Podvodníci znají vaše jméno i číslo účtu dříve, než vám zavolají. Banky ukázaly, jak je odhalit

Za rok 2025 zaznamenala Česká bankovní asociace téměř 91 tisíc kyberútoků na klienty bank. Velká část z nich začala jediným telefonátem.

Zdroj fotografie: Pixnio

Hovor přijde z čísla, které máte uložené jako svou banku. Hlas na lince zná vaše jméno, poslední čtyři číslice účtu, varuje před podezřelou transakcí. Všechno sedí, a přesně na to útočník spoléhá. Falešní bankéři dnes nevolají naslepo. Pracují s daty, která o vás už mají, a s podvrženým číslem na displeji. Česká spořitelna a Komerční banka proto začaly ukazovat jedinou spolehlivou cestu, jak takový hovor prověřit: ověření identity volajícího uvnitř bankovní aplikace, tedy v kanálu, který podvodník napodobuje.

Odkud podvodníci vaše údaje mají

Představa, že útočník potřebuje hacknout banku, aby zjistil vaše jméno a číslo účtu, je mylná. Stačí mnohem méně. Policie ČR opakovaně popisuje tři nejčastější cesty, kterými se osobní údaje dostanou do nesprávných.

První je předchozí phishing nebo smishing, tedy podvodná SMS s odkazem na falešný web, kde oběť sama zadá údaje nebo číslo karty. Druhá cesta vede přes běžnou online interakci: bazarový prodej, inzerát, platba mezi lidmi. Prodávající pošle číslo účtu a telefon úplně cizímu člověku a ani ho nenapadne, že právě vytvořil vstupní bod pro budoucí útok. Třetí cestou je skládání střípků: jméno z jednoho úniku, telefon z druhého, informace o bance z kontextu předchozí komunikace.

Prakticky to znamená, že útočník nepotřebuje jeden velký zdroj. Stačí mu mozaika drobností, které dohromady vypadají jako důvěrná znalost vašeho účtu. A pak přijde na řadu spoofing.

Proč číslo na displeji nic neznamená

Český telekomunikační úřad vysvětluje, že podvržení telefonního čísla, takzvaný spoofing, spočívá v manipulaci s identifikátorem volajícího (CLI) v signalizaci hovoru. Útočník využije internet a do parametru hovoru zapíše libovolné číslo, třeba oficiální linku vaší banky. Operátor na přijímací straně nemá jak ověřit, zda číslo skutečně patří tomu, kdo volá, protože mezi sítěmi se tato informace předává bez plné autentizace.

ČTÚ od roku 2024 zpřísnil pravidla a podle jeho tiskových zpráv se blokují miliony podvodných pokusů měsíčně. Problém ale nezmizí úplně; legitimní výjimky, roaming a technické limity ověřování útočníkům stále nechávají prostor. Číslo na displeji proto není důkaz. Je to kulisa.

Dva systémy, jeden princip: ověřte si banku v aplikaci

Česká spořitelna i Komerční banka dospěly ke stejnému závěru: pokud chcete vědět, jestli vám skutečně volá bankéř, musíte se podívat do své mobilní aplikace. Konkrétní provedení se ale liší.

Česká spořitelna a George: Když vám volá skutečný bankéř spořitelny, George pošle push notifikaci s textem „Volá Vám Česká spořitelna“. Pokud notifikaci nevidíte nebo si nejste jisti, můžete požádat o zabezpečení: bankéř vygeneruje jednorázový čtyřmístný kód, který se zobrazí v George. Kód na telefonu se musí shodovat s kódem, který bankéř řekne do hovoru. Při opačném směru, kdy voláte vy bance, umí George zobrazit jméno, příjmení a telefonní číslo banky, kterým mluvíte.

Komerční banka a KB+ / KB Klíč: KB staví na vyžádaném ověření. Během hovoru jste volajícího, aby se identifikoval přes aplikaci. V KB+ nebo KB Klíči se zobrazí jméno banky a komunikační kód. Kód musí odpovídat tomu, co slyšíte v telefonu. Pokud po žádosti o potvrzení aplikace nic neobdrží, Komerční banka to sama označuje za jistý znak podvodu. KB Klíč je v aplikaci aktivní od prvního přihlášení, není třeba nic dalšího zapínat.

Podobné ověření v mobilní aplikaci nabízí i Raiffeisenbank, která při hovoru pošle notifikaci se jménem volajícího a informace, odkud volá. MONETA Money Bank zvolila jinou cestu: přímo ve Smart Bance má takzvaný kill button pro okamžitou blokaci všech přístupů a karet, pokud pojmete podezření. Jednotný seznam všech českých bank s ověřovacími funkcemi zatím neexistuje.

Čísla, která ukazují běžné riziko

Podle dat České bankovní asociace za rok 2025 bylo napadeno necelých 91 tisíc klientů bank, odcizená částka za první tři čtvrtletí dosáhla 1,49 miliardy korun a průměrná škoda na podvedeného klienta činila 23 462 Kč. Banky zároveň uvádějí rekordně zachráněných 12,2 miliardy korun, tedy peněz, které se podařilo zablokovat dřív, než zmizely. MONETA veřejně přiznala, že falešný bankéř stál v předchozím roce za třetinou všech klientských ztrát.

Nejde tedy o příběhy z internetu, které se dějí „někomu jinému“. Policie opakuje, že oběti se mohou stát prakticky kdokoli, bez ohledu na věk, vzdělání nebo technickou zdatnost.

Co udělat v prvních vteřinách hovoru

Klíčová změna v myšlení není „buďte méně důvěřiví“. To je rada, která selže ve chvíli, kdy hlas na lince zná vaše jméno a číslo účtu. Skutečná obrana je mít předem zafixovaný postup:

• Nic nesdělovat. Žádné heslo, PIN, kód z SMS, číslo karty. Skutečná banka tyto údaje po telefonu nikdy nežádá.
• Nic nepotvrzovat. Žádná autorizace transakcí, žádné „ano“ na otázku, zda vidíte notifikaci.
• Ověřit volajícího v aplikaci. U České spořitelny hledat push notifikaci nebo čtyřmístný kód v George. U KB požádat o ověření v KB+ / KB Klíči.
• Když máte pochybnost, zavěsit. Zavolat zpět na číslo z oficiálního webu banky, ne na číslo z displeje. Česká spořitelna: 277 207 207. Komerční banka: 955 551 505.
• Pokud jste už údaje sdělili: okamžitě blokovat přístupy a karty, volat banku přes oficiální kontakt, nahlásit policii.

Podvodník umí podvrhnout číslo, naučit se vaše jméno a zahrát naléhavost. Jediná, co neumí, je potvrdit svou identitu uvnitř vaší bankovní aplikace. A přesně tam se rozhoduje, kdo hovor vyhraje.