Hrozby

12 příkladů phishingových e-mailů z Česka: poznáte podvod? (s vysvětlením)

Tyto phishing příklady rekonstruují doložené reálné kampaně, které u nás kolovaly – balíkové podvody, napodobeniny bank, lákání na přihlášení do Microsoft 365, podvod s falešným šéfem i útoky napsané umělou inteligencí. U každého ukazujeme red flags, které má zaměstnanec poznat. Phishing podle posledního přehledu hrozeb ENISA stojí zhruba za 60 % analyzovaných průniků, takže naučit lidi tyto vzorce rozpoznat je nejlevnější bezpečnostní opatření, jaké můžete nasadit.

Marek Mlynček · Etický hacker, OSCP11 min čtení

Jak poznat phishingový e-mail: metoda komentovaných příkladů

Abstraktní poučky v hlavě neutkví, vzorce ano. Každý příklad níže rekonstruuje návnadu, kterou popsala veřejná výstraha CSIRT, varování policie, bezpečnostní stránka napodobované značky nebo výzkum dodavatele – ukazujeme zobrazené jméno odesílatele, předmět, smysl těla zprávy a hlavně to, oč útočník žádá. Pak doplníme komentář s red flags. Čtěte je tak, jak je píše útočník, a další variantu poznáte na první pohled. Stručnou verzi najdete v našem kontrolním seznamu varovných signálů pro zaměstnance.

Kategorie návnadyO co útočník žádáDoloženo
Balíkové a poštovní podvodyDrobný „doplatek“ nebo „clo“ kartouStránky Česká pošta, Zásilkovna, DHL, DPD
Napodobeniny bank a plateb„Ověřte si účet“ přes klonované přihlášeníBezpečnostní stránky bank, varování NÚKIB
Návnady Microsoft 365 / GooglePracovní přihlašovací údaje a kódy MFACheck Point Research, hlášení Microsoftu
Interní BEC e-mailyUrgentní platby, změna mzdy a bankovních údajůFBI IC3, kauza SOR Libchavy
Phishing s pomocí AICokoli z výše uvedeného – jen bez překlepůENISA Threat Landscape 2025

Balíkové a poštovní podvody: nejčastější návnada

Balíkové návnady vedou v objemu, protože na nějakou zásilku čeká skoro každý. Záminka je záměrně malá a nudná: poplatek pár desítek korun působí příliš banálně na to, aby šlo o podvod – a přesně v tom je trik. Poplatek je jen záminka; cílem jsou kompletní údaje z vaší platební karty.

1. Zadržená zásilka kvůli „clu“ (DHL)

Zobrazené jméno „DHL Express“, adresa odesílatele na zaměnitelné doméně. Předmět: „Vaše zásilka byla pozastavena“. Tělo tvrdí, že balík uvízl na celnici, a žádá o úhradu „cla“ ve výši 49–99 Kč přes falešnou sledovací stránku, která sebere kompletní údaje z karty. Stránka DHL o ochraně před podvody varuje přesně před touto návnadou a uvádí pravé odesílací domény dhl.com.

  • Doména odesílatele není dhl.com ani uvedená subdoména DHL
  • Žádné sledovací číslo odpovídající objednávce, kterou jste skutečně zadali
  • Kompletní formulář na kartu kvůli poplatku pod 100 Kč – cílem jsou data, ne ten poplatek

2. Poplatek za opakované doručení (DPD)

Zobrazené jméno „DPD“, předmět „Nezastihli jsme vás – naplánujte opakované doručení“. E-mail tvrdí, že doručení selhalo, a odkazuje na stránku, která naúčtuje malý „poplatek za opakované doručení“ a sebere údaje z karty. Lokální weby DPD opakovaně varují, že firma nikdy nežádá příjemce o úhradu dalších poplatků za standardní služby e-mailem ani SMS.

  • Přepravci nevybírají poplatky za opakované doručení přes odkaz v e-mailu
  • Tlak odpočtem: „zásilka se vrátí odesílateli do 48 hodin“
  • Cíl odkazu není oficiální doména dpd.cz

3. Sběr karet jménem národní pošty (Česká pošta, Zásilkovna)

Zobrazené jméno „Česká pošta“, zpráva: čeká na vás balík, klikněte a doplaťte 99 Kč za doručení. Česká pošta na své stránce o podvodných zprávách zveřejňuje galerii falešných e-mailů a SMS rozesílaných jejím jménem a upozorňuje, že v komunikaci o doručení používá jen domény ceskaposta.cz a cpost.cz. Stejnou taktiku podvodné e-maily zneužívají i u Zásilkovny, která vede vlastní přehled phishingových zpráv – pravé e-maily chodí z @zasilkovna.cz nebo @packeta.com. Falešné stránky kromě údajů z karty často žádají i potvrzovací SMS kód, kterým útočník vloží oběti kartu do Apple Pay nebo Google Pay.

  • Poštovní poplatky se platí při doručení nebo vyzvednutí, nikdy přes formulář na kartu v e-mailu
  • Žádost o SMS kód – tím kódem se vaše karta registruje do mobilní peněženky
  • Zaměnitelná doména místo ceskaposta.cz, cpost.cz nebo zasilkovna.cz

Bezplatná phishingová kampaň

Otestujte zaměstnance jednou bezplatnou phishingovou kampaní a podívejte se na výsledky na vlastní oči.

Spusťte cílený pilot, změřte kliknutí a nahlášení a před nasazením si projděte výsledky školení.

Bez platební karty.

Požádat o přístup

Napodobeniny bank a platebních služeb

Útočníci se vydávají za banky proto, že výnos je přímý: přihlašovací údaje do internetového bankovnictví plus SMS kód se rovnají penězům. České banky publikují prakticky totožná varování a všechna opakují jedno pravidlo – banka vás nikdy nevyzve, abyste se přihlásili přes odkaz v e-mailu.

4. Ověření „zablokovaného“ účtu (ČSOB, Česká spořitelna)

Zobrazené jméno ukazuje skutečný název vaší banky; skutečná adresa ale sedí na nesouvisející doméně. Předmět ve stylu „Neobvyklá aktivita – váš účet byl omezen“ nebo „Zaznamenali jsme přihlášení z neznámého zařízení“. Tělo se odvolává na rutinní bezpečnostní kontrolu a tlačí vás „ověřit totožnost“ na klonovaném přihlášení do internetového bankovnictví, které sebere přihlašovací údaje, data z karty i následné potvrzovací kódy. Lupa.cz i samotné banky takovou vlnu zneužívající jméno ČSOB opakovaně popsaly.

  • Odkaz na přihlášení v e-mailu – banky soustavně varují, že takové zprávy neposílají
  • Obecné „Vážený kliente“ místo jména a části čísla účtu
  • Pohrůžka pozastavením do několika hodin, která má vyřadit zdravý rozum

5. Návnada na daňový přeplatek

Zobrazené jméno „Finanční správa“, předmět „Máte nárok na vrácení přeplatku 4 287 Kč“. Finanční správa v roce 2025 opakovaně varovala před vlnami podvodných e-mailů zneužívajících její identitu: slibovaný přeplatek vede na formulář, který sbírá osobní údaje a údaje z karty, na niž se peníze údajně „pošlou“. Stejný vzorec se vrací v období daňových přiznání. Oficiální e-maily úřadu chodí jen z domény fs.gov.cz a přeplatky se vyplácejí automaticky na základě podaného přiznání, nikdy ne přes odkaz.

  • Finanční správa neposílá přeplatky na čísla karet zadaná přes e-mail
  • Podezřele konkrétní částka vyrobená tak, aby působila oficiálně
  • Lhůta na uplatnění v řádu dnů, která má vynutit rychlé kliknutí

Návnady na přihlášení do Microsoft 365 a Google Workspace

Microsoft byl v každém čtvrtletí roku 2025 nejnapodobovanější značkou v žebříčku Check Point Research, Google mu byl těsně v patách. Důvod je prostý: jedna sada ukradených pracovních přihlašovacích údajů otevře e-mail, soubory i vše, co je propojeno přes jednotné přihlášení. Tyto tři návnady dominují tomu, co padá do firemních schránek.

6. Oznámení o vypršení hesla

Odesílatel „IT podpora“ nebo „Tým Microsoft 365“ – ovšem mimo váš tenant. Předmět: „Vaše heslo dnes vyprší“. Pohodlné tlačítko „Ponechat stávající heslo“ vede na pixelově věrnou přihlašovací stránku Microsoftu, čím dál častěji na proxy typu adversary-in-the-middle, která ukradne i relační token MFA. Tuto techniku rozebíráme v průvodci moderními phishingovými technikami.

  • Skutečné IT nikdy nenabízí, že si „ponecháte“ vypršené heslo
  • Interně znějící oznámení přichází z externí domény
  • URL přihlašovací stránky není login.microsoftonline.com ani accounts.google.com

7. Zadržené zprávy a hlasová schránka

Předmět: „Máte (3) zadržené zprávy“ nebo upozornění na hlasovou zprávu s přílohou ve formátu HTML. Otevření přílohy vykreslí lokální kopii přihlašovacího formuláře Microsoftu – není tu žádná podezřelá URL, na kterou byste najeli myší, a údaje letí rovnou útočníkovi. Bezpečnostní výzkumníci dokumentují opakované vlny této kampaně od roku 2022.

  • Přílohy .htm nebo .html u „oznamovacího“ e-mailu
  • Přihlášení vyžadované k „uvolnění“ zadržených zpráv
  • Upozornění typu hlasová schránka do e-mailu, jaká vaše firma vůbec nepoužívá

8. Oznámení o sdíleném dokumentu

Věrohodně vypadající upozornění SharePointu nebo Google Disku: „Lucie s vámi sdílela soubor ‚Platby Q3.xlsx‘“. Sdílení může být i skutečné – hostovaný soubor pak odkazuje dál na stránku sbírající přihlašovací údaje. Prozradí to požadavek „přihlaste se znovu“ k zobrazení dokumentu ve chvíli, kdy už přihlášeni jste.

  • Nečekané sdílení od někoho, s kým jste nikdy nespolupracovali
  • Druhá výzva k přihlášení uprostřed již ověřené relace
  • Navazující odkaz opouští doménu microsoft.com nebo google.com

Interně vypadající e-maily: falešné HR, IT podpora a žádosti od šéfa

Tady se nenapodobuje žádná značka – napodobují se vaši vlastní kolegové. Americké centrum FBI IC3 zaznamenalo jen za rok 2024 ztráty z kompromitace firemních e-mailů (BEC) ve výši téměř 2,8 miliardy dolarů. V Česku je učebnicovou ukázkou kauza výrobce autobusů SOR Libchavy, který takto v roce 2023 přišel o zhruba 50 milionů korun. Tyto zprávy bývají krátké, čistě textové a často neobsahují žádný odkaz ani přílohu, proto je e-mailové filtry běžně pustí dál. Celý řetězec útoku rozebírá náš průvodce spear phishingem a BEC.

9. Šéfova „rychlá prosba“

Zobrazené jméno: skutečné jméno vašeho ředitele. Skutečná adresa: freemailový účet nebo doména lišící se o jediné písmeno. Předmět: „Rychlá prosba“. Dvě věty: jste u počítače, potřebuji urgentně zpracovat platbu, jdu na jednání – nechme to jen mezi námi. Varianty s nákupem dárkových karet i s bankovním převodem tvoří velkou část ztrát z BEC, jak ukazuje právě kauza SOR Libchavy.

  • Zobrazené jméno neodpovídá skutečné adrese pod ním
  • Naléhavost plus tajnost – charakteristická kombinace BEC
  • Žádost obchází váš běžný schvalovací proces plateb

10. Aktualizace mzdy od HR

Zobrazené jméno „Personální oddělení“, předmět „Aktualizovaná výplatní páska – vyžaduje akci“. Odkaz vede na falešný personální portál nebo přihlášení do Microsoftu; se získanými údaji útočníci změní zaměstnanci číslo účtu pro výplatu, takže příští mzda skončí na účtu nastrčené osoby – tento vzorec přesměrování mezd FBI zaměstnavatelům výslovně připomíná.

  • Oznámení od HR přichází z externí nebo zaměnitelné domény
  • Přihlašovací zeď před „výplatní páskou“, o kterou jste nežádali
  • Změna procesu, kterou interně nikdo neohlásil

11. Migrace od IT helpdesku

Odesílatel „IT helpdesk“, předmět „Dnes v noci migrace schránky – ověřte účet, jinak ztratíte přístup“. Častým pokračováním je telefonát, v němž „technik“ žádá zaměstnance, aby nadiktoval kód MFA nebo schválil push notifikaci, čímž se e-mailový phishing kombinuje s vishingem a únavou z MFA.

  • Lhůta téhož dne navázaná na ztrátu přístupu
  • Kdokoli vás žádá o sdělení nebo schválení kódu MFA – legitimní IT to nikdy nepotřebuje
  • Adresa pro odpověď (reply-to) se liší od viditelného odesílatele

Proč je phishing generovaný umělou inteligencí těžší odhalit?

Roky se v rámci školení zaměstnancům říkalo, ať hledají překlepy a kostrbaté formulace. Tahle poučka je mrtvá. Přehled hrozeb ENISA Threat Landscape 2025 uvádí, že phishing s podporou AI tvořil začátkem roku 2025 přes 80 % pozorovaného sociálního inženýrství na světě. Jazykové modely vyprodukují bezchybnou češtinu – včetně správné diakritiky – a každou zprávu zdarma personalizují podle LinkedInu a webu firmy. NÚKIB v roce 2025 evidoval přes 70 000 phishingových incidentů, meziročně o 35 % více, a kvalitnější návnady psané AI jsou jedním z důvodů.

12. Žádost „finančního ředitele“ podpořená deepfakem

V případu potvrzeném hongkongskou policií v roce 2024 dostal zaměstnanec financí inženýrské firmy Arup e-mail od „finančního ředitele“ o důvěrné transakci. Tušil phishing – dokud ho videohovor s deepfakovými kopiemi ředitele a několika kolegů nepřesvědčil, aby v 15 převodech odeslal 200 milionů hongkongských dolarů (asi 25,6 milionu USD). Všimněte si, co selhalo: ověřoval si to, ale na kanálu, který ovládali útočníci.

  • „Důvěrná“ transakce, kterou e-mail tlačí do pohybu
  • Ověření nabídnuté na kanálu, který si zřídil sám žadatel
  • Více převodů na zbrusu nové účty příjemců

Co AI zfalšovat nedokáže, je váš proces. Infrastruktura odesílatele, povaha žádosti i vyrobený tlak zůstávají napříč všemi výše uvedenými příklady stejné – proto lidi učte ověřovat žádosti nezávislým, předem domluveným kanálem, ne posuzovat kvalitu slohu.

Které phishing email red flags se opakují v každém příkladu?

Když odstraníte branding, ve všech dvanácti rekonstrukcích se objevují stejné varovné signály (phishing email red flags). Tohle je kontrolní seznam, který stojí za vytisknutí:

  1. Skutečná doména odesílatele neodpovídá značce – zobrazené jméno lze libovolně podvrhnout.
  2. Naléhavost nebo pohrůžka: účet uzavřen, balík vrácen, přístup ztracen „ještě dnes“.
  3. Žádá se o přihlašovací údaje, data z karty nebo kód MFA, a to přes odkaz.
  4. Skutečný cíl odkazu (najetí myší nebo dlouhé podržení) se liší od viditelného textu.
  5. Vyžaduje se drobná platba na „uvolnění“ něčeho, co jste si nikdy neobjednali.
  6. Obecné oslovení a chybějící konkrétnost: žádné jméno, číslo objednávky ani účtu.
  7. Tlak obejít běžný proces nebo zachovat žádost v tajnosti.
  8. Nečekané typy příloh (.htm, .html, .zip, .iso) nebo QR kódy nahrazující odkazy.
  9. Adresa pro odpověď (reply-to) se liší od viditelného odesílatele.
  10. Bezchybný jazyk nedokazuje nic – ověřujte žádost, ne gramatiku.

Jak phishing příklady využít při školení zaměstnanců

Čtení příkladů buduje rozpoznání; otestování buduje reflexy. Vyberte tři až čtyři kategorie nejrelevantnější pro vaši organizaci – balíkové návnady pro všechny, BEC pro finance, návnady na helpdesk pro celou kancelář – a proměňte je v simulované kampaně doručené do reálných schránek. Náš návod na phishingovou simulaci provede vymezením rozsahu, souhlasem, harmonogramem i metrikami; sledujte míru nahlášení, nejen míru prokliku. Hodit se může i phishingový test zaměstnanců jako výchozí měření a phishingové statistiky z Česka pro srovnání s trhem.

Dokumentované školení a doložená účinnost dnes nejsou jen dobrá praxe – jsou to povinnosti. Nový zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb., účinný od 1. 11. 2025) a vyhláška č. 409/2025 Sb. (vyšší režim) vyžadují plán rozvoje bezpečnostního povědomí včetně praktického školení podle přílohy č. 6, vedení záznamů o školeních a vyhodnocování jejich účinnosti; vyhláška č. 410/2025 Sb. (nižší režim) žádá pravidla bezpečného chování uživatelů a školení včetně vrcholového vedení. Metriky z phishingových simulací jsou de facto důkazem účinnosti i pro audity podle normy ISO 27001 a školení dle NIS2.

Pokud nechcete šablony stavět sami, PhishGun – vyvinutý týmem ofenzivní bezpečnosti z Haxoris – dodává lokalizované šablony v češtině, slovenštině i angličtině podle stejných doložených kategorií návnad, doručí mikroškolení ve chvíli, kdy někdo klikne, a vytvoří auditovatelné reporty použitelné jako důkaz o školení bezpečnostního povědomí pro nZKB, ISO 27001 i DORA. Vaše první phishingová kampaň je zdarma, bez platební karty, a ceník je transparentní za zaměstnance.

Časté otázky

Jaké jsou nejčastější příklady phishingových e-mailů?

Největší objem mají balíkové podvody s „doplatkem“ napodobující přepravce jako Česká pošta, Zásilkovna, DHL či DPD, dále zprávy o „ověření účtu“ jménem banky, návnady na heslo nebo sdílený dokument v Microsoft 365 a Google a interně vypadající žádosti od falešného ředitele, HR nebo IT helpdesku. Všechny mají stejnou logiku: důvěryhodný odesílatel, věrohodná záminka a žádost o přihlašovací údaje, data z karty nebo platbu.

Jak může zaměstnanec rychle poznat phishingový e-mail?

Zkontrolujte nejdřív tři věci: odpovídá skutečná doména odesílatele dané značce, kam odkaz reálně vede (najeďte myší, neklikejte) a oč e-mail žádá? Žádosti o hesla, čísla karet, kódy MFA nebo urgentní platby jsou varovné signály bez ohledu na to, jak vybroušeně zpráva vypadá. Když si nejste jisti, ověřte to v oficiální aplikaci nebo na telefonním čísle, které už máte uložené.

Jsou phishingové e-maily generované AI těžší na odhalení?

Ano. Přehled hrozeb ENISA Threat Landscape 2025 uvádí, že phishing s podporou AI tvořil začátkem roku 2025 přes 80 % pozorovaného sociálního inženýrství. AI odstraňuje klasické prozrazení – překlepy, kostrbaté formulace, chybnou diakritiku – a přidává hlasové i obrazové deepfaky. Školení by se proto mělo soustředit na ověřování žádostí druhým, nezávislým kanálem, ne na lov gramatických chyb.

Můžeme reálné phishingové e-maily použít k bezpečnostnímu školení?

Ano a měli byste – ale použijte rekonstrukce nebo začištěné snímky obrazovky, nikdy nepřeposílejte živou škodlivou poštu. Ještě lepší je proměnit doložené vzorce návnad v simulované phishingové kampaně, aby je zaměstnanci potkali ve své skutečné schránce. Každou simulaci spárujte s krátkou okamžitou zpětnou vazbou pro každého, kdo klikne; právě v té chvíli probíhá skutečné učení.

Co má zaměstnanec udělat poté, co klikne na phishingový odkaz?

Okamžitě to nahlásit IT nebo tlačítkem pro hlášení phishingu – rychlost je důležitější než hledání viníka. IT by mělo resetovat heslo, zneplatnit aktivní relace, zkontrolovat nové registrace MFA či pravidla pro přeposílání pošty a projít přihlašovací protokoly. Zaměstnanec, který klik nahlásí během pár minut, obvykle promění potenciální incident v nehodu bez následků.

Související články

Návody a postupy

Jak vytvořit phishingovou simulaci: krok za krokem od scénáře po report

Phishingová simulace má jasný postup: definujte cíl a právní základ, vyberte realistický scénář, povolte domény simulace v Microsoft 365 nebo Google Workspace, spusťte kampaň na reprezentativní skupinu a měřte míru prokliku, míru nahlášení a čas do nahlášení. Tento návod popisuje jednotlivé kroky tak, jak je při placených testech provádí ofenzivní bezpečnostní tým - včetně chyb, které zkazí většinu prvních kampaní.

10 min čteníČíst článek
Návody a postupy

Phishingový test zaměstnanců krok za krokem: průběh, cena a ukázkový report

Phishingový test zaměstnanců je řízené cvičení: rozešlete kolegům realistický, ale neškodný falešný phishingový e-mail a měříte, kdo klikne, kdo vyplní přihlašovací údaje a kdo zprávu nahlásí. První základní (baseline) test trvá od nastavení k výsledkům zhruba dva týdny. V Česku agentury za jednorázový test obvykle účtují řádově od pár tisíc do desítek tisíc korun, samoobslužné platformy jednotky eur za zaměstnance měsíčně.

10 min čteníČíst článek

Z Phishingové encyklopedie

Pro zaměstnance

Jak poznat phishing: varovné signály, na které si dát pozor

Umět poznat phishing patří k nejužitečnějším dovednostem, jaké v práci můžete mít. Podvodné e-maily a zprávy totiž zůstávají nejčastější branou, kterou se útočníci dostávají do firem. V tomto návodu si projdeme konkrétní varovné signály phishingu, ukážeme si, jak bezpečně ověřit odkaz i odesílatele, a hlavně si řekneme, co dělat, když vám něco nesedí.

8 min čteníČíst článek
Cílené útoky

Spear phishing a BEC podvod: kompromitace firemního e-mailu

Spear phishing je cílený útok šitý na míru konkrétnímu člověku nebo roli a stojí za nejdražším druhem internetové kriminality vůbec, kterým je kompromitace firemního e-mailu (BEC). Podvodník si oběť pečlivě nastuduje, vydává se za šéfa nebo dodavatele a nakonec přiměje zaměstnance poslat peníze na cizí účet. V tomto průvodci si vysvětlíme, jak útočníci sbírají informace, jak vypadá podvod jménem ředitele i falešná faktura, proč tyto e-maily proklouznou přes filtry a jak se firma může bránit dřív, než peníze odejdou.

8 min čteníČíst článek

Další krok

Chcete měřit svůj program phishingových simulací a školení?

Domluvte si demo a podívejte se, jak PhishGun podpoří simulace, školení, reportování i podklady pro audit.

Požádat o přístupEmail info@phishgun.com