Tenhle týden mi přišla SMS, že balík od České pošty čeká, ale chybí 28 korun za clo. Měl jsem zaplatit přes přiložený odkaz. Žádný balík ze zahraničí jsem ale nečekal. Klasika.
Tomuhle se říká smishing (SMS + phishing) a v posledních měsících na to v Česku skočily desítky tisíc lidí. Pošta vám SMS o doplatku ale nikdy neposílá. Doplatek za clo, daň, balné nebo „uvolnění zásilky“ se vždycky řeší u kurýra při doručení nebo na pobočce. Nikdy přes SMS s odkazem.
Jak ta SMS vypadá
Texty se trochu liší, ale schéma je vždycky stejné:
Česká pošta: Vaše zásilka čeká na doplatek 28 Kč. Zaplatťe zde: posta-cz.info/zaplatit
Někdy je to Zásilkovna, někdy Balíkovna, někdy DPD nebo PPL. Někdy jde o „doplatek za clo“ (typicky 30 až 100 Kč), jindy o „skladné“ nebo „uvolnění zásilky“ (oboje neexistuje). Cílem je dostat vás na podvodnou stránku, kde po vás chtějí buď platbu kartou (vykradou ji), nebo přihlášení do internetbankingu (vykradou účet).
Jak to poznáte
Pár věcí, které pravá pošta nikdy neudělá:
- Pošle vám SMS s odkazem na placení.
- Bude požadovat platbu pod 100 korun (dopravci se kvůli takovým částkám neobtěžují).
- Použije divnou doménu, něco jako „posta-cz.info“, „ceska-balikova.com“, „cspost.eu“. Pravá doména je ceskaposta.cz a basta.
- Bude psát s překlepy. (I když překlepy si troufnu říct často projdou — i pravá pošta umí napsat blbost.)
Když máte sebemenší pochybnost, kdo na vás volal nebo posílal SMS, dá se to ověřit. Komunitní databáze Cislo.info sbírá zkušenosti od reálných uživatelů a když z toho čísla už někdo varoval, najdete to. Stejně si ověřte odesílatele přímo na webu dopravce nebo zavolejte na jeho infolinku.
Co se stane, když kliknete
Tady to dopadá ve dvou variantách.
A) fake checkout. Stránka vypadá jako pravá platební brána. Zadáte číslo karty, CVV, datum expirace. V tu chvíli je z vaší karty vykradeno všechno, co tam je.
B) fake bankovní login. Stránka vás přesměruje na „ověření přes vaši banku“. Vyplníte přihlašovací údaje a SMS kód. Útočník si váš účet otevře sám a peníze pošle pryč.
Některé moderní podvody navrch nainstalují aplikaci do telefonu, která pak odposlouchává všechny SMS. To znamená, že útočník se může do banky logovat opakovaně dokud nevybere všechno.
Když už jste klikli a něco vyplnili
- Okamžitě si zablokujte kartu v aplikaci banky nebo přes infolinku.
- Změňte heslo do internetbankingu (ne přes ten odkaz z SMS, jdete přímo do aplikace nebo přes oficiální web).
- Zavolejte na infolinku banky, ohlaste co se stalo. Pokud zasáhnete v řádu minut, banka může transakce ještě stopnout.
- Nahlaste to na 158 nebo na nejbližší služebnu Policie. Trestní oznámení je důležité kvůli pojištění a kvůli statistikám podvodů.
- Mrkněte se do telefonu, jestli vám tam náhodou nepřibyla aplikace, kterou neznáte. Pokud ano, smažte a nechte si telefon zkontrolovat (Android: Nastavení → Aplikace → seřadit podle data instalace, iPhone: nemůže instalovat aplikace mimo App Store, ale může mít konfigurační profil).
Pár čísel pro představu
Podvodů s falešnou Balíkovnou se v Česku rozjelo někdy v roce 2023, vrchol přišel v 2024. Policie eviduje hlášení v řádu desítek tisíc a reálná škoda je výrazně vyšší. Většina lidí to nenahlašuje, protože „to bylo jen pár stovek“ nebo se stydí. Jenže když podvodníci sklidí 200 Kč z desítek tisíc karet, jde to do milionů korun.
Takže pravidlo, které stojí za zapamatování. Pošta vám SMS s odkazem na placení nikdy neposílá. Když přijde, smažte a hotovo. A když máte pochybnost o nějakém balíku, ověřte si to přímo u dopravce, všichni mají infolinku zdarma.
Zanechte odpověď