Proč by vás phishing měl zajímat
Phishing je v Česku nejčastější kybernetickou hrozbou — v roce 2025 tvořil spolu s vishingem 93 % všech kybernetických incidentů. Průměrná oběť přišla o 721 546 Kč a celkové škody za první čtvrtletí 2025 dosáhly téměř 800 milionů korun.
Každý den řeší policie 60 až 70 závažných kybernetických případů. V roce 2025 evidovala 21 137 kybernetických trestných činů — to je 12,4 % veškeré kriminality v Česku. Meziročně nárůst o 14,3 %. A objasněnost? Pouhých 15,1 %. Jinými slovy: pokud na phishing naletíte, šance, že pachatele někdo dopadne, je asi jedna ku šesti.
Phishing přitom není žádná novinka. Existuje od devadesátých let. Jenže v roce 2026 ho řídí umělá inteligence — a to mění všechno.
Co je phishing a jak vlastně funguje
Phishing je podvodná technika, při které se útočník vydává za důvěryhodnou instituci (banku, poštu, úřad), aby z vás vylákal přihlašovací údaje, čísla platebních karet nebo přístup k účtu. Název pochází z anglického „fishing" — lovení ryb, kde návnadou je falešná zpráva.
Mechanismus je jednoduchý. Dostanete e-mail, SMS nebo telefonát, který vypadá jako od vaší banky. Zpráva obsahuje naléhavý důvod k akci: „Váš účet byl zablokován", „Ověřte svou identitu do 24 hodin", „Máte nedoplatek na poště." Odkaz vás přesměruje na falešnou webovou stránku s přihlašovacím formulářem. Zadáte údaje — a útočník je má.
Ondřej Novotný, kyberbezpečnostní analytik společnosti ESET Praha, popisuje typický scénář: „Oběti jsou přesměrovány na falešné webové stránky s přihlašovacím formulářem." V prvním čtvrtletí roku 2026 tvořila krádež přihlašovacích údajů dvě třetiny všech phishingových aktivit v Česku.
Phishing spadá pod trestný čin podvodu podle § 209 trestního zákoníku s trestem až 2 roky odnětí svobody. Často jde v souběhu s § 230 — neoprávněný přístup k počítačovému systému. To ale útočníky, kteří sedí v zahraničí, příliš neodradí.
Nejčastější typy phishingu v Česku
České prostředí má svá specifika — útočníci se nejčastěji vydávají za Českou poštu, banky (Česká spořitelna, ČSOB, Raiffeisenbank), Českou národní banku a energetické společnosti. Přibývá také vishing — podvodné telefonáty s využitím deepfake hlasu.
E-mailový phishing zůstává králem. Falešné faktury, upozornění na nedoplatky, „ověření účtu". V roce 2025 se e-mail podílel na většině útoků. Typický znak: odesílatel vypadá jako banka, ale e-mailová adresa končí na podezřelé doméně (@ceskasporitelna-overeni.com místo @csas.cz).
Smishing (SMS phishing) cílí na mobilní uživatele. „Váš balíček čeká na doručení — potvrďte adresu." Odkaz vede na falešný web České pošty. Funguje, protože lidé na telefonu méně kontrolují URL adresy.
Vishing (hlasový phishing) zaznamenal v roce 2025 prudký nárůst díky AI-generovaným hlasům. Útočník zavolá jako „bankéř" nebo „policista" a přesvědčí oběť k převodu peněz na „bezpečný účet". Kampaň České bankovní asociace #nePINdej cílí právě na tento typ podvodu a nově zapojila prvky umělé inteligence.
Spear phishing míří na konkrétní osobu — útočník si o vás zjistí informace z LinkedIn nebo sociálních sítí a zprávu personalizuje. „Dobrý den, pane Nováku, v příloze posílám fakturu za projekt, o kterém jsme mluvili ve čtvrtek." Tento typ je nejtěžší rozpoznat.
Jak phishingový e-mail poznat: 5 varovných signálů
Rozpoznat phishing vyžaduje kontrolu pěti věcí: adresy odesílatele, naléhavosti zprávy, kvality češtiny, cílové URL adresy odkazu a logiky požadavku. I jeden podezřelý signál je důvod zprávu ignorovat.
1. Podezřelá adresa odesílatele. Skutečná Česká spořitelna píše z @csas.cz, ne z @csas-overeni.info. Vždy zkontrolujte celou e-mailovou adresu — ne jen zobrazené jméno odesílatele. Na mobilech to vyžaduje rozkliknutí detailů.
2. Umělá naléhavost. „Máte 24 hodin na ověření, jinak bude účet zablokován." Legitimní instituce vám dají rozumný čas na reakci a nikdy nevyžadují okamžitou akci přes e-mail. Česká národní banka opakovaně varuje, že sama nikdy nepožaduje přihlašovací údaje elektronicky.
3. Podezřelý odkaz. Než kliknete, najeďte myší na odkaz (na mobilu dlouhý stisk). Skutečná URL se zobrazí v dolní liště prohlížeče. Hledejte: překlepy v doméně (ceska-posta.cz místo ceskaposta.cz), podivné přípony (.xyz, .info), zbytečně dlouhé adresy.
4. Špatná čeština nebo formátování. Historicky byl špatný jazyk spolehlivým vodítkem. V roce 2026 ale AI generuje gramaticky bezchybné phishingové zprávy — podle zprávy společnosti KnowBe4 z května 2026 vzniká 86 % phishingových útoků s pomocí umělé inteligence. Přesto: nekonzistentní formátování, rozmazané logo nebo špatné kódování diakritiky (Č jako Ä) stále prozradí část útoků.
5. Nelogický požadavek. Banka po vás nikdy nebude chtít PIN, celé číslo karty nebo heslo e-mailem. Pošta nevyžaduje platbu za „celní poplatek" přes odkaz v SMS. Pokud požadavek nedává smysl — nedává ho vaše banka.
Proč AI mění pravidla hry
Umělá inteligence dramaticky snížila bariéru pro útočníky — v roce 2026 vzniká 86 % phishingových útoků s pomocí AI. Podvodné zprávy jsou personalizované, gramaticky bezchybné a útočí i mimo e-mail, na chatovací platformy a sociální sítě.
Ještě v roce 2023 jste phishing poznali podle kostrbaté češtiny. Dnes AI vygeneruje e-mail, který zní přesně jako komunikace vaší banky — včetně správného oslovení, reference na skutečné produkty a bezchybné diakritiky. Útočníci navíc používají deepfake technologie pro hlasové hovory: zavolá vám „bankéř" hlasem, který zní důvěryhodně.
Důsledek pro Česko je alarmující. Navzdory rostoucím investicím do kybernetické bezpečnosti a osvětovým kampaním jako #nePINdej počet útoků i škody nadále rostou. Za první tři měsíce roku 2025 dosáhly škody kyberpodvodů téměř 800 milionů Kč — dvojnásobek oproti stejnému období roku 2024. Česko přitom podle Eurostatu (2024) patří k zemím s nejvyšším podílem podniků informujících zaměstnance o ICT bezpečnosti — téměř 78 %, nejvíce v EU společně s Irskem. Přesto 29,3 % českých podniků zaznamenalo bezpečnostní incident (4. místo v EU).
Kritici poukazují na to, že investice do prevence nestačí. Objasněnost kybernetické kriminality v roce 2025 dosáhla pouhých 15,1 %. Policie ČR v roce 2024 zaznamenala dočasnou stabilizaci počtu podvodů a doufala, že preventivní projekty fungují — rok 2025 ale přinesl opětovný skokový nárůst.
Co dělat, když na phishing naletíte
Pokud jste zadali přihlašovací údaje na podezřelém webu, okamžitě změňte heslo, kontaktujte svou banku a podejte oznámení na policii. Rychlost reakce rozhoduje — čím dříve zareagujete, tím větší šanci máte na záchranu financí.
- Okamžitě změňte heslo ke kompromitovanému účtu — a ke všem účtům, kde používáte stejné heslo.
- Kontaktujte banku na oficiálním telefonním čísle (z karty nebo webových stránek) a požádejte o zablokování podezřelých transakcí.
- Podejte oznámení na Policii ČR — online na epodatelna.policie.cz nebo osobně na nejbližší služebně.
- Nahlaste phishingový e-mail na reportphishing@apwg.org (Anti-Phishing Working Group) nebo přímo poskytovateli, za kterého se útočník vydával.
- Zapněte dvoufaktorové ověření (2FA) všude, kde to jde — i kdyby útočník získal heslo, bez druhého faktoru se nepřihlásí.
Statistika ukazuje, že 80 % obětí kyberpodvodů v prvním čtvrtletí 2025 tvořily ženy, průměrný věk obětí byl 46 let. To neznamená, že muži nebo mladší lidé jsou v bezpečí — phishing cílí na každého, kdo má e-mail a bankovní účet.
Dostali jste někdy e-mail, u kterého jste si nebyli jistí, jestli je pravý? Podle čeho jste se nakonec rozhodli, že jde o podvod — nebo že je zpráva legitimní?
Často kladené otázky
Jak poznám phishingový e-mail od pravého?
Zkontrolujte e-mailovou adresu odesílatele (ne jen zobrazené jméno), najeďte na odkaz bez kliknutí a ověřte, zda URL odpovídá skutečné doméně instituce. Banka nikdy nepožaduje heslo nebo PIN e-mailem. V případě pochybností zavolejte na oficiální linku instituce.
Co je vishing a jak se liší od phishingu?
Vishing je phishing prostřednictvím telefonního hovoru — podvodník se vydává za bankéře, policistu nebo technika. V roce 2025 tvořil vishing společně s e-mailovým phishingem 93 % kybernetických incidentů v Česku. Obrana: nikdy neposkytujte údaje volajícímu, zavěste a zavolejte na oficiální číslo instituce.
Může mě phishing postihnout, i když mám antivirus?
Ano. Antivirus chrání před malwarem, ale phishing cílí na lidské rozhodování — přesvědčí vás, abyste sami zadali údaje na falešném webu. Nejlepší obranou je kombinace technických nástrojů (spamový filtr, 2FA) a vlastní ostražitosti při každém požadavku na přihlášení nebo platbu.
Kolik peněz Češi ročně ztratí kvůli phishingu?
V roce 2024 přesáhly škody z kybernetických podvodů na klienty českých bank 1,39 miliardy Kč. Jen za první čtvrtletí 2025 dosáhly škody téměř 800 milionů Kč — dvojnásobek oproti stejnému období předchozího roku. Průměrná škoda na jednu oběť činila 721 546 Kč.
Kam nahlásit podezřelý e-mail nebo SMS?
Podezřelé zprávy nahlaste Policii ČR (epodatelna.policie.cz), své bance na oficiální lince nebo Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Phishingové e-maily můžete přeposlat také na reportphishing@apwg.org pro zařazení do mezinárodní databáze podvodných stránek.
Jak se bránit phishingu v roce 2026, když AI generuje dokonalé podvodné zprávy?
Nespoléhejte pouze na rozpoznání špatné češtiny — AI ji už zvládá bezchybně. Zaměřte se na ověření identity odesílatele, kontrolu URL adres a zásadu nikdy neklikat na odkazy v nevyžádaných zprávách. Zapněte dvoufaktorové ověření a pro důležité účty používejte unikátní hesla přes správce hesel.
Komentáře
Sdílejte svůj pohled na toto téma.