Prohlížeč není podporován

Doporučujeme Google Chrome

Bezpečnost má zelenou – Kooperativa

Spoofing: Co to je a jak se bránit podvrženému volání

  • 8 minut čtení
Zvoní vám telefon a na displeji se zobrazí číslo vaší banky. Zvedáte hovor s důvěrou, aniž byste tušili, že na druhé straně sedí podvodník. Přesně tak funguje spoofing – jedna z nejzákeřnějších metod, kterou dnes kyberzločinci používají. Ukážeme vám, s jakými formami spoofingu se můžete setkat, a hlavně jak se před nekalými praktikami chránit.

Co se v tomto článku dozvíte:

  • Jak je snadné vydávat se za někoho jiného: Jak útočníci dokážou „přepsat“ své číslo na číslo vaší banky nebo policie.
  • Vishing (Hlasový podvod): Proč podvodníci používají speciální ústředny, které jim dovolí maskovat se za kohokoliv.
  • Deepfake hlasy: Proč dnes díky AI nemůžete věřit ani hlasu vlastního dítěte, které vás v telefonu prosí o peníze, a jak se proti tomu bránit „heslem pro rodinu“.
  • Digitální pasti: Jak vás útočníci mohou přesměrovat na falešný web banky, který vypadá úplně stejně jako ten pravý – a podle čeho odhalíte podvod.
  • Varovné signály: Pět jasných znaků, že hovor je podvod.
  • Obrana: Proč je „zavěsit a zavolat zpět“ nejúčinnější zbraní, kterou proti hackerům máte.

Co je spoofing

Spoofing je technika, při které útočník zfalšuje svou identitu, aby vypadal jako důvěryhodná osoba nebo instituce. Nejčastěji se setkáte s takzvaným caller ID spoofingem, tedy podvržením telefonního čísla volajícího. Princip je ale stejný i u e-mailů, IP adres nebo webových stránek.

Spoofing spadá pod širší kategorii sociálního inženýrství – tedy psychologické manipulace, jejímž cílem je přimět oběť k určité akci: sdělení citlivých údajů, převod peněz nebo instalace malwaru, tedy škodlivého softwaru.

 

Jaké jsou nástrahy škodlivého softwaru? 👉  Přečtěte si článek Malware: Co to je, jak ho poznat a jak se před ním chránit

Typy spoofingu

Telefonní spoofing (vishing)

Telefonní spoofing, označovaný také jako vishing, je nejčastější formou spoofingu, se kterou se běžný člověk setká. K mobilní síti nejsou připojeny jen telefony, ale i pevné linky nebo takzvané telefonní ústředny. Ty se používají typicky ve firmách, které mají vlastní call centra nebo jiná oddělení, která jsou v telefonním kontaktu s klienty. A právě telefonní ústředny často umožňují nastavení ID volajícího (tedy nastavení telefonního čísla, které se zobrazí příjemci). Není to tedy obvykle možné pomocí běžného mobilního telefonu.

„Dnešní mobilní operátoři v České republice (a EU) blokují vishing. Od roku 2025 tak není možné jednoduše zfalšovat telefonní číslo volajícího. Stále ovšem lze falšovat telefonní číslo u SMS,“ upozorňuje David Pecl ze Security Avengers a dodává: „Útočník si nemusí nastavit jen vybrané číslo, ale může si nastavit místo zobrazení čísla i nějaký řetězec znaků, například ‚MojeBanka′. Obdobně to funguje ve chvíli, kdy vám dopravce veze zásilku a v přijaté SMS se zobrazí jako odesilatel například ‚GLS CZ′ nebo služba ‚RohlikCZ′.“ Ačkoliv operátoři postupně zavádí způsoby, jak tomuto spoofingu zabránit, nejsou tyto metody zatím plně rozšířené a stoprocentní.

Útočník se při vishingu nejčastěji vydává za autoritu, jako je banka, policie nebo úřad, používá časový tlak a snaží se ve své oběti vyvolat strach, aby ji donutil k rychlé akci: sdělení SMS kódu, instalaci „zabezpečovací” aplikace nebo převodu peněz.

Umělá inteligence v režii podvodníků

AI dnes umožňuje generovat takzvané deepfake hlasy. Útočník ani nemusí umět česky — AI mu vygeneruje hlas, který perfektně mluví českým jazykem. Navíc je možné hlas naklonovat na základě nahrávky. Útočník tedy může napodobit vašeho bankéře, šéfa nebo třeba rodinného příslušníka. Dnes už zkrátka po telefonu nelze věřit ani hlasu vlastního dítěte, které říká: „Mami, potřebuji rychle poslat peníze.”

  

Jak podvodníci využívají AI k vytvoření deepfake? 👉 Více se dozvíte v článku Deepfake: Co to je, jak ho poznat a jak se chránit

❗Podívejte se na video, kde vám youtuber Kovy společně s odborníkem na kyberbezpečnost Davidem Peclem ukážou, jak je snadné vytvořit deepfake.

Pro zobrazení obsahu je nutné povolit cookies sociálních sítí.

E-mailový spoofing

Stejně jako lze podvrhnout telefonní číslo, dá se zfalšovat i adresa odesilatele e-mailu – jedná se o takzvaný fake mails. Útočník pošle e-mail, který vypadá, jako by přišel například z adresy info@vasebanka.cz, přestože ve skutečnosti přišel z úplně jiného serveru. „Proti falšování e-mailů (adresy odesilatele) je nutné na straně provozovatele e-mailu nastavit tzv. DKIM+DMARC záznam,“ radí David Pecl. Tyto metody pomáhají ověřit pravost odesílatele.

IP spoofing

Při IP spoofingu útočník maskuje falešnou zdrojovou IP adresu. Cílem je skrýt skutečný původ komunikace nebo se vydávat za důvěryhodné zařízení v síti. IP spoofing se často využívá při DDoS útocích (kybernetické útoky Distributed Denial-of-Service, při nichž dochází k zahlcení webu nebo serveru), nebo při útocích typu man-in-the-middle (v překladu člověk uprostřed), kdy se útočník vmísí do komunikace mezi dvěma stranami a získává tím přístup k citlivým informacím, například osobním či finančním údajům nebo heslům.

DNS spoofing

DNS spoofing (někdy označovaný jako DNS cache poisoning) je pokročilým útokem, který spočívá v podvržení záznamů v systému DNS (Domain Name System, tedy systém doménových jmen, který „překládá“ doménová jména na číselnou IP adresu). Co to v praxi znamená? Útočník změní záznamy tak, že když zadáte adresu určitých webových stránek do prohlížeče, budete přesměrováni na falešnou stránku, která vypadá identicky. Tento typ útoku úzce souvisí s pharmingem, což je typ DNS spoofingu, jenž se zaměřuje na banky a další finanční instituce. V dobré víře jdete na webovou stránku své banky, ale přitom si neuvědomíte, že jste se ocitli na falešném webu – a útočník díky tomu získá vaše přihlašovací údaje a tím pádem přístup k účtu.

Skutečný případ z Česka: Letos v únoru odhalilo sdružení CZ.NIC podvodnou doménu mycnb.cz, která se měla vydávat za web České národní banky. Doména byla zaregistrována na smyšlené údaje a zablokována ještě před plným spuštěním útoku. (zdroj: Novinky.cz, „Kyberšmejdi chystali útok pod hlavičkou České národní banky”, 24. 2. 2025).

Jak poznat spoofingový útok

Rozpoznat spoofing nemusí být vždy jednoduché, existují ale varovné signály, při nichž byste měli okamžitě zpozornit:

  • Tlak na čas: Volající naléhá, abyste jednali okamžitě. Skutečná banka ani policie vás nikdy netlačí do okamžitého rozhodnutí po telefonu.
  • Požadavek na citlivé údaje: PIN, heslo, SMS kód — žádná seriózní instituce tyto údaje po telefonu nežádá.
  • Zákaz konzultace s někým dalším: Podvodník vás odrazuje od toho, abyste si informaci ověřili u banky, policie nebo blízké osoby.
  • Vyhrožování nebo zastrašování: Výjimkou nejsou ani hrozby trestním stíháním, zmrazením účtů nebo ztrátou peněz.
  • Požadavek na instalaci aplikace: Legitimní instituce vás nikdy nenutí instalovat software přes telefon.

„Útočník vás nikdy nenechá zkonzultovat situaci s někým dalším — kolegou, rodinným příslušníkem, policií, bankou. Od těchto aktivit se vás bude vždy snažit odradit. Tak můžete téměř jednoznačně určit, že se jedná o podvod,“ říká David Pecl ze Security Avengers.

Co dělat při podezřelém hovoru

Pokud máte jakékoliv podezření, že hovor není legitimní, postupujte takto:

  1. Zachovejte klid a nespěchejte. Právě tlak na rychlé rozhodnutí je hlavní zbraní podvodníků.
  2. Neposkytujte žádné citlivé údaje. PIN, hesla, SMS kódy, čísla karet — nic z toho nesdělujte.
  3. Hovor ukončete. Nebojte se prostě zavěsit. Žádná instituce vás za to nebude trestat.
  4. Ověřte si informaci sami. Zavolejte zpět na oficiální číslo banky nebo policie (najdete na webu nebo na platební kartě), případně rodinnému příslušníkovi, který vás telefonicky žádal o pomoc. Pokud nedošlo k odcizení čísla, ale pouze k podvržení, dovoláte se skutečnému vlastníkovi.
  5. Nahlaste incident. Kontaktujte svou banku a případně podejte oznámení na Policii ČR.

Jak mohou podvodníci zneužít vaše číslo

Spoofing má i druhou stranu mince — podvodníci mohou zneužít vaše telefonní číslo k podvrhování hovorů jiným lidem. Na displejích cizích lidí se zobrazí vaše číslo, ačkoliv jste nikomu nevolali. Oběti podvodu pak volají zpět vám a vy čelíte nepříjemné situaci.

Co dělat, pokud se to stane? Odborník David Pecl radí:

  • Kontaktujte svého operátora a vysvětlete situaci. Operátor může ověřit provoz, zaznamenat incident a případně ve spolupráci s policií přijmout opatření.
  • Informujte volající: „Moje číslo je pravděpodobně podvržené, žádný hovor jsem neuskutečnil.”

Jak se chránit před spoofingem

Zcela eliminovat riziko spoofingu bohužel jako koncový uživatel nemůžete. Existuje ale řada kroků, které výrazně snižují pravděpodobnost, že se stanete obětí:

  • Nikdy slepě nevěřte zobrazené identitě. Číslo, jméno ani název na displeji nemusí odpovídat skutečnému volajícímu. Totéž platí v éře deepfaků i pro rozpoznání hlasu.
  • Ověřujte zpětným voláním. Pokud máte pochybnosti, zavěste a zavolejte zpět na oficiální číslo.
  • Používejte jiný komunikační kanál. V éře deepfaků je ideální osobní (face-to-face) ověření, případně videohovor s osobou, kterou znáte.
  • Zapněte antispam ochranu hovorů v nastavení telefonu. Neochrání před spoofingem přímo, ale pomůže filtrovat známá podvodná čísla.
  • Nesdělujte citlivé informace po telefonu. Banka po vás nikdy nebude chtít PIN, celé heslo ani SMS kód.
  • Buďte obezřetní u SMS. Od roku 2025 čeští operátoři blokují vishing u telefonních hovorů, ale falšování čísla u SMS je stále možné.

3 hlavní body, které si z článku odnést

  • 1. Zobrazené číslo není důkaz identity:

    To, že vidíte na displeji nápis „Moje banka“ nebo skutečné číslo 158, neznamená, že odtud hovor skutečně přichází. V technologii telefonních sítí je bohužel možné odesílatelovo číslo podvrhnout, zvláště u SMS.

  • 2. Zavěste a volejte zpět:

    Pokud vám volá „bankéř“ s naléhavou zprávou, hovor ukončete. Poté sami vytočte oficiální číslo banky (najdete ho na zadní straně platební karty). Tím zajistíte, že se spojíte se skutečným zaměstnancem, nikoliv s podvodníkem, který na vás „čeká na lince“.

  • 3. Banky po telefonu nechtějí hesla ani instalace:

    Žádná banka po vás nikdy nebude chtít PIN, celé heslo do internetového bankovnictví nebo potvrzovací SMS kód pro „záchranu peněz“. Stejně tak vás nikdy nebudou nutit instalovat programy pro vzdálený přístup.

FAQ

1. Co je spoofing?

Spoofing je podvržení identity — nejčastěji telefonního čísla, e-mailové adresy nebo IP adresy. Útočník se vydává za důvěryhodnou osobu či instituci, aby z vás vylákal citlivé informace nebo vás přiměl k určité akci.

2. Co dělat, když vám volá neznámé číslo?

Buďte obezřetní. Pokud hovor přijmete a volající požaduje citlivé údaje, vyvíjí tlak na čas nebo vás odrazuje od ověření, zavěste. Ověřte si identitu volajícího zpětným zavoláním na oficiální číslo dané instituce.

3. Jak fungují podvodné telefonáty?

Podvodníci si pomocí telefonní ústředny nastaví libovolné číslo nebo název, který se zobrazí na vašem displeji. Pak se vydávají za banku, policii nebo jinou autoritu a pomocí psychologického nátlaku se snaží donutit oběť k okamžité akci — sdělení kódu, převodu peněz nebo instalaci aplikace.

4. Jak lze zneužít telefonní číslo?

Podvodníci mohou vaše číslo použít jako falešné ID volajícího, aniž by k vašemu telefonu měli přístup. Oběti podvodu pak volají zpět vám. V takovém případě kontaktujte svého operátora, informujte volající o situaci a zvažte podání oznámení na policii.

2603-Koop-Clanky_2603-Clanky-Pecl-1-20260326-134027.png

David Pecl

  • Security Consultant, Security Avengers
  • Lektor IT bezpečnosti a autor kurzu Kybernetická bezpečnost – SOC analytik

V oblasti kybernetické bezpečnosti působí více než 10 let. Vystudoval informační bezpečnost na Fakultě elektrotechniky a komunikačních technologií VUT v Brně. Od roku 2022 pracuje jako Security Consultant ve společnosti Security Avengers, kde se podílí na návrhu architektur implementovaných řešení, implementaci samotné, jejich integraci na další nástroje, hardeningu systémů a školeních v oblasti bezpečnosti. Vedle konzultační činnosti přednáší na odborných konferencích, vede workshopy a věnuje se publikační činnosti v oblasti kybernetické bezpečnosti.

0
hlasů
Líbil se vám článek? Dejte plus.
Napište nám,
co můžeme zlepšit

Sdílejte článek:

Pokračujte ve čtení