Jak poznat, že nejde jen o „divnou platbu“, ale o phishingový útok
U finančního phishingu je rozhodující rychlost. Často se neprojeví jedním velkým převodem, ale sledem drobných kroků: přihlášení do bankovnictví z nového zařízení, změna limitů, potvrzení platby v mobilní aplikaci nebo přesměrování SMS kódů. Podle dat bezpečnostních týmů bank bývají peníze po útoku často rozděleny do několika transakcí a během 15 až 60 minut putují přes další účty nebo platební brány, aby se ztížilo jejich dohledání.
Typické scénáře vypadají takto:
- Falešná platební brána nebo přihlašovací stránka – zadáte údaje ke kartě nebo do internetového bankovnictví.
- Smishing – SMS s výzvou k „doplacení zásilky“, „ověření účtu“ nebo „blokaci platby“.
- Vishing – volající se vydává za banku a přesvědčí vás k instalaci aplikace nebo sdělení kódu.
- Zneužití autorizace – sami potvrdíte platbu v mobilní aplikaci, protože útočník vytvoří dojem legitimní operace.
První indikátor je často prostý: v aplikaci banky vidíte transakci, kterou jste neprovedli, nebo vám přišlo upozornění na změnu hesla, limitu či nové zařízení. V tu chvíli už nečekejte na „až bude čas“. Každá minuta snižuje šanci, že banka platbu zachytí nebo že zůstane dohledatelná.
Prvních 30 minut rozhoduje: co udělat okamžitě
Nejdřív zastavte další škody. Pokud máte podezření, že útočník získal přístup k účtu, jednejte v tomto pořadí:
- Okamžitě kontaktujte banku přes oficiální infolinku z webu nebo z mobilní aplikace.
- Zablokujte kartu, pokud šlo o kartovou platbu nebo máte podezření na zneužití karty.
- Změňte heslo do internetového bankovnictví a e-mailu, který je s bankou propojený.
- Odhlaste všechna zařízení v bankovní aplikaci, pokud to banka umožňuje.
- Vypněte internetové bankovnictví nebo dočasně omezte platby, pokud banka nabízí nouzový režim.
U bankovních převodů je klíčové, aby banka dostala informaci co nejdříve. Pokud je převod ještě „v procesu“, může jej zkusit stornovat nebo zablokovat příjemce. U karetních transakcí se řeší chargeback, tedy reklamace platby. U okamžitých plateb je situace složitější, protože peníze odcházejí téměř ihned, ale i tak má smysl kontaktovat banku bez prodlení.
Praktický tip: Mějte uložené číslo na banku mimo telefon, ideálně na papíře nebo v zabezpečeném správci hesel. Když je telefon kompromitovaný, nemusíte se na něj spoléhat.
Jak správně komunikovat s bankou, aby se případ neuzavřel příliš rychle
Banky řeší phishingové podvody podle interních procesů a důkazů. Pokud jim zavoláte jen s tím, že „něco zmizelo z účtu“, riskujete pomalé nebo neúplné šetření. Připravte si přesná fakta:
- čas, kdy jste naposledy účet kontrolovali bez problému,
- přesnou částku a čas neautorizované transakce,
- zda jste klikli na odkaz, zadali údaje nebo potvrdili platbu,
- zda došlo k instalaci aplikace na vzdálenou správu,
- zda vám přišla podezřelá SMS, e-mail nebo telefonát.
Požádejte banku o:
- okamžité zablokování přístupu k účtu a kartám,
- zahájení reklamace neautorizované transakce,
- potvrzení přijetí podnětu písemně,
- informaci, zda je možné transakci recallovat nebo zastavit příjemce,
- vydání výpisu a transakčních detailů pro policii.
V Česku navíc platí, že u neautorizovaných plateb má banka povinnost posuzovat, zda jste transakci opravdu schválili, nebo zda šlo o podvod. Pokud jste nejednali hrubě nedbale, bývá šance na řešení výrazně vyšší. Z praxe ale plyne, že banka bude zkoumat i to, zda jste sami nesdělili ověřovací kód nebo nepotvrdili operaci v aplikaci pod vlivem podvodu.
Co dělat s policií, operátorem a digitální stopou
Současně s bankou řešte i ostatní kanály, přes které mohl útok proběhnout. Pokud jste přišli o peníze přes phishing, je důležité vytvořit důkazní stopu co nejdřív. Policii podejte trestní oznámení a přiložte vše, co máte:
- screenshoty SMS, e-mailů a podvodných webů,
- časovou osu událostí,
- čísla účtů, na které peníze odešly,
- telefonní čísla, ze kterých volal útočník,
- výpis z banky a potvrzení od banky.
Pokud došlo k přesměrování SIM, podezření na eSIM podvod nebo zneužití SMS kódů, kontaktujte také mobilního operátora. Požádejte o kontrolu změn SIM, přesměrování hovorů a případné vydání záznamů o změnách na účtu. Útočníci často cílí na tzv. účetní takeover, kdy se snaží získat kontrolu nad telefonním číslem právě kvůli jednorázovým kódům.
Užitečné je i technické uchování důkazů. Neodstraňujte e-maily, nesmažte SMS a neinstalujte do telefonu „čističe“ nebo antiviry z neznámých zdrojů. Pokud máte podezření na malware, nechte zařízení zkontrolovat odborníkem. Z hlediska forenzní hodnoty je důležité zachovat původní stav zařízení, dokud nebudou pořízeny kopie důkazů.
Jak zvýšit šanci, že peníze dostanete zpět
V praxi záleží na tom, jak přesně útok proběhl a jak rychle jste reagovali. U neautorizovaných karetních transakcí bývá šance na řešení lepší než u převodů, které jste sami potvrdili v domnění, že jde o legitimní platbu. Přesto existují kroky, které pomáhají:
- Jednejte do 24 hodin – čím dřív banka dostane oznámení, tím lépe.
- Trvejte na klasifikaci jako phishing/podvod, ne jako „běžný spor“.
- Dokládejte, že jste byli uvedeni v omyl – například falešnou stránkou, imitací banky nebo podvrženým telefonátem.
- Uveďte, že jste neudělili souhlas k transakci, pokud šlo skutečně o zneužití účtu.
Podle evropské platební legislativy se neautorizovaná transakce řeší odlišně od autorizované, ale podvodně vynucené platby. To je zásadní rozdíl. Pokud jste sami zadali příkaz, banka může argumentovat, že transakce byla autorizovaná. Proto je potřeba přesně popsat, jak jste byli zmanipulováni, a doložit podklady. Pokud jste třeba zadali údaje na falešnou stránku, ale platbu jste nepotvrdili, je situace jiná, než když jste potvrzení schválili v mobilní aplikaci.
Pomáhá i to, když ihned zkontrolujete další účty: e-mail, PayPal, Apple ID, Google účet, sociální sítě a e-shopy s uloženou kartou. Útočníci často po prvním průniku zkouší další služby, protože jeden kompromitovaný e-mail znamená řetězovou reakci. Změna hesel a zapnutí dvoufaktorového ověření po incidentu je nutnost, ne doporučení.
Jak se chránit po útoku, aby se situace neopakovala
Po incidentu je vhodné udělat bezpečnostní revizi všech finančních i digitálních účtů. Největší chyby bývají opakovaně stejné: jedno heslo pro více služeb, potvrzování plateb bez kontroly detailů a slepá důvěra v SMS kódy. Dnes je bezpečnější používat aplikace banky s biometrickým ověřením a samostatným PINem, než spoléhat jen na textové zprávy.
Konkrétní opatření, která mají nejvyšší efekt:
- Správce hesel pro unikátní a silná hesla.
- Dvoufaktorové ověření přes aplikaci, ne přes SMS, pokud to služba umožňuje.
- Notifikace o pohybech na účtu v reálném čase.
- Nižší limity plateb a jejich dočasné zvýšení jen v případě potřeby.
- Oddělený e-mail pro banku a finanční služby.
U firemních účtů doporučuji i interní proces: dvojí schvalování plateb, seznam povolených příjemců a pravidelné ověřování přístupů. U osobních financí zase pomáhá jednoduché pravidlo: pokud vás někdo tlačí do okamžité akce, neplaťte, neklikejte, nevolejte zpět na číslo ze zprávy. Ověřte kontakt přes oficiální web banky nebo aplikaci.
Finanční phishing je dnes kombinace psychologie, techniky a rychlosti. Kdo reaguje během prvních desítek minut, má výrazně vyšší šanci omezit škody i získat peníze zpět. Kdo čeká do dalšího dne, často už řeší jen forenzní stopu a reklamaci bez záruky úspěchu.
