Falešná Česká pošta a Balíkovna — smishing 2024-2025

Falešná SMS o nedoručeném balíku je nejrozšířenější smishing v ČR — odhadem 5 až 10 milionů takových SMS bylo rozesláno v roce 2024. Útočník napodobí Českou poštu, Zásilkovnu, Balíkovnu, PPL nebo DPD a posílá SMS s textem typu Vaše zásilka nemůže být doručena, doplaťte 29 Kč na ceska-posta-doplatek.cz. Po kliknutí oběť zadá údaje karty na falešný klon stránky, který vypadá identicky s pravým webem. Karta se okamžitě začne zatěžovat opakovanými platbami nebo je prodána na temném webu.

Klíčová čísla a statistiky

• Odhad rozeslaných SMS 2024: 5 až 10 milionů v ČR.
• Odhad obětí (zadání údajů): ~50 000 lidí ročně.
• Průměrná škoda: 300 až 3 000 Kč (skryté opakované platby).
• Top falešné domény 2024: ceska-posta-cz.online, balik24-cz.com.
• Operátoři zablokovali 2024: odhadem 4 až 5 milionů smishing SMS.

Modus operandi

Krok 1: Útočník nakoupí seznam telefonních čísel (z předchozích datových úniků). Krok 2: Pošle hromadnou SMS přes SMS gateway nebo chytře nastavený VoIP. SMS se zobrazí jako od krátkého kódu, e-mailové adresy nebo neznámého čísla. Krok 3: Text obsahuje URL na falešný klon (často s Punycode tricky — ćeskaposta.cz s diakritikou, vypadá jako českaposta.cz). Krok 4: Oběť klikne, falešný web vyžaduje doplatek 29 Kč přes platební kartu. Krok 5: Karta uložena, útočník provede další transakce — nebo prodá data na temném webu.

Typické varianty 2024-2025

1) Česká pošta — nedoručená zásilka — nejčastější, klon ceskaposta.cz. 2) Zásilkovna — vyzvedněte balík — klon zasilkovna.cz. 3) Balíkovna — doplatek za rozměr — využívá novou službu Allwyn. 4) PPL — chyba doručení — méně časté, ale ostře cílí na e-shop nakupující. 5) DPD — celní poplatek — pro mezinárodní balíky. Všechny varianty mají stejný cíl: vylákat údaje karty přes platbu malé částky.

Jak rozeznat falešnou SMS

Doména: Falešný web má URL jako ceska-posta-cz.online, ceska-posta-doplatek.com, balik24.eu. Pravá Česká pošta je vždy jen ceskaposta.cz (bez pomlček, bez prefixů). Doplatek po SMS: Pravá Česká pošta nikdy nevyžaduje doplatky přes SMS odkaz. Dobírka se platí na pobočce při převzetí, ne online. Časový tlak: do 24 hodin — manipulace. Gramatika: Často Čekáme na váše rozhodnutí nebo divné formátování — pravá pošta je gramaticky správná.

Co dělat při kliknutí a zadání údajů

1) Okamžitě zablokujte kartu — mobilní aplikace banky → blokovat kartu (1 kliknutí, zdarma). 2) Změňte heslo do bankovnictví. 3) Zkontrolujte historii operací — pokud útočník už strhával peníze, banku informujte přes 24h linku. 4) Reklamujte u banky — při včasném hlášení (do 24 hodin) vyšší šance na refundaci. 5) Nahlaste doménu NÚKIB — pomáhá při blokaci. 6) Přepošlete SMS na 7726 — operátoři mohou zablokovat zdroj.

Konkrétní případy v SR

Aktualizováno: 2026-05-01