Voicemail phishing zabírá stále více obětí, i ty opatrné

Co je vlastně voicemail phishing a proč funguje

Jde o kombinaci dvou věcí: falešného oznámení o hlasové zprávě a podvodného odkazu nebo čísla, kam máš zavolat zpět. Útočník nespoléhá na to, že jsi naivní. Spoléhá na to, že jsi zaneprázdněný. Zpráva přijde v pravý čas — třeba ráno, kdy rychle projíždíš notifikace — a mozek ji zpracuje jako rutinní úkon.

Psychologicky to funguje na principu urgence a autority. SMS nebo e-mail tvrdí, že zpráva pochází od banky, úřadu nebo operátora. Odkaz vede na falešnou přihlašovací stránku, která vypadá 1:1 jako originál. Útočník pak sbírá přihlašovací údaje, číslo karty nebo přístup do firemního systému.

Někdy neexistuje žádná stránka. Stačí jen číslo „pro přehrání zprávy“. Zavoláš, robot tě drží na lince, mezitím probíhá podvodná transakce nebo jsou z tebe vytaženy citlivé informace přes série automatizovaných otázek.

Vishing vs. voicemail phishing — v čem je rozdíl

Vishing je útok přes živý telefonní hovor — někdo ti zavolá a hraje roli zákaznické podpory nebo policisty. Voicemail phishing je krok předtím nebo vedle toho. Útočník ani nemusí mluvit. Pošle automatizovanou zprávu, odkaz nebo instrukci, aby ses ozval ty. Tím přesouvá iniciatívu na tebe — a to je ten klíčový rozdíl. Oběť jedná dobrovolně, na vlastní podnět, a proto pozornost klesá.

Jak takový útok vypadá v praxi krok za krokem

Konkrétní scénář, který se v roce 2023 masově šířil v Česku i na Slovensku, fungoval takto. Oběť dostala SMS od čísla s místní předvolbou. Text zněl přibližně: „Dobrý den, zmeškali jste hovor od naší banky. Zprávu si přehrajte zde: [odkaz].“ Odkaz vedl na doménu podobnou skutečné bance — třeba místo „csob.cz“ to bylo „csob-secure.cz“.

Po kliknutí se otevřela přihlašovací stránka. Vizuálně identická. Po zadání údajů přišla druhá stránka — výzva k zadání SMS kódu, který „banka potřebuje pro ověření“. Útočník v tu chvíli reálně inicioval transakci na skutečném webu banky a kód sloužil jako druhý faktor pro potvrzení platby.

Celé to trvalo dvě minuty. Ztráta: v průměru 15 000 až 40 000 Kč podle reportů z té doby.

Firemní varianta je ještě zákeřnější

Ve firemním prostředí útočníci cílí na zaměstnance, kteří mají přístup do systémů. Pošlou e-mail s předmětem „Zmeškaná hlasová zpráva od ředitele“ a v příloze je buď .html soubor (falešná přihlašovací stránka) nebo odkaz na Microsoft 365 phishing. To vidím za poslední rok čím dál víc — ne každá firma má správně nakonfigurovaný e-mailový filtr a tahle zpráva filtr projde, protože neobsahuje žádné spustitelné skripty.

Jak voicemail phishing poznat dřív, než klikneš

Pár věcí, na které se dívám já, a fungují spolehlivě:

  • URL adresa v SMS nebo e-mailu — zkontroluj ji celou, ne jen začátek. Podvodníci přidávají slova jako „-secure“, „-info“, „-portal“ za skutečné jméno domény.
  • Zpráva tě nutí jednat rychle — „zpráva expiruje za 24 hodin“, „váš účet bude zablokován“. Legitímní hlasová schránka tohle nedělá.
  • Číslo, které ti „zavolalo“, není v kontaktech a na internetu ho nejde dohledat jako firemní linku.
  • E-mail přišel z adresy, která se liší od domény odesílatele — třeba „support@csob-helpdesk.net“ místo „@csob.cz“.
  • Odkaz žádá přihlášení na platformu, kam se normálně nepřihlašuješ přes hlasovou schránku (Microsoft 365, Google, banka).

Číslo si vždy ověř. To je nejrychlejší test.

Kde se dozvědět víc o konkrétním čísle nebo technice

Pokud dostaneš podezřelý hovor nebo SMS a chceš vědět, jestli to číslo hlásili i jiní, existují na to specializované portály. Slovenský portál Voicemail phishing — součást webu infocislo.sk — má k tomuto tématu vlastní encyklopedický záznam ve slovníku podvodů a kybernetické bezpečnosti. Uživatelé tam sdílejí hodnocení čísel, takže snadno zjistíš, jestli tě kontaktoval telemarketing, podvod nebo naopak legitimní firma. To je přesně ten typ ověření, který by měl být prvním krokem před jakoukoliv reakcí na zmeškaný hovor od neznámého čísla.

Co dělat, pokud ses nechal napálit

Nejrychleji. Okamžitě změn heslo k zasažené službě — ještě z jiného zařízení, ne z toho, přes které ses přihlašoval. Pak kontaktuj banku nebo poskytovatele služby a řekni jim, co se stalo. Čím dřív, tím větší šance na zastavení transakce.

Dál: podej oznámení na policii. V Česku to jde přes formulář na webu Policie ČR, na Slovensku přes polícia.sk. Vím, že to většina lidí nedělá, protože si myslí, že z toho nic nebude. Jenže bez těchto hlášení nemají orgány data o rozsahu problému a útoky zůstávají bez pozornosti. Každé hlášení má smysl.

Zkontroluj, jestli nebylo kompromitováno více účtů. Pokud jsi používal stejné heslo na více místech — a přiznejme si, většina lidí to dělá — prober je jedno po druhém. Správce hesel je tady praktická pomůcka, ne luxus.

Proč si hráči a tech komunita myslí, že je to netýká

Tohle je vlastně největší problém. Gamer si řekne: „Já na tohle neskočím, já jsem technicky zdatný.“ Ale voicemail phishing nehraje na technické znalosti. Hraje na únavu, spěch a kontext. Útok přijde v momentě, kdy ho nečekáš — ráno před prací, mezi dvěma raundami, po nočním sezení.

Herní účty jsou navíc lákavý cíl. Steam, Battle.net, Epic Games — účty s desítkami her a připojenou platební metodou mají reálnou hodnotu na černém trhu. Útok přes „hlasovou zprávu od Steamu“ je přitom triviálně jednoduchý na sestavení. A ano, tohle se reálně děje — stačí projít vlákna na r/Steam nebo českých herních discordech.

Technická zdatnost chrání před složitými exploity. Sociální inženýrství obchází techniku úplně a míří přímo na člověka. To je jiná liga.

Pokud neznámé číslo zavolá znova, nezvedej. Najdi ho online, ověř, pak se rozhoduj. A pokud přijde zpráva o hlasové schránce od čísla, které neznáš — otevři prohlížeč a URL zadej ručně, nikdy neklikej na odkaz v SMS. Tohle pravidlo tě v 99 % případů ochrání.