Hackeři vám dávají najevo, že vám ovládli Facebook. Většina lidí si toho všimne, až když je pozdě a škody jsou napáchány
Změněná profilovka, zprávy přátelům, které jste neposlali, a heslo, které náhle nefunguje. To jsou signály, které za sebou útočník nechává.
Obsah článku
Zní to paradoxně, ale hackeři po převzetí facebookového účtu nijak zvlášť neskrývají stopy. Naopak, mění profilovou fotku, píšou příspěvky, komentují, rozesílají zprávy přes Messenger. Problém je v tom, že tyto „stopy“ jsou zároveň prvním viditelným důkazem útoku a ten se často dostane k majiteli účtu až zprostředkovaně: zavolá kamarád, že mu přišla podivná prosba o telefonní číslo. Nebo přijde e-mail od Facebooku o změně přihlašovacího e-mailu, který zapadne mezi desítky jiných notifikací. Podle oficiálního Facebook Help Center patří mezi znaky napadení právě změny profilu, cizí aktivita, nefunkční přihlášení, bezpečnostní upozornění a neznámá zařízení v historii přihlášení. Všechno to jsou ale signály následné, přichází až poté, co útočník změnil heslo nebo e-mail a začal účet aktivně používat. Policie ČR na začátku roku 2026 řešila zvýšený počet případů, kdy oběti zjistily napadení teprve ve chvíli, kdy z jejich profilu už odcházely podvodné zprávy jejich okruhu přátel.
Co útočník získá a proč si toho nevšimnete včas
Nejde jen o to, že vám někdo změní profilovku. Jakmile útočník převezme účet, jeho první krok je typicky změna e-mailu, telefonu a hesla. Tím si přesměruje veškerou bezpečnostní komunikaci na sebe a původního majitele odřízne od možnosti obnovy. Facebook sice na původní e-mailovou adresu pošle zprávu se speciálním odkazem pro vrácení změny, ale to funguje jen tehdy, když si toho oběť všimne dostatečně rychle.
Mezitím útočník pracuje. Z převzatého profilu oslovuje přátele přes Messenger, žádá telefonní čísla, autorizační kódy, láká na falešné soutěže. Případy, které na začátku roku 2026 popisovala Policie ČR, ukazují přesně tento scénář: pachatel z odcizeného profilu vylákal od kontaktů SMS kódy, po jejichž přeposlání vznikla finanční škoda. A pokud majitel používal stejné heslo i jinde, roste riziko řetězového převzetí dalších účtů, ať už e-mailu, dalších sociálních sítí, případně i služeb navázaných na stejnou adresu.
Nejde přitom o okrajový problém. Meta v roce 2025 odstranila přes 10,9 milionu účtů spojených s podvody na Facebooku a Instagramu a v březnu 2026 nasazovala další nástroje proti podvodům. Platforma má 3,56 miliardy denně aktivních uživatelů napříč aplikacemi, útočníci loví ve velmi širokém prostoru a rozhodně nehledají jen „důležité“ profily.
Jak poznat problém dřív, než bude pozdě
Klíč je v tom nepasivně čekat na varovný signál, ale aktivně si účet kontrolovat. Facebook nabízí několik nástrojů, které většina uživatelů nikdy neotevřela:
- Kde jste přihlášeni (Where you’re logged in) – seznam všech zařízení a lokací, odkud je účet přihlášený. Neznámé zařízení lze jedním klikem odhlásit.
- Poslední e-maily (Recent emails) – přehled skutečných e-mailů, které vám Facebook poslal. Pokud dostanete podezřelou zprávu „od Facebooku“, tady ověříte, jestli je pravá.
- Bezpečnostní kontrola (Security Checkup) – průvodce, který projde nastavení hesla, dvoufaktorového ověření a přihlášených zařízení najednou.
- Upozornění na přihlášení (Login alerts) – upozornění při každém přihlášení z neznámého zařízení.
Meta v březnu 2026 začala testovat i varování u podezřelých žádostí o přátelství, například když účet vykazuje málo společných přátel nebo jinou zemi v profilu. Na Messengeru navíc běží AI kontrola nových chatů, která hledá vzorce typické pro podvody.
Důležitý český kontext: podle dat ESETu za první čtvrtletí 2026 tvořily dvě třetiny sledovaných phishingových útoků v Česku právě krádeže přihlašovacích údajů, přičemž útočníci často zneužívali jméno Facebooku. Běží tu i investiční podvody s deepfake prvky, které využívají tváře českých politiků a celebrit.
Co udělat okamžitě, když zjistíte napadení
Pokud se do účtu ještě přihlásíte:
- Změňte heslo, ale to samo o sobě nestačí.
- Otevřete Nastavení a soukromí → Protokol aktivit → Zabezpečení a přihlašovací údaje → Kde jste přihlášeni a odhlaste všechna neznámá zařízení.
- Zkontrolujte, zda nebyl změněn e-mail nebo telefonní číslo. Pokud ano, vraťte změnu přes odkaz v bezpečnostním e-mailu od Facebooku.
- Zapněte dvoufaktorové ověření přes Centrum účtů → Heslo a zabezpečení → Dvoufaktorové ověření.
- Projděte Bezpečnostní kontrolu (Security Checkup).
Pokud se přihlásit nedokážete, první krok je jediný: otevřete facebook.com/hacked ze zařízení, které jste dříve používali. Facebook vás provede procesem obnovení účtu. Když už nemáte přístup ani k e-mailu, ani k telefonu, pokračujte speciálním postupem pro ztracené kontaktní údaje. Nehledejte návody na neoficiálních fórech, postup obnovení se mění a neaktuální návod situaci zhorší.
Prevence, která útočníkovi zavře dveře předem
Nejúčinnější ochrana dnes nejsou silná hesla, ale přístupové klíče (passkeys). Meta je na Facebooku podporuje od roku 2025 a označuje je za odolnější vůči phishingu než klasické heslo i SMS kódy. Přístupový klíč je vázaný na konkrétní zařízení a nelze ho přeposlat útočníkovi ani zadat na podvodné stránce.
Kdo přístupové klíče zatím nechce, měl by minimálně:
- Zapnout dvoufaktorové ověření přes autentizační aplikaci (ne přes SMS, pokud to jde).
- Používat unikátní heslo, které nesdílí s žádnou jinou službou.
- Zapnout upozornění na přihlášení.
- Pravidelně, třeba jednou měsíčně, zkontrolovat přihlášená zařízení a sekci posledních e-mailů.
Za zmínku stojí i rozdíl mezi hacknutím a takzvaným klonováním účtu. Při klonování vznikne falešný profil, který se za vás vydává, ale váš původní účet zůstává pod vaší kontrolou. Při hacknutí přicházíte o účet samotný. Facebook má pro obě situace oddělené postupy nahlášení.
Meta tvrdí, že počet nových hacků účtů na Facebooku a Instagramu v uplynulém roce globálně klesl o více než 30 %. To je dobrá zpráva. Horší je, že první důkaz útoku pro vás stále nejčastěji nebude technická hláška v nastavení, ale zpráva od kamaráda: „Hele, psal jsi mi něco divného.“