Praha 24. listopadu 2025 (PROTEXT) – Falešné e-shopy s 80% slevami, kradení údajů o platební kartě, podvodné SMS od kurýrů i neexistující charity. Vánoce jsou zlatým dolem pro kyberzločince.
„Vánoce jsou pro kyberzločince nejvýdělečnější sezónou. V předvánočním stresu se lidé snadněji nachytají a objednají z falešného e-shopu, mnohem častěji pošlou peníze charitám, které neexistují, a prozradí zlodějům, že je jejich dům prázdný,“ říká Patrik Žák, specialista na kyberbezpečnost, který odhaluje pět nejnebezpečnějších hrozeb vánočního období.
Podvodné SMS a e-mail od dopravců
„Nejrozšířenější hrozbou jsou phishingové útoky – podvodné zprávy, které se tváří jako legitimní komunikace od důvěryhodných firem. Útočníci se nejčastěji vydávají za DHL, DPD nebo Českou poštu a dokonale napodobují jejich komunikaci včetně loga a grafiky,“ vysvětluje Patrik Žák.
Typický scénář: Je 23. prosince, člověk čeká poslední dárky a přijde mu zpráva: „Váš balíček nemohl být doručen, prosím potvrďte adresu.“ Po kliknutí na odkaz se dostane na podvodnou webovou stránku, kde má zadat své platební údaje.
„Lidé čekají desítky balíčků, takže pravděpodobnost, že kliknou na podvodný odkaz, je mnohem vyšší než jindy. Útočníci to přesně vědí a svoje kampaně na to načasovávají,“ upozorňuje expert ze Sysnetshield.
Žák radí vždy pečlivě kontrolovat e-mailovou adresu odesílatele. Například oficiální komunikace od DHL obsahuje výhradně koncovky dhl.com, dpdhl.com nebo dhl.cz. „Pokud si nejste jistí, raději navštivte oficiální web přepravce a zadejte sledovací číslo ručně. Nikdy neklikejte přímo na odkazy ve zprávách. Pozor na naléhavý tón – podvodníci často vytvářejí urgenci slovy jako ‚okamžitě‘ nebo ‚do 24 hodin‘,“ dodává Žák.
Falešné e-shopy: Přes 80.000 podvodných stránek za jednu sezónu
Během loňské vánoční sezóny bezpečnostní firmy identifikovaly více než 80.000 falešných online obchodů. V Česku se objevily podvodné stránky napodobující Calzedonia, Tezenis, Zara, Puma nebo Roxy. Letos očekávají číslo vyšší, protože s vyspělejším AI je tvorba falešných e-shopů jednodušší.
„iPhone za polovinu ceny? Značkové oblečení s 80% slevou? Po zaplacení produkt buď vůbec nedostanete, nebo obdržíte nekvalitní padělek. Falešné e-shopy jsou dnes tak dokonalé, že i zkušení uživatelé mohou naletět,“ varuje Žák.
Podvodníci často používají podobné adresy jako originální obchody, liší se třeba jen jedním písmenem. „Společným znakem je absence kontaktních údajů – najdete tam pouze jednoduchý formulář. Legitimní obchod má vždy fyzickou adresu, telefon, IČO a obchodní podmínky.“
Žák upozorňuje také na online skimming – krádež údajů o kartě přímo z napadeného e-shopu. „Útočníci se dostanou do legitimního obchodu, nainstalují škodlivý kód a ten sbírá čísla karet všech zákazníků.“
Expert doporučuje kontrolovat internetovou adresu a všímat si překlepů nebo netradičních koncovek. „Pokud legitimní obchod běží na zara.cz, podvodná varianta může být zara-vyprodej.shop nebo zarra.xyz. Pozornost věnujte koncovkám .shop, .xyz nebo .online místo .cz nebo .com.“
Žák radí důvěřovat instinktu. „Pokud je iPhone o patnáct tisíc levnější než kdekoliv jinde, pravděpodobně to pravda není. Preferujte platbu kartou přes GoPay nebo ComGate, případně dobírku. Nikdy neplaťte přímým převodem na účet, zejména ne zahraniční.“
Podvodné QR kódy na zastávkách i v restauracích
QR kódy jsou všude – v restauracích, na plakátech, na parkovacích automatech. Během minulé vánoční sezóny bylo na QR podvody ztraceno přes 22 milionů korun.
„QR kódy jsou zrádné, protože lidé jim důvěřují. Vidí kód na plakátu a automaticky předpokládají, že je legitimní. Ale může být přelepený podvodníkem během pár vteřin. Tomu se říká quishing – kombinace slov QR a phishing. Problém spočívá v tom, že u QR kódu člověk odkaz nevidí dopředu,“ vysvětluje Žák.
Podvodné QR kódy se mohou objevit na přelepených plakátech, v restauracích jako falešné menu, na parkovacích automatech nebo v e-mailech. Skenování může vést na phishingové stránky nebo stáhnout škodlivý program.
Expert doporučuje fyzickou kontrolu. „Všímejte si umístění – pokud je kód přelepený, vypadá jako dodatečná samolepka, nebo je na neočekávaném místě, zbystřete.“ Žák také radí stáhnout aplikaci na čtení QR kódů, která zobrazí adresu dříve, než ji otevře. „Zprávy typu ‚Okamžitě zaplaťte pokutu!‘ nebo ‚Rychle si vyzvedněte výhru!‘ značí podvod. Po naskenování si vždy přečtěte adresu. Pokud má podivné znaky nebo končí na .xyz nebo .tk, neotvírejte ji.“
Lidé posílají peníze na falešné charity
Vánoce jsou časem pomoci. Podvodníci to vědí a zakládají falešné charity s legitimně vypadajícími stránkami.
„Falešné sbírky jsou emocionálně velmi zatěžující. Člověk má pocit, že pomohl, a pak zjistí, že peníze skončily v kapsách podvodníka. To bolí víc než běžný finanční podvod a podrývá důvěru v legitimní organizace,“ říká Žák.
Podvodné organizace kopírují názvy legitimních charit s mírnými změnami nebo vytváří nové organizace s emotivními příběhy. Expert doporučuje ověřit si organizaci v oficiálních registrech – v Česku na Justice.cz nebo u Rady vlády pro nestátní neziskové organizace.
„Zkontrolujte historii organizace a buďte opatrní u nově vzniklých charit před Vánocemi. Zadejte název do vyhledávače spolu se slovem ‚podvod‘. Legitimní charity mají transparentní platební brány a ochotně odpoví, jak budou peníze použity. Pozor na emocionální nátlak typu ‚umírající dítě potřebuje operaci do zítřka‘. Legitimní charity vás netlačí do okamžitého rozhodnutí,“ upozorňuje Žák.
Zlodějům stačí váš Instagram. Návod, jak vykrást prázdný dům
„Moderní zloději už nemusí chodit ulicemi. Stačí jim procházet sociální sítě, kde lidé sdílí fotky z dovolené včetně přesné polohy,“ varuje Žák.
Fotky z letiště, sjezdovky, večeře – všechno na Instagramu prozradí, že váš dům je prázdný. „Tomu se říká OSINT – sběr informací z veřejných zdrojů. Zlodějské gangy mají specializované členy, kteří systematicky procházejí sociální sítě. Geotagging jim dělá práci ještě jednodušší.“
Žák důrazně doporučuje sdílet fotky až po návratu. „Pár dní čekání může zabránit vykradení. Vypněte automatické přidávání polohy a nastavte profily jako soukromé. Informujte důvěryhodné sousedy o nepřítomnosti a využijte časové spínače pro světla. Dům, který vypadá obydleně, je pro zloděje méně atraktivní.“
Pozor na chytré hračky pod stromečkem
Pod stromečkem letos nejspíš budou chytré hračky, kamery nebo televize. Všechna tato zařízení se připojují k internetu a mohou být podle Patrika Žáka potenciálním bezpečnostním rizikem.
„Mnoho těchto zařízení přichází s výchozími hesly typu ‚admin123‘ nebo bez hesla. Výrobci často nedodávají bezpečnostní aktualizace a některá zařízení odesílají data na servery v neznámých zemích. Pokud hesla nejsou změněna, majitel dává útočníkům otevřenou bránu do své sítě,“ varuje expert ze Sysnetshield.
Žák uvádí typický scénář: „Hackeři se dostanou do domácí sítě přes chytrou žárovku s výchozím heslem. Odtamtud mají přístup k routeru a ke všem zařízením včetně počítačů a telefonů.“
Expert radí změnit všechna výchozí hesla ihned po rozbalení a vytvořit separátní Wi-Fi síť pro chytrá zařízení. „Pokud se útočník dostane do chytré žárovky, nebude mít přístup k pracovnímu počítači.“
U chytrých televizí zdůrazňuje instalaci aplikací pouze z oficiálních obchodů. „Aplikace nabízející filmy zdarma jsou často škodlivé. Pokud má televizor kameru nebo mikrofon a nepoužíváte je, vypněte je.“
U herních konzolí Žák doporučuje nastavit rodičovskou kontrolu. „Zakažte možnost nákupů ve hrách a vysvětlete dětem, že nemají sdílet osobní informace. Používejte silná hesla a dvoufázové ověření.“
Co dělat, když už je pozdě
Pokud už člověk klikl na podvodný odkaz, čas je klíčový. „Okamžitě kontaktujte banku a požádejte o zablokování karty. Změňte všechna hesla k důležitým účtům, zejména k bankovnictví, e-mailu a sociálním sítím. Útočníci často zkouší stejné údaje ve více službách.“ Podvod nahlaste Policii ČR na stoponline.cz.
O společnosti Sysnetshield
Sysnetshield je česká společnost specializující se na kybernetickou bezpečnost, penetrační testování a komplexní bezpečnostní audity. Poskytuje služby v oblasti testování zabezpečení IT infrastruktury, simulací phishingových kampaní a školení zaměstnanců.
Zdroj: Sysnetshield
PROTEXT
