Koncem roku se podvody nejvíce šířily přes e-mail, útočníci „šli“ po přihlašovacích údajích

„Zatímco na podzim jsme v Česku pozorovali ještě určitý pokles phishingových útoků, v posledním čtvrtletí roku 2025 nabrala podvodná komunikace opět na síle. Nejčastější případy podvodných zpráv zůstávají zatím stále stejné, což svědčí o určité úspěšnosti těchto útoků: k odcizení přihlašovacích údajů útočníci využívají především e-mail, nebo také reklamy na sociálních sítích. Útok je zacílen globálně, takže se zpráva může tvářit jako komunikace od celé řady společností – velmi často je zneužívané jméno přepravce DPD, platformy Facebook nebo telekomunikačních společností. V našem prostředí jsme viděli například podvodnou komunikaci od operátora O2. Zpráva anebo inzerce obsahuje falešný odkaz nebo dokonce QR kód k přihlášení do uživatelského účtu. Jakmile oběť na odkaz klikne, je přesměrována na falešné webové stránky s přihlašovacím formulářem,“ vysvětlil Ondřej Novotný, kyberbezpečnostní analytik z pražské výzkumné pobočky společnosti ESET.

Výše popsané kyberpodvody v Česku, označené bezpečnostními experty jako Phishing.Gen, jsou celosvětově rozšířeným typem hrozby. Často existují v mnoha jazykových mutacích a stále se vyznačují viditelně strojovým překladem. V posledním čtvrtletí se k nim přidaly také podvody, které bezpečnostní experti označují jako Agent.HEE. Útočníkům šlo i v těchto případech o přihlašovací údaje.

„Přihlašovací údaje se závěrem loňského roku staly evidentně nejčastěji vyhledávanou kořistí v českém kyberprostoru. Také ve druhém nejčastěji zachyceném podvodu hrál stěžejní roli e-mail jako způsob distribuce falešné komunikace a odkazů. Útočníci zneužívali v komunikaci přihlášení ke službě Gmail od Google či do účtu Microsoftu. Manipulativní zpráva se oběti snažila vystrašit bezpečnostním upozorněním, že s účtem není vše v pořádku a vyzývala k otevření dokumentu PDF, Word či Excel prostřednictvím vloženého odkazu. I v tomto případě však byli lidé přesměrováni na podvodné stránky s falešnými přihlašovacími formuláři. V tuzemsku se mohli uživatelé setkat s verzí zneužívající Českou spořitelnu,“ doplnil Novotný.

V aktuálním roce bezpečnostní experti počítají s tím, že úspěšné scénáře budou útočníci nadále zdokonalovat. Významnou součástí dnešních phishingových útoků jsou také nástroje umělé inteligence, které dokážou přizpůsobit podvodnou komunikaci na míru cílové skupině potenciálních obětí. Bezpečnostní experti tak očekávají další nárůst kvalitních deepfakes a podvodů generovaných AI, které umožní i méně zdatným útočníkům provádět masivní kampaně.

Podvod jako součást nákupů na online bazarech

Mezi nejčastějšími případy podvodů v Česku zůstávají nadále také podvody pomocí nástroje Telekopí (Telekopye). Doménou útočníků jsou v těchto případech především online tržiště a bazary. Zatímco ve třetím čtvrtletí loňského roku zachytili bezpečnostní experti tento typ podvodu v pětině všech phishingových útoků na Česko, v závěru roku klesl jejich objem na desetinu všech těchto útoků. Cílem podvodníků jsou údaje z platebních karet či přístupy k bankovním účtům.

„Nástroj Telekopí funguje jako bot na komunikační platformě Telegram. Umožňuje i méně technicky zdatným útočníkům vytvářet phishingové stránky z přednastavených šablon, generovat škodlivé QR kódy a falešné screenshoty nebo rozesílat podvodné e-maily či SMS zprávy. Útočníkům připraví věrohodně vypadající, nicméně falešné kopie platebních bran na domnělých stránkách známých dopravců, jako je například DPD. Útočník si oběť typicky vybere mezi prodávajícími, předstírá zájem o prodávané zboží a následně oběti nabídne možnost platby zadáním údajů k jeho platební kartě či účtu. Právě tento postup by měl uživatele a uživatelky vždy varovat – pokud jsou v pozici prodávajícího, nedává smysl, aby někam zadávali údaje ke své platební kartě,“ zopakoval doporučení Novotný.

Investiční podvody v závěru roku 2025

V závěru loňského roku se investiční podvody, které bezpečnostní experti z ESETu monitorují pod označením HTML/Nomani, vrátily opět blíž k hodnotám ze začátku roku. Podvody slibující pohádkové zhodnocení financí nákupem kryptoměn tak zůstávají významnou hrozbou pro české uživatele a uživatelky. Přispívá tomu i to, že útočníci v jejich případech využívají zmanipulovaný deepfake obsah.

„V loňském roce vzrostly případy podvodů Nomani v našich datech meziročně o 62 % a v souvislosti s nimi za celý rok ESET zablokoval přes 64 000 webových URL adres. Jde o podvod, který kombinuje několik různých technik sociálního inženýrství. U investičních podvodů lidem opakovaně připomínáme, aby zbystřili vždy, když je nabídka zhodnocení příliš výhodná a lákavá. Většinou to totiž není pravda,“ uzavřel Novotný.

Nejčastější případy phishingových útoků v Česku za období od října do prosince 2025:

1. HTML/Phishing.Gen trojan (42,28 %)

Phishingový útok s globálním dosahem, cílem jsou přihlašovací údaje.

2. HTML/Phishing.Agent.HEE trojan (22,31 %)

Phishingový útok s globálním dosahem, cílem jsou přihlašovací údaje.

3. HTML/Phishing.Telekopye.E trojan (10,40 %)

Útoky pomocí nástroje Telekopí s cílem získat peníze z bankovních účtů obětí.

4. HTML/Phishing.Agent.HNP trojan (7,44 %)

Phishingový útok na bankovní údaje českých uživatelů a uživatelek.

5. HTML/Phishing.Agent.HGV trojan (5,93 %)

Phishing zneužívající varování o expiraci předplatného za webový hosting, cílem jsou platební údaje.

Údaje vyplývají z analýzy phishingových útoků na Českou republiku od společnosti ESET za poslední čtvrtletí roku 2025.