BabičkaHackuje
Phishing 2026 — 5 znaků, jak rozeznat podvodný e-mail (česky, s příklady)
← Zpět na blog
phishingbezpečnostpodvody onlinenávod českyzačátečnicephishing 2026ČSOB phishingsmishing

Phishing 2026 — 5 znaků, jak rozeznat podvodný e-mail (česky, s příklady)

Phishing v roce 2026 je propracovanější — AI generuje dokonalou češtinu, falešné SMS od Zásilkovny chodí denně, hlas v telefonu může být deepfake. Naučím tě 5 jednoduchých znaků, jak podvod poznáš za 10 sekund. S českými příklady z ČSOB, KB, Air Bank.

Marcela Kramářová11 min čtení
⏱️ Aktualizováno 21. 5. 2026. Phishing se vyvíjí rychle — AI nástroje umožňují podvodníkům generovat dokonale česky napsané e-maily, klonovat hlas v telefonu (vishing) a vyrábět realistické fake webové stránky. Tento návod je z květen 2026 a obsahuje aktuální české kampaně, na které si dej pozor.
Phishing 2026 — žena s podezřelou SMS „Vaše zásilka čeká na celní poplatek
Známá situace — přijde SMS od neznámého čísla a tvrdí, že ti čeká zásilka. Kliknout? Nebo to je podvod?

Phishing je podvod, kdy se útočník vydává za někoho důvěryhodného — banku, e-shop, kurýrní službu, nebo dokonce za tebe — a snaží se z tebe vylákat heslo, peníze nebo přístup k účtu. V roce 2026 už nejde rozeznat podvod podle pravopisných chyb — AI píše dokonale česky. Musíš sledovat jiné signály.

V tomto článku ti ukážu 5 konkrétních znaků, kterými poznáš podvodný e-mail nebo SMS za 10 vteřin — bez ohledu na to, jak hezky je napsaný. Na konci najdeš checklist, který si můžeš vytisknout a dát mamince na ledničku.

V 2026 už neexistuje „hloupý” phishing s češtinou jako od překladače. Podvodníci používají ChatGPT a píší česky líp než většina lidí. Musíš se dívat jinam.

Proč se phishing v 2026 změnil

Do 2023 byl phishing snadno rozeznatelný — „Vážený pán/í, prosím kliknout zde a aktualizovat svůj účet bankovní”. Pravopis na úrovni Google Translatoru, smysl věty rozbitý, autentičnost nulová.

V 2024 přišel ChatGPT a podvodníci ho začali používat. Od 2025 vidíme phishing, který:

  • Je dokonale česky — AI píše plynnou češtinu, používá správné pády, ironii, dokonce regionalismy (Brno vs. Praha).
  • Zná tvoje jméno — kupuje uniklé databáze z e-shopů, tak ti napíše „Vážená paní Marcelo Kramářová”.
  • Vypadá jako reálná banka — kopíruje 1:1 design e-mailů ČSOB, KB, ČS. Logo, barvy, font.
  • Volá ti deepfake hlasem — klonuje hlas pracovníka tvé banky podle 30 sekund nahrávky z YouTube.
  • Posílá QR kódy (tzv. quishing) — místo URL je v e-mailu QR kód, který naskenuješ mobilem a dostaneš se na fake stránku, kde tě e-mailový filtr nechytí.

Podle NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) bylo v ČR v roce 2025 nahlášeno přes 12 000 phishing pokusů — a to je jen špička ledovce, většina případů zůstává nehlášena. Škoda českých občanů v roce 2025 z phishingu přesáhla 500 milionů Kč.

Dobrá zpráva: i ten nejlepší phishing má 5 znaků, podle kterých ho poznáš. Pojď se na ně podívat.

5 znaků podvodného e-mailu — naučíš se je za 10 minut

Znak č. 1: Adresa odesílatele NEsedí s doménou organizace

To je nejdůležitější znak — a 90 % phishingů ho má.

Když ti přijde e-mail „od ČSOB”, podívej se na celou adresu odesílatele, ne jen na zobrazené jméno. Najedeš myší na jméno odesílatele (nebo na mobilu jméno podržíš prstem), uvidíš e-mail.

Skutečná ČSOB ti pošle e-mail z domény csob.cz. Například info@csob.cz, oznameni@csob.cz.

Podvodník používá podobně vypadající doménu:

  • csob-cz.com ❌ (doména .com místo .cz)
  • csob-secure.net ❌ (přidané slovo)
  • info@csob-online.cz ❌ (vypadá podobně, ale není to csob.cz)
  • csob.banka-overit.cz ❌ (csob je tu jen subdoména na cizí doméně)

Pravidlo: Doména musí být přesně doména banky. Ne podobná, ne s pomlčkou, ne s dodatkem. Buď csob.cz, nebo kb.cz, nebo csas.cz (Česká spořitelna), nebo to není ona.

České banky a jejich oficiální domény (2026):

  • ČSOB → csob.cz
  • Komerční banka → kb.cz
  • Česká spořitelna → csas.cz
  • Air Bank → airbank.cz
  • Fio banka → fio.cz
  • MONETA Money Bank → moneta.cz
  • Raiffeisenbank → rb.cz
  • UniCredit Bank → unicreditbank.cz

Doporučuju si tento seznam vytisknout a dát si ho do peněženky. Při pochybnosti zkontroluj.

Znak č. 2: Naléhavost a hrozba ve zprávě

Podvodník chce, abys nepřemýšlela, ale klikla. Proto v každém phishingu najdeš naléhavost:

  • „Vaše platba do 24 hodin bude vrácena!”
  • „Účet bude zablokován, pokud neověříte do 3 hodin.”
  • Posledních 6 hodin na vyzvednutí zásilky.”
  • „Nahrání do dnešní půlnoci nebo dostaneš pokutu.”

Skutečná banka, e-shop, ani kurýrní služba ti nikdy nedá deadline 24 hodin. Kdyby s tebou skutečně potřebovala něco vyřídit, dá ti minimálně týden, často měsíc.

Pokud někdo ve zprávě tlačí na čas, je to s 95% pravděpodobností podvod. Skutečné instituce s tebou jednají v klidu.

Znak č. 3: Žádá tě o data, která už mají

Banka, telefonní operátor ani e-shop nikdy nepotřebují, abys jim posílala:

  • Heslo k internetbankingu
  • PIN ke kartě
  • CVV/CVC (3 čísla na zadní straně karty)
  • Plné číslo karty (mají ho ze své strany)
  • Rodné číslo
  • Číslo občanky
  • SMS kód pro potvrzení transakce

Banka tě nikdy nebude požadovat heslo. Kdyby ho potřebovala vědět, znamenalo by to, že si ho neukládá bezpečně. Banka ti nabídne resetovat heslo, ale nikdy ho po tobě nebude chtít.

Pokud v e-mailu vidíš odkaz „Klikněte sem a ověřte si heslo” — je to 100% phishing. Vždy. Bez výjimky. I kdyby logo bylo dokonalé.

Znak č. 4: Odkaz vede někam jinam, než ukazuje

V e-mailu vidíš odkaz www.csob.cz. Klikneš a najednou jsi na csob-secure-login.example.com. To je klasický trik.

Jak to ověřit, ANIŽ bys klikla:

Na počítači — najeď myší na odkaz (NEKLIKEJ), dole v prohlížeči se ukáže skutečná URL, kam odkaz vede. Pokud sedí s viditelným textem, OK. Pokud nesedí — podvod.

Na mobilu — podrž prst na odkazu (neklikni — jen drž). Po sekundě se ukáže náhled cílové URL. Stejně jako u počítače: musí přesně sedět.

Phishing detekce — podržení prstu na odkazu odhalí skutečnou URL „csob-secure-login.tk
Podrž prst na odkazu (NEKLIKEJ) — telefon ti ukáže skutečnou URL. Pokud nesedí, je to podvod.

Znak č. 5: Neočekávaná zpráva s přílohou

„Nečekala jsi e-mail, ale přišel — a má přílohu.” To je často phishing.

  • „Faktura z eshopu, kde jsi nenakupovala” — příloha .pdf nebo .docx
  • „Voucher na slevu, který jsi nevyhrála” — příloha .zip
  • „Sken dokumentu od kolegy, kterého neznáš” — příloha .exe (skoro vždy malware)

Pravidlo: Když nečekáš e-mail, neotvírej přílohu. Tečka. Když si nejsi jistá, ozvi se odesílateli jinou cestou (zavolej, napiš na známý kontakt) a zeptej se, jestli skutečně poslal.

Zvláštní pozor na soubory s příponou .exe, .scr, .bat, .zip obsahující .exe — to jsou klasické malware. Microsoft Word soubory (.doc, .docx, .xlsx) můžou obsahovat makra — také nebezpečné.

Reálné české phishing kampaně 2025-2026

Abys lépe poznala, na co si dát pozor, tady jsou skutečné případy z ČR, které se v posledních měsících objevily masivně:

Kampaň 1: „Zásilkovna — vaše zásilka čeká”

Nejčastější phishing 2025-2026 v ČR. SMS s textem:

„Vaše zásilka ZA-2026-{random} nemohla být doručena. Pro nové doručení uhraďte poplatek 49 Kč zde: zasilkovna-doruceni.cz/track

Proč to funguje: Skoro každý něco čeká ze Zásilkovny. 49 Kč je malá částka — klientka „prostě zaplatí, ať to má za sebou”. A je nahraná — útočník má číslo karty.

Skutečná Zásilkovna používá doménu zasilkovna.cz nebo z-box.cz. NIKDY nepožaduje poplatek za doručení dodatečně SMS. Pokud zásilku platíš, platí se na pobočce nebo online v aplikaci, kterou jsi sama otevřela.

Kampaň 2: „ČSOB — ověřte své údaje”

E-mail vypadající jako od ČSOB, s logem a barvami banky:

„Vážená paní Kramářová, na vašem účtu byla detekována neobvyklá aktivita. Pro zachování přístupu k internetbankingu se prosím přihlaste do 24 hodin a ověřte své údaje: csob-overeni.cz/login

Co je špatně: Doména csob-overeni.cz není csob.cz. Naléhavost (24 hodin). Žádá o přihlášení přes odkaz v e-mailu (ČSOB by ti řekla „přihlas se v aplikaci nebo na csob.cz”, nikdy by tě nelinkovala).

Kampaň 3: „Microsoft — váš účet byl napaden”

Phishing zaměřený na Microsoft 365 / Outlook účty. Často přijde i firmám:

„Microsoft Security Alert: Sign-in from unknown device in Russia. Click here to verify and secure your account.”

Co je špatně: Microsoft komunikuje česky, pokud máš účet nastavený v ČR. Anglické bezpečnostní alerty jsou typický phishing. Pravá Microsoft notifikace by tě navedla do account.microsoft.com, ne na cizí odkaz.

Kampaň 4: AI deepfake hlas „z banky”

Nový trend 2025-2026 — telefonát „od pracovníka banky”, který zná tvé jméno, adresu, dokonce poslední transakce. Hlas je klonovaný pomocí AI z 30 sekund nahrávky reálného zaměstnance.

Cíl: dostat z tebe SMS kód pro „ověření identity” nebo přesvědčit tě, abys nainstalovala vzdálený přístup (TeamViewer, AnyDesk) „pro pomoc s nastavením”.

Pravidlo: Banka NIKDY nevolá s prosbou o SMS kód, heslo, ani o instalaci vzdáleného přístupu. Pokud ti někdo volá „z banky” a chce po tobě cokoli z těchto věcí — zavěs a zavolej na oficiální číslo banky (najdeš ho na rubu karty nebo v aplikaci).

Co dělat, když omylem klikneš

Stane se to nejlepším. Klikla jsi na podezřelý odkaz, otevřela přílohu, nebo zadala heslo na fake stránce. Klid — pojď si projít 3 záchranné kroky.

Krok 1: Změň heslo IHNED

Otevři oficiální stránku banky/služby (napiš adresu ručně do prohlížeče, NEKLIKEJ na nic z e-mailu) a změň heslo. Použij silné unikátní heslo — ideálně přes Bitwarden, který ti ho vygeneruje a uloží.

👉 Návod, jak na to: Silné heslo a správce hesel + Bitwarden česky návod.

Krok 2: Zkontroluj účet a transakce

Pokud šlo o bankovní phishing — okamžitě otevři internetbanking a projdi posledních 30 dní transakcí. Najdi cokoli, co nepoznáváš.

Pokud najdeš podvodnou transakci:

  1. Zavolej na oficiální číslo banky (z rubu karty)
  2. Nahlas podvod, požádej o reklamaci
  3. Banka kartu zablokuje a vystaví novou
  4. Reklamované transakce se obvykle vrací do 14 dní

Krok 3: Zapni 2FA, pokud nemáš

Po útoku je nejlepší moment posílit obranu. Zapni si dvoufaktorové ověření (2FA) všude, kde to jde — Google, Facebook, banka, e-mail. Útočník už nikdy nedostane účet, ani když má heslo.

👉 Krok za krokem: 2FA krok za krokem.

Kam podvod nahlásit (v ČR)

Nahlásit phishing pomáhá chránit ostatní. Tvoje nahlášení může způsobit, že NÚKIB doménu blokuje, banka pošle varování klientům, Policie zahájí trestní stíhání útočníka.

1. Banka

Pokud phishing imituje českou banku, pošli e-mail s screenshotem na:

  • ČSOB: info@csob.cz (přilož screen)
  • Komerční banka: mojebanka@kb.cz
  • Česká spořitelna: bezpecnost@csas.cz
  • Air Bank: přes app, sekce „Pomoc”
  • Fio banka: info@fio.cz

2. NÚKIB (Národní úřad pro kybernetickou bezpečnost)

Pokud jde o velkou kampaň nebo státní instituci, nahlas přes formulář nukib.gov.cz. NÚKIB sleduje trendy a může zablokovat doménu.

3. Policie ČR

Pokud jsi přišla o peníze nebo identita byla zneužita, podej trestní oznámení na nejbližší oddělení Policie ČR nebo elektronicky přes Portál občana. Policie ČR má specializované oddělení pro kybernetickou kriminalitu.

4. Operátor (pro phishing SMS)

Pokud ti přišla podvodná SMS, přeposli ji na 7726 (zdarma) — to je národní antiphishing infrastruktura, kterou provozují operátoři. Pomáháš tím vyfiltrovat masivní kampaně.

Marcelin tip — checklist na ledničku

📌 Než kliknu, projdu si 5 otázek:

  1. Sedí celá adresa odesílatele s oficiální doménou organizace?
  2. Není ve zprávě naléhavost (24 hodin, ihned)?
  3. Není po mně chtěno heslo, PIN, CVV, SMS kód?
  4. Vede odkaz tam, kam ukazuje (najedu myší / podržím prst)?
  5. Čekala jsem tu zprávu, nebo přišla nečekaně?

Když i jen jedna odpověď je NE — nekliknout. Pokud si nejsem jistá, ověřit si službu jinou cestou (přihlášení přes oficiální web, telefon na oficiální číslo).

Tento checklist vytiskni a dej mamince/babičce/tátovi na ledničku. Pomůže jim, i když nečtou bezpečnostní blogy.

Co dál — kompletní cesta k digitálnímu klidu

Phishing není jediná hrozba. Pokud ti tento článek pomohl, mám pro tebe kompletní kurz, kde tě provedu krok za krokem celou bezpečností:

  • Silné heslo a master heslo pro Bitwarden
  • Bitwarden — instalace, první hesla, mobilní aplikace
  • 2FA na Google, Facebook, bance
  • Bezpečné používání AI (ChatGPT, Everbot, Claude)
  • Phishing — tento článek, ale s live demem
  • Nouzové postupy — co dělat, když přijde průšvih

👉 Mini-kurz Bezpečnost & digitální klid — 5 lekcí, každá 10 minut. Pro úplné začátečnice.

A pokud chceš jen rychlou shrnutí na 1 víkend, stáhni si zdarma ebook:

👉 Bezpečnost & digitální klid — víkendový průvodce (PDF zdarma)

Závěrem

Phishing v roce 2026 je sofistikovanější, ale není neporazitelný. Stačí znát 5 znaků a držet jednoho jednoduchého pravidla: když si nejsem 100% jistá, neklikat. Vždycky se dá ověřit jinou cestou — zavolat, otevřít oficiální web ručně, zeptat se důvěryhodného člověka.

A pokud někoho v rodině trápí, že „dostal podivný e-mail” — pošli mu tento článek. Naučit babičku rozpoznat phishing může být nejlevnější dárek k Vánocům, který kdy dáš.

Pokud máš otázku, napiš mi přímo na marcela@fotoatelier-brno.cz. Čtu si všechno sama.

— Marcela Kramářová · BabičkaHackuje · Brno