Vishing — tedy hlasový phishing — zaznamenal mezi lety 2021 a 2023 nárůst o více než 550 % podle zprávy společnosti Agari. To není číslo ze vzduchoprázdna. Zní to absurdně, ale telefonní podvody dnes generují vyšší míru úspěšnosti než klasické phishingové e-maily. Proč? Protože lidé e-mailům nevěří — ale hlasu na druhé straně pořád ano.
Útočník zavolá, představí se jako pracovník banky nebo operátora. Zní sebejistě. Má vaše jméno, dejme tomu i část čísla vaší karty. Vy nejste připraveni na to, že tohle může být podvod. Reagujete instinktivně. To je přesně ta mezera, kterou podvodníci využívají.
Moderní call centra organizovaného zločinu fungují jako normální korporace — mají směny, školicí materiály, výkonnostní bonusy. Jeden operátor v Bulharsku nebo na Filipínách může za den obvolat stovky čísel z celé Evropy. Cílení je čím dál přesnější, protože data o obětech se kupují z uniklých databází.
Jak čísla unikají a jak se to děje bez vašeho vědomí
Každý, kdo si někdy vyplnil formulář, zadal číslo do slevového systému nebo se registroval do věrnostního programu, mohl nevědomky poskytnout data. Úniky z databází jsou běžné. Problém není ani tak samotný únik — to se stane. Problém je, že data se neprodávají jenom jednou. Putují dál, obohacují se o další záznamy, slučují se s jinými soubory a vznikají detailní profily konkrétních osob.
Výsledek? Volající ví o vás více, než očekáváte. Spoof technologie navíc umožňuje zobrazit libovolné číslo — včetně čísel vaší banky nebo záchranné služby. To je zásadní bod, který většina lidí podceňuje. Vidíte na displeji číslo, které znáte. Zvedáte. A jste v pasti.
Zkontrolovat proto nestačí jen to, jestli číslo neznáte. Nestačí ani to.
Co dělat, když vám zavolá číslo, které neznáte
Nejrychlejší první krok je prohledání čísla v databázi ověřených hlášení. Komunity uživatelů jsou v tomhle překvapivě přesné — pokud někdo provozuje telemarketing nebo podvod, zanechá za sebou stopy v komentářích jiných, kteří číslo dostali dříve.
Slovenský portál klikni zde funguje přesně na tomhle principu — uživatelé reportují čísla, označují je jako podvod, telemarketing nebo bezpečný kontakt, a každé hlášení přidává informaci, která pomáhá dalším. To není geniální vynález, ale funguje to. Podobné systémy kolektivní intelligence jsou jedním z mála nástrojů, které skutečně škálují proti organizovanému spammingu.
Nezvedejte číslo, pokud jste ho právě hledali a výsledky jsou negativní nebo prázdné. Operátoři podvodných center vás zpravidla opakovaně volají z různých čísel — pokud číslo nenajdete nikde, neznamená to, že je bezpečné.
Co říci, když to přesto zvednete
Říkejte co nejméně. Nepotvrzujte ani jméno, ani město, ani to, jestli jste zákazník konkrétní banky. Pokud vám nabídnou „ověření“ přes SMS kód, okamžitě zavěste — to je klasická metoda převzetí účtu. Legitimní instituce nikdy nevyžadují od vás potvrzení přes kód, který vám přišel. Ten kód jste iniciovali vy, nebo ho inicioval útočník, který vaše přihlašovací údaje už má.
Encyklopedie podvodů — proč by měla existovat a co v ní hledat
Většina lidí se o konkrétním podvodu dozví až poté, co se stali obětí. To je pozdě. Systematicky zdokumentované typy podvodů, terminologie a vzorce chování podvodníků jsou cennější než jakýkoliv antivirus — protože cílem útoku je člověk, ne zařízení.
Například „one ring scam“ funguje tak, že číslo zazvoní jednou a zavěsí. Vy zavoláte zpět. Jste automaticky přesměrováni na prémiové číslo s vysokou minutovou sazbou. Na účtu to poznáte až za měsíc. Tento typ útoku cílí na Česko a Slovensko z čísel s prefixem +373 (Moldávie), +355 (Albánie) nebo +216 (Tunisko) — čísla, která na první pohled nevypadají podezřele.
Nebo „wangiri“ — japonský výraz pro „zavolat a zavěsit“ — je variace téhož principu, ale sofistikovaněji automatizovaná. Systém za den odvolá tisíce čísel a čeká, kdo zavolá zpět. Návratnost tohoto typu útoku je překvapivě vysoká, zejména u starší populace.
Pojmový slovník a proč ho potřebujete dřív než budete potřebovat
Vědět, co je spoofing, vishing nebo SIM swapping, nestačí jako trivia. Pokud tyto pojmy znáte a chápete jejich mechanismus, reagujete jinak — a rychleji. Slovník pojmů je v tomto ohledu stejně praktický jako technická dokumentace. Čtete ho preventivně, ne po škodě.
Proč komunitní databáze čísel překonávají firemní řešení
Operátoři a antivirové společnosti nabízejí spam filtry. Fungují — ale se zpožděním. Číslo musí být nahlášeno, zpracováno, přidáno do databáze a aktualizace musí být distribuována do vašeho zařízení. To trvá dny, někdy týdny. Podvodníci čísla mění rychleji.
Komunitní systém hlášení je v principu rychlejší. Jeden člověk číslo nahlásí ve čtvrtek ráno. Ve čtvrtek odpoledne to vidí každý, kdo číslo hledá. To je fundamentální výhoda. Přidávám vlastní zkušenost: u klienta, jehož zaměstnanci dostali sérii podezřelých volání z +421 čísel v lednu 2024, pomohla komunitní databáze identifikovat vzor za méně než hodinu — zatímco operátorova filtrace na to potřebovala čtyři dny.
Žádné řešení není dokonalé. Komunitní databáze závisí na tom, kolik lidí přispívá. V menších zemích nebo pro méně frekventovaná čísla může být databáze prázdná. Ale i prázdný výsledek je informace — číslo zatím nikdo nenahlásil, volání je tedy buď legitimní, nebo čerstvě spuštěný útok.
Spoofing, prémiová čísla a co s tím dělají regulátoři
Regulace spoofingu v EU postupuje pomalu. Technicky je možné spoofovat číslo dnes večer a zítra ho smazat z jakéhokoliv logu. Přičítání odpovědnosti konkrétní osobě nebo organizaci je extrémně obtížné — zejména přes mezinárodní hovory. BEREC (sdružení evropských regulátorů elektronických komunikací) vydal v roce 2023 doporučení pro implementaci STIR/SHAKEN protokolu, který by ověřování čísla dělal na úrovni sítě. Ale implementace je v Česku a na Slovensku teprve na začátku.
Prémiová čísla reguluje ČTÚ. Pokud vám přijde podezřelý poplatek za hovor, máte právo na reklamaci. To nestačí jako prevence — ale je dobré to vědět. Reklamace u operátora podaná do 30 dnů má reálnou šanci na vrácení poplatku, pokud doložíte, že šlo o podvodné přesměrování.
Právní rámec je spíš záchranná síť než štít. Funguje až po pádu. Lepší je pád vůbec nezažít.
Praktické nastavení telefonu, které reálně pomáhá
Několik konkrétních kroků, které stojí za nastavení dnes:
- Zapněte filtrování neznámých volajících v nativním nastavení iOS nebo Android — ve výchozím stavu tato funkce není vždy aktivní a nevyhodnocuje zahraniční čísla konsistentně
- Nainstalujte aplikaci, která pracuje s aktualizovanou databází čísel — Hiya nebo Truecaller fungují, ale sbírají kontakty; zvažte kompromis mezi soukromím a ochranou
- Nikdy nezadávejte číslo do formulářů, kde to není nezbytně nutné — i „slevové“ weby mají obchodní model postavený na prodeji dat
- Zablokujte mezinárodní hovory na prémiová čísla přímo u operátora — je to zdarma a trvá to minutu
Tohle není stoprocentní ochrana. Nic není. Ale výrazně zužuje plochu útoku.
Nejlepší obrana zůstává kombinace: ověřit číslo před přijetím, znát základní schémata podvodů a nastavit telefon tak, aby filtroval část provozu automaticky. Pokud neznáte číslo a systém kolektivního hlášení u něj nenašel žádný záznam, nezvedejte — a pokud přesto zvednete, neříkejte nic, co by bylo hodnotné jako vstupní data pro útočníka.
