„Zaplatil jsem 2 500 korun za antivir, který napadl můj počítač,“ říká naštvaný Dominik

Největší škoda nebyla 2 500 korun za licenci. Byla to administrátorská oprávnění, která Dominik programu sám udělil v domnění, že chrání svůj počítač.

Zdroj fotografie: Lukáš Altman (Mobify.cz) a Avast

Dominik narazil na nabídku známého antiviru s roční licencí za 2 500 korun, výrazně levněji než obvykle. Web vypadal důvěryhodně, měl logo značky i recenze, a tak zaplatil a program nainstaloval. Antivir se tvářil funkčně, ale po pár dnech začal jeho počítač zpomalovat a objevovaly se podezřelé procesy. Když se pokusil kontaktovat podporu, nikdo nereagoval. Brzy zjistil proč: program byl falešný. Útočníci se přes něj dostali k jeho souborům, včetně osobních dokumentů, a pokusili se jeho jménem založit účty a vzít si úvěr. Dominik musel vše řešit s bankou i policií.

Proč zrovna antivir, a proč to funguje tak dobře

Paradox falešného antiviru spočívá v tom, že oběť útočníkovi otevře dveře dobrovolně, a ještě mu poděkuje za ochranu. Dominik zadal údaje karty, stáhl instalátor, potvrdil systémový dialog a nechal program běžet na pozadí. Přesně to útočníci potřebovali. Žádné prolomení hesla, žádná zero-day zranitelnost. Stačila důvěra ve známou značku a sleva, která vypadala jako výhodný nákup. Podle projevů a následků šlo o škodlivý software typu infostealer, program, který tiše sbírá hesla, cookies, přihlašovací tokeny a dokumenty a odesílá je na vzdálený server. Dominik si toho všiml až ve chvíli, kdy počítač začal zpomalovat a ve správci úloh se objevily procesy, které tam nepatřily. Podpora na webu mlčela. Protože nikdy neexistovala.

Bezpečnostní software je pro útočníky psychologicky ideální nosič. Uživatel ho hledá aktivně, často pod tlakem, právě si přečetl o nějaké hrozbě nebo mu vypršela stará licence. Když najde web s logem známé značky, navigací v barvách originálu a „certifikačním“ odznakem, nemá důvod pochybovat. Současné podvodné weby dokážou napodobit i falešný online sken, který „najde“ hrozbu a nabídne okamžité řešení.

Klíčový moment nastává při instalaci. Windows zobrazí dialog Řízení uživatelských účtů (User Account Control) a uživatel potvrdí spuštění s vyššími právy, protože od antiviru to přece očekává. Podle dokumentace Microsoftu tím aplikace získá administrátorský token. U legitimního antiviru to znamená ochranu. U falešného to znamená neomezený přístup k souborům, prohlížeči i síťovému provozu.

Nejde o okrajovou kuriozitu. Ještě 27. března 2026 zdokumentoval Malwarebytes aktivní kampaň, kde falešný web vydávající se za Avast předstíral virový sken a místo ochrany instaloval infostealer Venom. A Microsoft v březnu 2026 popsal skupinu Storm-2561, která přes SEO nakažení šířila trojanizované VPN klienty stejným mechanismem: spoofovaný web, ZIP ke stažení, krádež přihlašovacích údajů.

Co infostealer reálně sebere, a kam to vede

Dominikův počítač po instalaci fungoval zdánlivě normálně. Program se tvářil jako antivir, zobrazoval rozhraní, možná i falešné výsledky skenu. Na pozadí ale běžel sběr dat:

• Hesla uložená v prohlížeči – ke všem účtům, kde si uživatel nechal „zapamatovat přihlášení“.
• Session cookies a autentizační tokeny – umožňují přístup k účtům bez znalosti hesla.
• Údaje z formulářů – jméno, adresa, telefon, číslo karty.
• Dokumenty v zařízení – skeny občanky, výpisy, smlouvy.

Kombinace osobních identifikačních údajů a přístupu k e-mailu stačí k pokusu o založení účtu nebo podání žádosti o úvěr. V Dominikově případě se útočníci pokusili právě o to. I neúspěšná žádost přitom zanechává stopu: podle CBCB se informace o žádosti o úvěr uchovává v registru BRKI/NRKI po dobu 12 měsíců, i když smlouva nevznikla.

Krizový postup: co udělat hned

Dominik musel řešit následky s bankou i policií. Pro každého, kdo se ocitne v podobné situaci, platí jasný sled kroků:

1. Odpojit zařízení od internetu – okamžitě, kabelem i Wi-Fi. Nepřihlašovat se z něj nikam.
2. Z čistého zařízení změnit hesla – začít e-mailem a bankovnictvím, zapnout dvoufaktorové ověření.
3. Kontaktovat banku – nahlásit podezřelou transakci, zablokovat kartu, řešit chargeback za platbu 2 500 Kč.
4. Podat oznámení Policii ČR – zejména při zneužití identity nebo pokusu o úvěr.
5. Zkontrolovat úvěrové registry – výpis z BRKI/NRKI ukáže, zda někdo na vaše jméno podal žádost. Chybné údaje lze reklamovat přes klientské centrum CBCB.
6. Počítat s reinstalací systému – důvěryhodný sken nemusí odhalit vše; čistá instalace je jistější.

Existují i monitorovací služby, které upozorní na novou úvěrovou žádost na vaše jméno. Jde o komerční produkt, ne státní povinnost, ale po incidentu typu krádeže identity dává smysl.

Jak podvod poznat dřív, než zaplatíte

Varovné signály bývají drobné, ale dohledatelné:

• Doména je „skoro“ správná – přidané písmeno, pomlčka, jiná koncovka.
• Prohlížeč varuje – Chrome zobrazí upozornění na nebezpečnou nebo podvrženou stránku u části známých podvržených webů.
• Nabídka neexistuje na oficiálním webu – „doživotní licence“ nebo „Gold balíček“, který výrobce nikdy nenabízel.
• Platební deskriptor na kartě neodpovídá – oficiální distributoři mají veřejně uvedené názvy, pod kterými se platba zobrazí.
• Na web vás přivedla reklama ve vyhledávači – sponzorované výsledky bývají zneužívány k SEO poisoningu.

Bezpečný postup je prostý: URL výrobce zadat ručně, ověřit doménu, nakoupit přímo na oficiálním webu nebo u distributora, kterého výrobce výslovně uvádí.

Česko a čísla: problém roste, statistika zaostává

Policie ČR v roce 2025 zaregistrovala 21 137 skutků kriminality v kyberprostoru, meziročně nárůst o 14,3 % oproti 18 495 skutkům v roce 2024. Kyberkriminalita tvoří už 12,4 % celkové registrované kriminality. Falešný software ale policie neeviduje jako samostatnou kategorii. Přesný počet obětí podvodných antivirů v Česku proto neznáme. Víme jen, že samotní výrobci, Avast, Bitdefender a další, mají na svých stránkách stálé sekce varující před podvodnými prodejci. To znamená, že problém řeší opakovaně a dlouhodobě.

Dominikových 2 500 korun byla vstupní cena. Skutečný účet, hodiny strávené s bankou, policií, registry a reinstalací systému, je řádově vyšší. A začal jediným kliknutím na „Instalovat“.