Stačí jedno kliknutí na „zprávu“ a zaděláte si na problém. Nový trik zneužívá důvěru v normální články

Podvodná kampaň pronikla do Google Discover, feedu, kterému miliony lidí důvěřují. Jedno povolení notifikací a telefon se promění v kanál pro podvody.

Zdroj fotografie: Unsplash

Představte si běžné ráno. Odemknete telefon, palcem sjedete po Google Discover a mezi titulky z ověřených redakcí vidíte článek o schváleném daňovém bonusu nebo o telefonu se 300megapixelovým fotoaparátem za sto dolarů. Vypadá jako zpráva. Klikněte. Stránka se načte, vyskočí okno „Povolit notifikace“ – a pokud kliknete na „Povolit“, právě jste útočníkům otevřeli dveře, které se sami nezavřou. Bezpečnostní tým HUMAN Security tuto operaci pojmenoval Pushpaganda v dubnu 2026 odhalil 113 podvodných domén, které dohromady vygenerovaly přes 240 milionů reklamních žádostí o nabídku.

Jak se falešný článek dostane do Discoveru

Google Discover nepotřebuje žádný speciální kód, jakýkoli indexovaný web, který plní obsahová pravidla, je automaticky způsobilý k zobrazení. Útočníci toho využili. Podle výzkumníků ze Satori týmu HUMAN se podvodné domény do feedu dostaly buď přes agresivní SEO, nebo přes placené umístění. Přesný mechanismus zůstává nepotvrzený, protože ani samotní analytici si nejsou jisti, která z obou cest převážila. Jisté je, že stránky obsahovaly texty generované umělou inteligencí s přepálenými titulky, deepfake reklamami s celebritami a tlačítky jako „Claim Now“ nebo „Apply Now“. Google sám přiznává, že denně identifikuje přes 40 miliard spamových stránek, ale některé z nich mohou působit zcela legitimně.

Anatomie útoku krok za krokem

Řetězec je nevinně krátký a každý krok vypadá:

• Discover feed – uživatel vidí lákavý titulek mezi běžnými zprávami.
• Klik – prohlížeč otevírá útočníkovu doménu; stránka se tváří jako článek.
• Výzva k notifikacím – okamžitě po načtení vyskočí systémový dialog „Povolit oznámení“.
• Tap na „Povolit“ – tímto okamžikem web získává trvalé oprávnění posílat push zprávy na úrovni operačního systému.
• Lavina – notifikace začnou přicházet: falešná bezpečnostní varování, nabídky „výhodných“ nákupů, podvody s technickou podporou. Každý klik vede na další doménu, některé stránky navíc otevírají nové karty a rotují neaktivní záložky, aby uměle zvýšily reklamní zobrazení.

Nejnebezpečnější na celém schématu není samotný falešný článek. Je to proměna jednorázové zvědavosti v trvalém oprávnění. Na rozdíl od phishingového e-mailu, který Gmail blokuje s účinností přes 99,9 %, push notifikace obchází e-mailovou schránku úplně. Přicházejí přímo do systémové lišty, vypadají jako zprávy od aplikací a uživatel si po pár dnech nemusí pamatovat, odkud povolení přišlo.

Koho se to týká a co s tím

Kampaň začala v Indii a podle sekundárních zdrojů citujících HUMAN se rozšířila do USA, Austrálie, Kanady, Jižní Afriky a Británie. Přímé potvrzení zásahu českých uživatelů veřejně neexistuje, ale vzhledem k tomu, že Android a Chrome dominují i ​​tuzemskému trhu, české uživatele nelze z rizikové skupiny vyloučit.

Finanční škoda na jednotlivce nebyla veřejně vyčíslena. Ověřené je, že notifikace směřují na:

• falešné nákupy a předplatné,
• scareware s požadavkem na platbu za „vyčištění“ zařízení,
• podvody s technickou podporou s cílem získat vzdálený přístup a opakovanou platbu,
• stránky vykládající účetní údaje, čísla karet a osobní identifikátory.

Google v dubnu 2026 prostřednictvím mluvčího Jennifer Kutz uvedla, že opravu nasadil ještě před seznámením se se zprávou HUMAN. Detailní interní časově osu ale nezveřejnil.

Jak se bránit a co už Chrome dělá za vás

Od května 2025 Chrome na Androidu aktivně varuje před klamavými a nabízí odhlášení není provedeno přidáním přímo v liště. Bezpečné prohlížení v reálném čase navíc kontroluje URL v reálném čase a podle Googlu blokuje o 25 % více phishingových pokusů než předchozí verze.

Přesto hlavní obrana zůstává na uživateli:

• Neklikejte na „Povolit“ u webů, které neznáte. Legitimní zpravodajský server nepotřebuje push notifikace k tomu, abyste si přečetli článek.
• Kontrolujte doménu. Pokud URL neodpovídá známé redakci, zavřete kartu.
• Projděte si oprávnění. V Chromu: tři tečky → Nastavení → Oznámení → seznam povolených webů. Cokoli podezřelého smažte.
• Použijte bezpečnostní kontrolu. Chrome → Nastavení → Bezpečnostní kontrola odhalí odebraná oprávnění i podezřelé weby.

Pushpaganda ukazuje, že nejslabším článkem řetězu není technologie, ale důvěra, v doporučeném obsahu, v systémovém dialogu, v to, že „Povolit“ je neškodné klepnutí. Není. Je to klíč, který útočníkům odemyká váš telefon na neurčito.