V posledních letech se i v České republice objevuje fenomén tzv. spoofingu – tedy podvodných telefonátů, při kterých se útočník vydává za důvěryhodný kontakt. Ačkoli podle Českého telekomunikačního úřadu (ČTÚ) počet těchto případů meziročně klesl přibližně na třetinu, riziko přetrvává. Spoofing se totiž spoléhá na moment překvapení, manipulaci a důvěru – na displeji se může objevit známé číslo, například vaše vlastní, číslo banky nebo technické podpory. Volající působí profesionálně a naléhavě. Varuje vás třeba před „neoprávněnou platbou“, „ohroženým účtem“ nebo tvrdí, že někdo přenáší vaše telefonní číslo. Následuje výzva k ověření identity, zadání SMS kódu nebo sdělení údajů k platební kartě.
Aby tomuto zneužití zabránil, zavedl ČTÚ v roce 2024 dvě technická opatření:
- Od 1. června 2024 musí být u příchozího hovoru vždy uvedeno reálné telefonní číslo, které je spojeno s konkrétním účastníkem.
- Od 1. července 2024 jsou automaticky blokovaná volání ze zahraničí, která se na displeji tváří jako české číslo s předvolbou +420.
Právě schopnost zobrazit se jako známý kontakt činí spoofing nebezpečným – útočník využívá techniku manipulace s identifikací volajícího, čímž zvyšuje šanci, že mu příjemce hovoru uvěří. Na tato rizika dlouhodobě upozorňuje také Český telekomunikační úřad, který se snaží spoofing omezit nejen technickými kroky, ale také informováním veřejnosti.
Podrobnosti najdete v tiskové zprávě ČTÚ.
Útočníci při těchto hovorech často využívají techniku spoofingu – tedy manipulace s identifikací volajícího, kdy se na displeji zobrazí důvěryhodné číslo, například právě vaše vlastní. Právě tato věrohodnost činí spoofing tak nebezpečným. Na rizika této praktiky dlouhodobě upozorňuje také Český telekomunikační úřad (ČTÚ), který v roce 2023 zavedl technická opatření proti zobrazování falešných čísel. Podrobnosti najdete v tiskové zprávě ČTÚ: ČTÚ pomůže výrazně omezit spoofing.
Český telekomunikační úřad na tento problém reagoval opatřením proti spoofingu, které vešlo v platnost v roce 2023. Cílem je zabránit zobrazování falešných čísel v mobilních sítích a omezit šíření podvodných hovorů. Přesto však zůstává obezřetnost velmi důležitá – útoky se nadále vyvíjejí a obcházejí i nové bezpečnostní prvky.
O spoofingu jsme na našich stránkách psali už začátkem ledna 2024 – v článku „Spoofing: Co o něm víme“ jsme shrnuli základní pojmy, včetně technických principů a legislativního rámce. V tomto aktuálním textu se zaměřujeme především na praktické příklady, reálné scénáře z Česka a doporučení, jak podvodné telefonáty rozpoznat a nenechat se nachytat.
Útočníci často využívají osobní údaje – mohou znát jméno, adresu nebo poslední transakce. To vyvolává dojem, že hovor je legitimní a že druhá strana skutečně jedná v zájmu oběti. Spoofing navíc často probíhá ve spojení s dalšími metodami sociálního inženýrství, například s takzvaným vishingem – podvodným telefonátem, jehož cílem je vylákat citlivé informace nebo přístupové údaje. Následky mohou být fatální: od neoprávněných plateb přes krádež identity až po psychické dopady spojené s pocitem selhání nebo studu.
Přestože se o telefonních podvodech mluví čím dál častěji, mnoho lidí stále netuší, že i číslo, které se jim zobrazí na displeji, může být falešné. Když na mobilu svítí „banka“ nebo dokonce „vlastní číslo“, vyvolá to okamžitě důvěru. Právě na to útočníci spoléhají. Nevystupují agresivně – naopak, působí profesionálně, mluví klidně a vstřícně, často i velmi dobře česky. Tvrdí, že volají z důvodu ochrany účtu, varují před „podezřelou platbou“ nebo „přesunem telefonního čísla“, a nabídnou rychlou pomoc. Celý hovor je pečlivě připravený tak, aby vás dostal pod tlak a přiměl jednat bez rozmýšlení.
I když telefonát může působit naprosto důvěryhodně, není složité, aby útočník zfalšoval identitu volajícího – mluvil jménem banky, technické podpory nebo policie. Jeho cílem je jediné: získat vaše údaje. Typicky požádá, abyste zadali ověřovací kód, sdělili přístupové údaje nebo potvrdili platbu, která ale ve skutečnosti odešle peníze přímo podvodníkovi.
Na tento typ hovorů opakovaně upozorňuje i Český telekomunikační úřad (ČTÚ), který v reakci na nárůst případů zavedl technická opatření, jež mají ztížit zneužívání falešné identity při volání. Spoofing je závažný problém právě proto, že dlouhodobě využíval slabiny v mezinárodním směrování hovorů mezi operátory. V sítích před nástupem 5G bylo díky důvěře mezi přeshraničními operátory možné relativně snadno předstírat telefonní číslo – například číslo banky, policie nebo dokonce vlastní. Podvodník tak mohl zavolat z libovolného čísla, které na displeji příjemce vypadalo důvěryhodně. Platí obě opatření proti spoofingu – při problémech se obracejte na poskytovatele služby
Přesto zůstává zásadní osobní obezřetnost. Dodržujte základní zásady:
- Nikdy nesdělujte citlivé údaje po telefonu.
- Ověřujte si informace z oficiálních zdrojů.
- Nepodléhejte nátlaku, časovému tlaku ani výhrůžkám.
- Zavěste a ověřte si číslo zpětným hovorem na oficiální linku.
- Oznamte podezřelý hovor své bance a Policii ČR.
Důležitá je ale i prevence. NÚKIB shrnuje základní rady, jak se při telefonickém podvodu zachovat: Jak poznat podvodný telefonát – doporučení NÚKIB.
Pro základní orientaci v oblasti internetové bezpečnosti doporučujeme také přehledový článek na Kvalitním Internetu: Bezpečnost na internetu: Jak chránit sebe a svou rodinu před kybernetickými hrozbami.
V minulosti bylo možné tyto podvodné hovory snadno uskutečnit díky mezerám v systému. Spoofing totiž zneužívá důvěry mezi jednotlivými operátory – například při přeshraničním spojení. Podvodník tak mohl nastavit libovolné telefonní číslo jako výchozí a hovor se pak tvářil, že přichází z důvěryhodného zdroje. Právě tento princip je i v době 5G sítí stále částečně zneužitelný, a proto byl důvodem, proč ČTÚ v roce 2023 zavedl dvě opatření, která mají technicky zamezit zobrazování podvržených čísel u příchozích hovorů. Cílem je ztížit útoky, při nichž se útočník vydává za banku, policii nebo technickou podporu. Přesto i s novými technologiemi zůstává obezřetnost zásadní – technické řešení samo o sobě nestačí.
Sofistikovanost těchto podvodných telefonátů navíc potvrzují i reálné případy, které zaznamenaly české instituce. Česká národní banka zveřejnila autentickou nahrávku hovoru, při kterém se útočník vydával za jejího zaměstnance a snažil se od volaného vylákat citlivé údaje pod záminkou „ochrany účtu“ (ČNB – autentická nahrávka). Podobný scénář zaznamenala i Finanční správa, která varovala před falešnými telefonáty o přeplatcích na daních – s cílem přimět volaného k přihlášení na falešný web nebo k poskytnutí údajů z platební karty (Finanční správa – varování). Ministerstvo financí navíc informovalo o případech, kdy se útočníci vydávali za pracovníky Celní správy a požadovali úhradu neexistujících pokut (Celní správa – varování). Tyto příklady ukazují, že spoofing není teorie, ale reálné riziko, které může zasáhnout kohokoli – bez ohledu na věk, vzdělání nebo digitální zdatnost.
Co dělat, když podezřelý telefonát přijde? V první řadě je důležité zachovat klid a nenechat se vmanipulovat do rychlé reakce. I když se na displeji objeví „známé“ číslo nebo jméno instituce, nikdy nesdělujte citlivé údaje po telefonu – ani kódy z SMS, přístupové údaje, ani číslo platební karty. Pokud volající tvrdí, že je z vaší banky, technické podpory nebo jiné důvěryhodné instituce, zavěste a zavolejte zpět – ale ne na číslo, které vám poskytl volající. Využijte oficiální kontakty uvedené na webových stránkách nebo na zadní straně platební karty. Stejně tak platí, že žádná seriózní instituce vás nebude po telefonu nutit k okamžitému rozhodnutí ani k instalaci softwaru na vzdálený přístup. Pokud si nejste jistí, nebo pokud jste na hovor zareagovali pod nátlakem, ihned kontaktujte svou banku a podejte podnět Policii ČR nebo přes portál. Podání lze učinit osobně na nejbližší policejní stanici, písemně, nebo elektronicky prostřednictvím elektronické podatelny. Pro nahlášení kybernetických incidentů můžete využít také formulář pro hlášení kyberkriminality.
Telefonní podvody často míří na emoce – strach, pocit viny, naléhavost nebo naopak falešný pocit bezpečí. Právě tyto techniky se osvědčily jako nejúčinnější při manipulaci lidí. Útočníci se snaží vytvořit iluzi důvěry a bezpečí, aby vás přiměli jednat okamžitě a bez rozmyslu. Například vám může přijít SMS s informací o zablokovaném účtu a vzápětí telefonát „z banky“, ve kterém volající nabídne pomoc. V takové chvíli mozek reaguje na paniku nebo úlevu a často nedochází k ověření, zda je vše skutečně v pořádku. Podobné případy podvodných telefonátů byly zaznamenány i v České republice. Například Policie ČR informovala o případu, kdy poškozený obdržel SMS zprávu s tvrzením, že jeho účet byl napaden. Následně mu telefonoval údajný bankovní pracovník, který ho instruoval k převedení finančních prostředků na “bezpečný účet”. Poškozený tak přišel o 212 tisíc korun.
Nikdy nesdělujte po telefonu citlivé údaje, jako jsou čísla platebních karet, přístupové údaje do internetového bankovnictví nebo bezpečnostní kódy. Banky, úřady ani policie vás k tomu po telefonu nikdy nevyzvou. Pokud ano, téměř jistě jde o telefonní podvod. A i když hovor působí důvěryhodně, je důležité si uvědomit, že podvodníci umí hlasově i jazykově působit velmi profesionálně – a dokáží manipulovat i zkušené uživatele. Jediné bezpečné řešení je tak zachovat klid, odmítnout poskytnutí údajů a ukončit hovor.
Pokud si nejste jistí, zda byl hovor legitimní, nikdy nejednejte pod tlakem. Zavěste a sami si vyhledejte oficiální kontakt na svou banku nebo instituci, která vám údajně volala. Použijte ověřené zdroje – například webové stránky banky, oficiální zákaznické linky nebo mobilní aplikaci. Nikdy nevolejte zpět na číslo, které vám volalo, protože i to může být podvržené. Je také vhodné o podezřelém hovoru informovat poskytovatele telefonních služeb nebo se obrátit na Policii ČR.
V případě, že jste již nějaké údaje sdělili – například zadali kód z SMS, nadiktovali číslo karty nebo potvrdili platbu – jednejte okamžitě. Kontaktujte svou banku, aby mohla transakci co nejdříve zablokovat, a požádejte o dočasné zablokování účtu nebo karty. Pokud máte podezření, že mohlo dojít k podvodu, obraťte se na Policii ČR a podejte trestní oznámení. Vyplatí se také kontaktovat Český telekomunikační úřad, který sbírá podněty k těmto případům a může je dále vyhodnocovat v rámci opatření proti spoofingu.
Spoofing (z anglického „to spoof“ – tedy napálit nebo falšovat) je ukázkou toho, jak důvěru mezi lidmi a technologiemi dokáže zneužít sofistikovaný útočník. Znamená to, že útočník podvrhne telefonní číslo volajícího – na displeji se tak zobrazí důvěryhodné číslo, které ve skutečnosti nepatří jemu.
Přestože Český telekomunikační úřad a jednotliví operátoři zavádějí technická opatření, která mají falešným hovorům zamezit, neexistuje stoprocentní ochrana. Právě proto je osobní obezřetnost tím nejdůležitějším prvkem obrany. Mluvte s blízkými o tom, že telefonní číslo na displeji nemusí být pravé. Vysvětlujte, že je v pořádku zavěsit a ověřit si informace z důvěryhodného zdroje. A hlavně – nikdy nesdělujte osobní ani finanční údaje po telefonu, i když to na první pohled vypadá, že volá „banka“ nebo „policie“.
Spoofing je aktuální hrozba, kterou nelze brát na lehkou váhu. Ale právě informovanost, zdravý rozum a znalost základních principů obrany jsou tím, co nám může pomoci chránit sebe i své blízké.
Spoofing není jedinou hrozbou, která číhá na naše digitální soukromí. O tom, jak chránit osobní údaje a zabezpečit svá zařízení před zneužitím, jsme psali i v článku Chráníte své digitální údaje a soukromí?. Najdete v něm praktické tipy pro každodenní digitální hygienu i doporučení, jak přemýšlet o sdílení dat v online prostředí.
Chcete vědět víc o tom, jak se bránit moderním podvodům a chránit své soukromí? Sledujte další články na kvalitni-internet.cz, kde pravidelně sdílíme praktické rady a aktuální informace o digitální bezpečnosti.
