Tadeáš Hájek
Threat Intelligence Analyst, Whalebone
V posledních měsících Whalebone Threat Intelligence zaznamenává vysoké počty domén napodobujících Policii ČR, Portál občana a nejnověji také Portál dopravy. Účel těchto stránek je vždy stejný: přimět oběť k zaplacení fiktivní pokuty platební kartou, provést dvoufázové ověření transakce a tím získat údaje potřebné k jejímu následnému zneužití.
Za pouhých pět dní jsme zaznamenali 17 phishingových domén napodobujících Portál Dopravy a urgujících k zaplacení pokuty za rychlost. Očekáváme růst podobných typů útoků s eskalací i na další služby.
Útok začíná zprávou odeslanou přes iMessage nebo RCS ze zahraničního telefonního čísla, případně z podezřelé e-mailové adresy. Zpráva obsahuje smyšlenou finální upomínku k platbě pokuty za dopravní přestupek, fiktivní číslo případu a snaží se navodit pocit naléhavosti pomocí smyšlených důsledků neprovedení platby. Cílem je vyvolat tlak a přimět příjemce k impulzivní platbě bez ověření pravosti zprávy.
Po vstupu na podvodné stránky a zadání registrační značky vozidla se oběti zobrazí údaje o smyšleném přestupku za překročení rychlosti, včetně „slevy“ 50 % při úhradě do 7 dnů.
Následně je oběť vyzvána k platbě kartou prostřednictvím falešné platební brány. Při vyplňování formuláře jsou údaje o platební kartě odesílány útočníkům. Na základě instrukcí ze serveru může být oběť dále vyzvána k ověření transakce zadáním jednorázového hesla, PINu nebo schválením transakce v bankovní aplikaci: útočník tímto zachytí dvoufázové ověření.
Cílem těchto falešných ověřovacích kroků je umožnit okamžité zneužití platební karty. Následuje akce navázána na dvoufázové ověření, tedy typicky přidání karty do elektronických peněženek a/nebo provedení neautorizovaných online transakcí. Soubory takto získaných platebních údajů mohou být také dále prodány na darknetových tržištích.
Mezi 12. a 16. červnem 2026 jsme zaznamenali 17 domén napodobujících Portál Dopravy. Tyto domény sdílejí společnou infrastrukturu na IP adrese 47.251.42[.]238 a všechny využívají bezplatnou koncovku .eu[.]cc.
Indikátory dále ukazují na využívání Phishing-as-a-Service kitu, tedy komerčního nástroje umožňujícího provozovat phishingové kampaně i bez pokročilých technických znalostí, podobného tomu který jsme popsali v dubnu 2026. Tyto nástroje umožňují kyberzločincům nasadit či vytvořit šablony napodobující libovolnou službu či instituci a hromadně rozesílat smishingové zprávy.
Rozmach umělé inteligence navíc útočníkům usnadňuje tvorbu přesvědčivých textů v různých jazycích i plánování phishingových kampaní, včetně výběru vhodných cílů k napodobení a formulace zpráv, které účinně navozují pocit naléhavosti.
Pokud vám podobná zpráva přišla, doporučujeme ji smazat, neodpovídat na ni a neklikat na odkazy, které obsahuje.
V případě, že jste na podobné stránce zadali údaje o platební kartě, je nutné dotčenou kartu okamžitě deaktivovat. To platí i v případě, že platba nebyla dokončena. Zadané platební údaje jsou zaznamenány už během vyplňování formuláře a následně zneužity například na platebních branách, které nevyžadují dodatečné ověření.
Očekáváme, že podobné útoky cílené na české uživatele internetu budou dále přibývat. Kyberzločinci mají dnes k dispozici širokou škálu nástrojů, které výrazně usnadňují tvorbu phishingových kampaní, včetně umělé inteligence a Phishing-as-a-Service kitů. Více než kdy dříve je proto důležité zachovat obezřetnost a opřít se o ochranu, která pomáhá blokovat přístup na škodlivé domény.
Whalebone Threat Intelligence tyto kampaně aktivně monitoruje a pomáhá chránit uživatele před přístupem na škodlivé domény.
V sítích, které chráníme, jsme v loňském roce zablokovali více než 30 miliard kybernetických hrozeb. Způsob, jakým se tyto hrozby vyvíjely, ukazuje, jak rychle se útočníci přizpůsobují.
Zjistěte, co formovalo oblast kybernetické bezpečnosti v roce 2025 a jaké trendy lze očekávat dál. Stáhněte si náš nejnovější report o kybernetických hrozbách za rok 2025 (report je k dispozici pouze v angličtině).