jen jedním písmenem, a dokonce dokážou podvrhnout jméno odesílatele. Místo telefonního čísla se vám v SMS zobrazí třeba Zasilkovna.

Technicky toho dosahují několika způsoby. Zneužívají nedostatečně zabezpečené SMS brány, používají levné SIM karty v takzvaných SIM-boxech, nebo – v sofistikovanějších případech – manipulují s telekomunikační signalizací. Výsledek je vždy stejný: zpráva vypadá, jako by přišla od důvěryhodného odesílatele.

Po kliknutí na odkaz se dostanete na stránku, která je dokonalou kopií platební brány. Vypadá jako ta od vaší banky. Požádá vás o zadání kódu – údajně pro přijetí platby.

Jenže žádná banka nikdy nepožaduje kód pro přijetí peněz. Kódy slouží k autorizaci odchozích plateb nebo spárování zařízení. Jakmile ho zadáte, útočník získá přístup k vašemu účtu.

Co se děje po zadání kódu

V tu chvíli se spouští řetězec událostí, který už těžko zastavíte. Útočník si může spárovat vaši bankovní aplikaci se svým telefonem. Může změnit heslo, kontaktní údaje, odříznout vás od vlastního účtu. A hlavně – může okamžitě převést peníze.

V některých případech jde ještě dál. Odkaz může obsahovat malware – škodlivý software, který se nainstaluje do telefonu. Běží na pozadí, komunikuje s útočníkovým serverem, může odesílat SMS, sledovat vaši aktivitu nebo krást další údaje. Poznáte to třeba podle neobvykle rychlého vybíjení baterie nebo zvýšené spotřeby dat.

Proč to banky nedokážou zastavit

Banky investují do zabezpečení miliardy. Používají dvoufaktorové ověření, biometriku, šifrování. Jenže proti jedné věci jsou bezmocné: proti tomu, když klient sám zadá kód do podvodné stránky.

Podle evropské regulace PSD2 musí být každý autorizační kód svázaný s konkrétní transakcí. Zpráva od banky by měla obsahovat popis – třeba Potvrďte platbu 1 500 Kč pro Jana Nováka. Pokud vám přijde kód bez kontextu, nebo s výzvou k přijetí platby.

Kdo za tím stojí a jak se brání

Provozovat takovou kampaň není levné. Útočníci potřebují servery pro falešné stránky, stovky domén, přístup k SMS branám, infrastrukturu pro praní peněz. Často využívají kryptoměny a sítě takzvaných bílých koní.

Na druhé straně stojí bezpečnostní týmy operátorů, bank i specializovaných firem. Analyzují malware, sledují podezřelé domény, blokují je. Některé DNS služby – třeba Cloudflare nebo Quad9 – automaticky blokují přístup na známé phishingové stránky.

Jenže je to závod, který nikdy nekončí. Útočníci registrují nové domény rychleji, než je stíhají blokovat.

Co z toho plyne pro běžného prodejce

Nejdůležitější ochrana není technická – je to zdravá nedůvěra. Pokud vám přijde SMS s odkazem a výzvou k akci, neklikejte. Otevřete si prohlížeč, zadejte adresu služby ručně, přihlaste se přes oficiální aplikaci.

Pokud máte pochybnosti, zavolejte. Ne na číslo z SMS, ale na oficiální linku banky nebo kurýrní služby. Pár minut ověřování vás může ušetřit měsíců řešení následků.

A hlavně – mluvte o tom s lidmi kolem sebe. Starší příbuzní, méně technicky zdatní přátelé – právě oni jsou nejčastějšími oběťmi. Ne proto, že by byli hloupí, ale proto, že těmto zprávám věří.

V digitálním světě platí jedno pravidlo víc než kdy jindy: pokud něco vypadá příliš pohodlně, pravděpodobně to není pravda.