Falešný e-mail od Googlu vypadá jako originál. Kdo klikne na odkaz, přijde o celý účet i přístup k bankovnictví

Podvodné zprávy už nepřichází z podezřelých adres s lámanou češtinou. Nejnovější kampaně využívající přímo infrastrukturu Googlu.

Zdroj fotografie: Lukáš Altman (Mobify.cz)

V únoru 2026 bezpečnostní analytici z Kaspersky a Malwarebytes nezávisle na sobě popsali dvě kampaně, které mají společného jmenovatele: oběť dostane zprávu z legitimně vypadající adresy @google.com, klikne na odkaz vedoucí na stránku hostovanou na google.com, a přesto jde o podvod. Rozdíl oproti phishingu, na který jsme si zvykli, je zásadní. Útočníci už nenapodobují Google zvenčí. Staví útok zevnitř jeho vlastní infrastruktury, a tím obcházejí většinu signálů, podle kterých jsme se dosud naučili podvod rozpoznat.

Jak vypadá e-mail, který projde i ostříleným uživatelům

Kampaň popsaná Kaspersky 19. února 202 funguje jednoduše, a právě proto efektivně. Příjemce dostane oznámení „Máte nový úkol“ (v originále „You have a new task“), zpráva, která vypadá jako standardní upozornění z Google Tasks. Odesílatel: @google.com. Priorita: vysoká. Termín: krátký. Odkaz v těle vede na formulář, který sbírá údaje.

Druhá varianta, kterou rozebral Malwarebytes o osm dní později, jde ještě dál. Falešná stránka „Google security check“ se po otevření nabídne jako progresivní webová aplikace (PWA). Kdo ji „nainstaluje“, přijde o adresní řádek v prohlížeči, as ním o poslední vizuální vodítko, že není na google.com. Aplikace pak na Androidu může získat přístup k oznámením, kontaktům, poloze i obsahu schránky, včetně jednorázových kódů z SMS.

Nejde přitom o izolované incidenty. Už v dubnu 2025 vývojář Nick Johnson útok napsal na síť X, při kterém phishingový e-mail prošel ověřením DKIM, digitálním podpisem, který má zaručit, že zprávu skutečně odeslal Google. Falešný uložený portál byl hostován na sites.google.com. Podle agentury ENISA tvoří phishing v Evropě vedoucí vstupního vektoru kyberútok přibližně v 60 % případů a podporované umělou inteligencí představovaly do začátku roku 2025 přes 80 % pozorovaných aktivit sociálního inženýrství.

Klikněte ještě není katastrofa, zadání hesla ano

Samotné na kliknutí odkaz v podvodném e-mailu nemusí znamenat okamžitou ztrátu účtu. Kritický moment nastává ve chvíli, kdy oběť zadá chvíli, potvrďte druhý faktor nebo udělí aplikaci další oprávnění. Právě tady se rozhoduje.

Proč ale mluvíme o bankovnictví? Protože účet Google dnes funguje jako centrální identita:

• Gmail slouží jako resetovací a oznamovací kanál pro desítky dalších služeb včetně bank.
• Správce hesel Google může uchovávat hesla k internetovému bankovnictví i dalším finančním službám.
• Platební profil v účtu Google obsahuje platební karty a bankovní údaje uložené na Google Pay nebo nákupy v Obchodě Play.

Stačí, aby útočník ovládl Gmail, a mohl zachytit resetovací e-maily z banky, bezpečnostní upozornění i jednorázové kódy. Google sám ve svém návodu pro kompromitované účty radí kontaktovat banku, pokud jsou v účtu uložené finanční údaje. Navazující podvodná stránka pak může vylákat i přímé bankovní přihlášení.

Jak podvod poznat, když vypadá jako originál

Jazyk zprávy už není spolehlivý filtr. Portál gov.cz jsou výkon, že dnešní podvodné zprávy jazykově věrohodné a hlavním trikem je tlak na rychlou reakci, nekrkolomná čeština. Na co se tedy nachází?

• Google nikdy nechce heslo e-mailem. Pokud stránka po kliknutí na heslo ke Google účtu, je to varovný signál. Místo klikání na odkaz jděte přímo na myaccount.google.com/notifications.
• Zkontrolujte URL. Najeďte kurzorem na odkaz (na mobilu dlouhý stisk) a podívejte se, kam skutečně vede. I sites.google.com může být podvod.
• Všímejte si kontextu. Nečekaný úkol v Google Tasks, bezpečnostní kontrola, kterou jste neiniciovali, nebo termín za pár hodin, to jsou manipulativní prvky, ne standardní komunikace Googlu.
• Zapněte Password Alert v Chrome. Toto rozšíření vás upozorní, pokud zadáte heslo ke Google účtu na stránce, která Googlu nepatří.

Co dělat, když už jste heslo zadali

Rychlost rozhoduje. Postup podle priority:

1. Změňte heslo ke Google účtu z čistého zařízení. Pokud se už nemůžete přihlásit, použijte stránku pro obnovu účtu. Google ještě 7 dní po změně údajů pro obnovu posílá kódy na předchozí telefon nebo e-mail, záchrana je proto stále možná.
2. Zkontrolujte bezpečnostní události v nastavení účtu: přihlášená zařízení, poslední aktivita v Gmailu, neznámé IP adresy.
3. Projděte skryté změny: přesměrování e-mailů, nové filtry v Gmailu, neznámá rozšíření v Chrome, sdílená alba ve Photos.
4. Změňte hesla u všech služeb, kde jste používali stejný e-mail nebo stejné heslo. Zkontrolujte uložená hesla v Google Password Manageru.
5. Volejte banku , pokud byly v účtu platební údaje nebo pokud jste na podvodné stránce zadali i bankovní přihlášení.
6. Nahlaste incident: v Gmailu tlačítkem „Nahlásit phishing“, v ČR na exploit@csirt.cz nebo přes online formulář CSIRT.CZ. Při finanční škodě kontaktujte Policii ČR.

Proč je dvoufaktor nutnost, ale není všelék

Zapnutí dvoufázového ověření (2SV) výrazně snižuje riziko. Google uvádí, že i při odcizeném hesle je účet s 2SV lépe chráněný. Jenže pokud oběť na falešné stránce zadá i jednorázový kód, nebo pokud škodlivá PWA čte oznámení s kódy přímo ze zařízení, druhý faktor selže. Silnější varianty existují: přístupové klíče (passkeys), hardwarový bezpečnostní klíč nebo alespoň Google prompts místo SMS. Zapnout na ně zabere dvě minuty v nastavení účtu v sekci „Zabezpečení“ pod „Dvoufázové ověření“.

Google tvrdí, že blokuje přes 99,9 % phishingu a denně zastaví téměř 15 miliard nevyžádaných zpráv. Zbylá desetina procenta ale stačí, zvlášť když útočník nemusí napodobovat Google, protože si půjčí jeho vlastní nástroje.