Falešný finanční úřad rozesílá e-maily s daňovým výměrem. Otevřete přílohu a pustíte si do počítače „trojana“

Cílem útočníků není vylákat jednorázovou platbu. Chtějí si ve vašem počítači otevřít zadní vrátka a zůstat v něm měsíce.

Zdroj fotografie: Lukáš Altman (Mobify.cz)

Bezpečnostní firma Cyfirma na konci června 2026 rozebrala phishingovou kampaň, která se vydává za daňovou autoritu a rozesílá falešné výměry. Příjemce má uvěřit úřednímu tónu, stáhnout přílohu a otevřít ji. Jenže uvnitř není žádný dokument, je tam spustitelný program, který útočníkovi předá vzdálenou kontrolu nad celým systémem. Kampaň je veřejně doložená hlavně pro indické daňové prostředí, ale její mechanismus je univerzální a snadno lokalizovatelný. A právě proto stojí za pozornost i v Česku, kde Finanční správa opakovaně varuje před podvodnými e-maily a SMS vydávajícími se za správce daně.

Jak útok funguje krok za krokem

Samotné otevření e-mailu nestačí k tomu, aby se něco stalo. Kritický je řetězec kroků, které oběť udělá poté, a každý z nich vypadá nevinně.

Podle analýzy Cyfirmy e-mail obsahuje odkaz na falešný daňový portál hostovaný na doméně harivo[.]vip. Stránka napodobuje úřední branding, zobrazuje údaje o poplatníkovi, právní odkazy, penále a velké tlačítko „Download Assessment Order & Workings“. Kliknutím se stáhne ZIP archiv. Uvnitř je soubor s příponou .img, diskový obraz, který Windows umí automaticky připojit jako virtuální disk. Na něm čeká Tax_Assessment.exe.

Spuštěním tohoto souboru se rozjede řetězec, který už oběť nevidí:

• EXE načte skrytou knihovnu libsvcs.dll pomocí .NET reflection, tedy techniky, která obchází běžné statické kontroly.
• DLL se tváří jako systémová součást Microsoftu. Její metadata říkají „Runtime Service Host“ od „Microsoft Corporation“. Cíl je jasný: zapadnout mezi legitimní windowsové procesy.
• Malware se usadí v systému (persistence), začne sbírat informace o počítači, monitorovat aktivitu uživatele a naváže šifrované spojení s řídicím serverem na adrese 103.231.12.27:4444 v Hongkongu.

Od tohoto momentu má útočník vzdálený přístup. Může stahovat další škodlivý kód, logovat stisky kláves, krást soubory. A hlavně zůstat v počítači tak dlouho, jak potřebuje.

Proč nejde o obyčejný phishing

Většina podvodných e-mailů, které Češi znají (falešná Česká pošta, banka, e-shop), míří na jednorázový cíl. Vyplníte přihlašovací údaje, zaplatíte „doplatek“ a útočník má, co chtěl. Tady je ambice jiná.

Cyfirma popsaný malware klasifikuje jako „XWorm-like RAT“, tedy nástroj vzdáleného přístupu podobný známé rodině XWorm. Podle Microsoftu jde o multifunkčního trojského koně prodávaného i jako služba (malware-as-a-service). Trojan je přitom přesně to, co název napovídá: škodlivý program převlečený za legitimní soubor. Vypadá jako daňový dokument, ale uvnitř je zbraň.

Rozdíl oproti běžnému phishingu je zásadní. Nejde o schéma „klikni a zaplať“. Jde o schéma „klikni, stáhni, spusť, a od teď je tvůj počítač i můj“. Útočník získá trvalý přístup, může se vracet, stahovat data, instalovat další nástroje. A oběť o tom neví, dokud se něco viditelně nerozbije.

Co s tím má společného český finanční úřad

Konkrétní kampaň s doménou harivo[.]vip cílila na indické daňové poplatníky. Příbuzná červnová analýza Cyfirmy ale ukázala, že stejná infrastruktura byla znovu použita i pro japonský daňový podvrh. Nejde tedy o jednorázový lokální podvod, ale o lokalizovatelný framework, šablonu, kterou lze přizpůsobit libovolné zemi.

V českém kontextu je proto klíčové vědět, jak skutečná Finanční správa komunikuje. A tady platí tvrdá pravidla:

• Oficiální e-mailové adresy končí výhradně na @fs.gov.cz.
• Finanční správa nikdy neposílá platební výzvy ani odkazy e-mailem nebo SMS.
• Existuje legitimní e-mailová služba pro zasílání platebních údajů k dani z nemovitých věcí, ale funguje jen na předchozí žádost poplatníka; e-mail je podepsaný, obsahuje rozpis a QR kód.
• Formální písemnosti, jako je platební výměr, chodí datovou schránkou nebo listinně. U daně z nemovitých věcí nemusí být výměr poplatníkovi samostatně oznamován vůbec.

Pokud vám tedy přijde e-mail s přílohou typu ZIP, IMG nebo EXE a tvrdí, že je to daňový výměr, není. Bez výjimky.

Jak podvod poznat a co dělat, když jste přílohu otevřeli

Varovné znaky jsou u tohoto typu kampaně poměrně čitelné, pokud víte, kam se dívat:

• Doména odesílatele nekončí na @fs.gov.cz (nebo na doméně vaší skutečné daňové autority).
• Časový tlak a hrozba sankcemi: zpráva naléhá na okamžitou reakci, vyhrožuje penále.
• Příloha nebo odkaz vede ke stažení ZIP, IMG nebo EXE souboru místo na oficiální portál.
• Zobrazované jméno odesílatele neodpovídá skutečné adrese: v hlavičce e-mailu se skrývá úplně jiná doména.
• Zpráva chce, abyste „stáhli dokument“ mimo oficiální systém (datovou schránku, portál MOJE daně).

Důležitý detail: v příbuzné kampani Cyfirma zjistila, že e-maily prošly technickými kontrolami SPF, DKIM i DMARC, protože byly správně nastavené pro útočníkem ovládanou doménu. „Prošlo autentizací“ tedy samo o sobě nedokazuje, že je e-mail legitimní.

Pokud jste ZIP jen stáhli a nic nespouštěli: soubor smažte a projděte systém aktualizovaným antivirem.

Pokud jste rozbalili archiv, připojili IMG nebo spustili EXE: okamžitě odpojte počítač od sítě i Wi-Fi. Spusťte důvěryhodný antivirový nástroj, ideálně víc než jeden. Uschovejte e-mail, jeho hlavičky, URL a případně screenshot pro analýzu. Zvažte nahlášení incidentu na CSIRT.CZ. Po potvrzené kompromitaci změňte hesla a prověřte, zda nedošlo k úniku dat.

Proč je tohle nebezpečnější, než se zdá

Největší riziko celé kampaně nespočívá v tom, že někdo rozešle falešný e-mail. Ty chodí denně. Riziko je v tom, že daňový výměr od úřadu je přesně ten typ dokumentu, který člověk otevře bez přemýšlení, protože ho otevřít musí. Útočníci nesázejí na technickou sofistikovanost, ale na lidskou poslušnost vůči autoritě. A právě proto funguje převlečení malwaru za úřední přílohu lépe než falešná výhra v loterii.

Konkrétní aktér za kampaní potvrzený není. Cyfirma pracuje s hypotézou finančně motivované skupiny, u infrastruktury vidí hongkongské vazby, ale výslovně říká, že to k atribuci nestačí. Co ale stačí, je poučení: pokud vám přijde e-mail s daňovým výměrem v příloze, neotvírejte ho. Skutečný finanční úřad to tak nikdy nepošle.