SMS otevřeme v 98 % případů a podvodníci to vědí. Stačí pak trocha nepozornosti a peníze z účtu mizí bez varování
Americká FTC odhaduje, že lidé otevřou až 98 % textových zpráv. Podvodníci na tom postavili celý byznys a v Česku přibývá obětí každý měsíc.
Obsah článku
Číslo 98 % pochází z materiálu poradního výboru americké FCC, které následně ve svých analýzách textových podvodů citovala Federální obchodní komise (FTC). Nejde o české měření, ale o obecný odhad chování uživatelů u SMS zpráv, a právě ten vysvětluje, proč jsou textové zprávy pro podvodníky tak atraktivní. Zatímco e-mail otevře zhruba 20 % příjemců a odpoví na něj přibližně 6 %, u SMS se odhadovaná míra odpovědí pohybuje až kolem 45 %. Stačí tedy „trocha nepozornosti“, kliknutí na odkaz, zavolání na číslo uvedené ve zprávě, zadání přihlašovacích údajů nebo potvrzení autorizačního kódu a peníze z účtu mohou skutečně zmizet, aniž by oběť stihla cokoli zachytit. Banka totiž transakci, kterou uživatel sám potvrdí například autorizačním kódem, může vyhodnotit jako autorizovanou. Z pohledu poškozeného pak situace vypadá, jako by peníze zmizely bez jakéhokoli varování.
Jak útok probíhá krok za krokem
Celý řetězec začíná nenápadně. Na displej přijde SMS, například o nedoručeném balíku, zablokované kartě, nezaplaceném mýtném nebo podezřelé platbě. Zpráva obsahuje odkaz nebo telefonní číslo. Kdo klikne, ocitne se na podvrženém webu, který věrně napodobuje stránky banky, České pošty nebo státního portálu. Tam zadá přihlašovací údaje, číslo karty nebo jednorázový autorizační kód.
Tím se útočníkům otevírá cesta. Pachatel získá přístup k internetovému bankovnictví a během několika minut může převést peníze na další účty, sázkové platformy nebo kryptoměnové peněženky. V sofistikovanějších případech oběti vzápětí zavolá „bankéř“ (ve skutečnosti další člen podvodné skupiny) a pod záminkou zabezpečení účtu ji přiměje k dalším převodům. Policie ČR zdokumentovala případ z roku 2023, kdy 27letý muž klikl na SMS o státním příspěvku, vyplnil údaje a potvrdil platbu ve výši 4 990 Kč. Následně podlehl falešnému hovoru „z banky“ a celková škoda vyšplhala na 107 498 Kč.
A nejde o ojedinělý případ. V kauze z roku 2026 policie popsala 24 zadokumentovaných obětí se škodou přes 1,5 milionu korun na úsporách a dalších 750 tisíc korun na úvěrech, které podvodníci sjednali na jméno poškozených prostřednictvím odcizené bankovní identity. Skutečnou škodu kriminalisté odhadují přibližně desetkrát vyšší.
Staré poučky přestávají fungovat
Ještě před několika lety šlo podvodnou SMS poznat poměrně snadno. Chybějící diakritika, kostrbaté formulace nebo podezřelé domény byly typickými varovnými signály. Jenže doba se změnila. FBI ve svém varování z května 2024 výslovně upozorňuje, že umělá inteligence odstraňuje dříve typické chyby v gramatice a pravopisu, zvyšuje míru personalizace zpráv a umožňuje podvodníkům škálovat kampaně do desítek jazyků současně.
Na dark webu se objevily nástroje jako WormGPT, který podle analýzy Trend Micro představuje funkční „blackhat AI“ bez běžných bezpečnostních omezení a je nabízen formou předplatného. Bezpečnostní firma Sift ve svém výzkumu z května 2025 uvádí, že počet podvodů využívajících generativní AI vzrostl mezi květnem 2024 a dubnem 2025 o 456 %. Zároveň 70 % dotázaných lidí uvedlo, že rozpoznat podvod je pro ně těžší než o rok dříve.
Praktický důsledek je jednoduchý: hledat překlepy v SMS už nestačí. Dnes vyhrává ten, kdo na žádnou nečekanou zprávu nereaguje přímo uvnitř ní.
České pasti, které právě teď kolují
Podvodníci přizpůsobují své legendy místnímu prostředí. V Česku se opakovaně objevují tyto scénáře:
- Falešná Česká pošta – SMS o problému s doručením zásilky s odkazem na podvržený web. Česká pošta před podobnými podvody opakovaně varuje na svém webu.
- Falešné bankovní alerty – zpráva o blokaci karty nebo podezřelé platbě s výzvou k okamžitému ověření.
- Falešné mýtné a pokuty – SMS zneužívající značku eDalnice nebo Portál občana, které cílí na údaje ke kartě i bankovní identitě.
- Rodinné smishingy – zprávy typu „Ahoj mami, mám nové číslo“, po nichž následuje žádost o peníze.
- Falešné přestupky – novější vlna z roku 2026, kdy cílem už není pouze platební karta, ale také kompletní bankovní identita a možnost sjednat úvěr na jméno oběti.
FTC za rok 2024 eviduje v USA nahlášené ztráty způsobené textovými podvody ve výši 470 milionů dolarů, tedy přibližně 11 miliard korun. V Česku přesnou souhrnnou částku za SMS podvody nikdo veřejně nesleduje. Policie ČR uvádí, že online podvody ve statistikách neeviduje odděleně podle jednotlivých metod. ČNB na své Zelené lince řeší 5 až 10 stížností na podvody v platebním styku denně a potvrzuje, že jejich počet roste.
Co dělat, a co nedělat
Stoprocentní ochrana neexistuje. Funguje ale kombinace návyků, která riziko výrazně snižuje:
- Nereagovat uvnitř zprávy. Neklikat na odkaz, nevolat na uvedené číslo, neodpovídat ani slovem „STOP“ nebo „NE“. FTC výslovně varuje, že jakákoli reakce na podezřelou SMS může situaci zhoršit.
- Ověřovat mimo SMS. Pokud zpráva tvrdí, že pochází od banky, pošty nebo úřadu, otevřít jejich oficiální aplikaci nebo zavolat na číslo z vlastních kontaktů.
- Zapnout filtr v telefonu. Na iPhonu v nastavení Zpráv aktivovat filtrování neznámých odesílatelů. Na Androidu s Google Messages zapnout ochranu před spamem v nastavení aplikace.
- Hlásit podezřelé zprávy. Označit je v aplikaci jako spam, případně je přeposlat na číslo 7726.
- Jednat okamžitě po chybě. Kdo zadal své údaje, musí bez otálení kontaktovat banku, zablokovat kartu i internetové bankovnictví, pokusit se zastavit odchozí platby a kontaktovat Policii ČR.
Podíl textových podvodů, u nichž lidé v USA nahlásili také finanční ztrátu, vzrostl z 5 % v roce 2020 na 11 % v roce 2024. Méně nahlášených případů přitom neznamená menší škody; znamená to, že jednotlivé útoky mohou být stále účinnější. A přesně proto nejlepší obrana nezačíná u rozpoznání podvodu, ale u jednoduchého pravidla: na nečekanou SMS jednoduše nereagovat.