Príde vám SMS: „Vaša zásielka je zadržaná na colnom úrade, doplaťte 2,99 eura, inak ju vrátime odosielateľovi." Pod správou je odkaz a hodiny tikajú — veď balík naozaj čakáte. Presne na tomto momente stavia smishing: podvod cez SMS, ktorý vás má prinútiť konať skôr, než stihnete premýšľať. Slovenská pošta pritom za doručenie cez SMS nikdy nič nepýta. A vy ste len pár sekúnd od toho, aby ste útočníkovi sami nadiktovali číslo svojej platobnej karty.
Čo je smishing a prečo je nebezpečnejší než e-mail
Smishing je spojenie slov SMS a phishing. Útočník rozosiela podvodné SMS, v ktorých sa vydáva za banku, kuriéra, poštu alebo úrad, a snaží sa vás prinútiť kliknúť na odkaz alebo zadať citlivé údaje na falošnej stránke. Oproti e-mailu je SMS kratšia, ľudia jej viac dôverujú a skrátený odkaz ukryje skutočnú adresu.
Podľa európskeho policajného úradu Europol má SMS oproti e-mailovému phishingu jednu zákernú výhodu: v krátkej správe je menej priestoru, kde by sa prezradila zlá gramatika, a odkaz býva skrátený (napríklad cez bit.ly alebo tinyurl), takže skutočná cieľová adresa zostáva skrytá. K tomu sa pridáva návyk — textovkám z bežného čísla dôverujeme automaticky.
Že nejde o okrajový jav, ukazujú aj čísla. Podľa hodnotenia Europolu (správa IOCTA) bol smishing v roku 2023 najčastejším typom phishingu, ktorý podvodníci používali. Správa agentúry Európskej únie pre kybernetickú bezpečnosť ENISA (Threat Landscape 2024) zase radí sociálne inžinierstvo vrátane smishingu medzi najvýznamnejšie vstupné brány útokov — kampane mieria najmä na jednotlivcov (38 %) a úverové inštitúcie (36 %), teda na klientov bánk hromadným rozosielaním.
Ako rozpoznať podvodnú SMS — varovné signály
Podvodnú SMS spoznáte podľa naliehavého tónu a tlaku na okamžité konanie, podľa skráteného alebo divného odkazu, podľa neočakávaného obsahu (problém s balíkom, ktorý ste neobjednali) a podľa chýbajúcich identifikačných prvkov, ako je logo, číslo zásielky či kontakt na firmu. Seriózna inštitúcia cez SMS nikdy nepýta heslá ani údaje o karte.
Slovenská kybernetická firma ESET zhrnula varovné signály do niekoľkých bodov. Naliehavosť je úmyselná — útočník chce, aby ste reagovali skôr, než si správu poriadne prečítate. Práve tu sa spúšťa celý mechanizmus podvodu:
Dôležité je vedieť, čo seriózna inštitúcia nikdy neurobí. Banky cez SMS ani e-mail nikdy nepýtajú číslo platobnej karty, CVV kód, prihlasovacie heslá ani autorizačné (SMS) kódy — každá takáto žiadosť je podvod. Slovenská pošta zasa nikdy nežiada úhradu žiadnych poplatkov (clo, doplatok, doručenie) cez SMS, MMS, e-mail ani sociálne siete; všetky platby prebiehajú výlučne priamo na pošte, v BalíkoBOXe alebo u kuriéra.
„Nikdy nežiadame platby za doručenie prostredníctvom e-mailu alebo SMS."
— Slovenská pošta
Najčastejšie podvodné SMS na Slovensku
Na Slovensku sa najčastejšie objavujú falošné SMS od kuriéra alebo Slovenskej pošty o zadržanej zásielke a nedoplatku za doručenie či clo, falošné upozornenia banky na podozrivú aktivitu alebo zablokovanú kartu, podvody na inzertných portáloch (bazár), falošné pokuty a falošné výhry, prípadne správy o „odmietnutej platbe" za predplatné, napríklad Netflix.
Scenáre sa opakujú, pretože fungujú. Najrozšírenejšie podoby vyzerajú takto:
- Kuriér alebo pošta: zásielka je vraj zadržaná, chýbajú údaje alebo treba doplatiť malú sumu za doručenie či clo. Práve preto je presvedčivá — balík často naozaj čakáte.
- Banka: SMS varuje pred podozrivou aktivitou alebo zablokovanou kartou a vyzýva „overiť" prístup cez odkaz, ktorý vedie na falošnú prihlasovaciu stránku.
- Falošná pokuta alebo clo: správa sa tvári ako úradné upozornenie na nezaplatený poplatok s hrozbou ďalších sankcií.
- Výhra a predplatné: oznámenie o výhre alebo o „neúspešnej platbe" za službu typu Netflix, ktoré vás má dotlačiť zadať údaje o karte.
Spoločného menovateľa majú jediného: malá, „neškodná" suma alebo strach, že o niečo prídete — a odkaz, ktorý všetko „vyrieši".
Čo robiť, keď ste klikli alebo zadali údaje
Ak ste už klikli na odkaz alebo zadali údaje z karty, konajte v prvých minútach: bezodkladne kontaktujte banku cez oficiálnu linku a požiadajte o zablokovanie karty, zmeňte si heslá, podozrivé číslo zablokujte a nahláste ako spam a podvod oznámte Polícii SR aj inštitúcii, za ktorú sa podvodník vydával. Rýchla reakcia výrazne znižuje finančnú škodu.
Banka Raiffeisen aj ďalší poskytovatelia zhodne zdôrazňujú, že rozhoduje čas. Postupujte v tomto poradí:
- Zavolajte banke na oficiálne číslo a zablokujte kartu.
- Zmeňte si heslá do internetbankingu a e-mailu.
- Zablokujte a nahláste podozrivé číslo.
- Podajte oznámenie na Polícii SR.
- Uchovajte dôkazy a sledujte účet.
Kam podvodnú SMS nahlásiť
Bezpečnostný incident môžete nahlásiť slovenským tímom SK-CERT (sk-cert.sk) pri Národnom bezpečnostnom úrade a CSIRT.SK (csirt.gov.sk). Pri nahlásení phishingu pripojte úplnú URL adresu falošnej stránky a dôkazy — screenshoty správ a prípadné bankové výpisy. Ak ste prišli o peniaze, podajte trestné oznámenie na Polícii SR.
Nahlásenie nie je len formalita: pomáha úradom zachytiť vlnu podvodov a varovať ďalších. Slovenská pošta aj polícia opakovane zverejňujú výstrahy pred konkrétnymi vlnami podvodných SMS, a čím skôr sa nová kampaň dostane k SK-CERT, tým rýchlejšie sa dá falošná stránka zablokovať.
Je smishing trestný čin?
Áno. Smishing môže napĺňať skutkovú podstatu trestného činu podvodu podľa § 221 Trestného zákona (zákon č. 300/2005 Z. z.). Podvod sa začína spôsobením škody nad 700 eur a pri závažných formách hrozí páchateľovi trest odňatia slobody až do 10 rokov; falošné správy môžu napĺňať aj vydieranie či hrubý nátlak.
Štát na hrozbu reaguje aj systémovo. Národná banka Slovenska 1. decembra 2025 spustila koordinačnú platformu proti online podvodom v rámci štruktúr Ministerstva vnútra SR — zapojili sa doň prokuratúra, polícia, bankový sektor aj firma ESET a z európskej úrovne Európska komisia a Eurojust.
Ako sa pred smishingom chrániť do budúcna
Podľa Europolu neklikajte na odkazy v nevyžiadaných SMS bez overenia odosielateľa, dajte si pred reakciou načas a nikdy neposkytujte PIN, heslo do internetbankingu ani iné bezpečnostné údaje. Navyše si zapnite dvojfaktorové overenie a spamové filtre v telefóne a podozrivé čísla blokujte a nahlasujte ako spam.
Technika sama nestačí. Mobilní operátori združení v ASMOS (Telekom a O2; Orange a SWAN zapojenie zvažujú) zaviedli systém vzájomného overovania pravosti volaní proti spoofingu, ktorý denne odfiltruje niekoľko desiatok tisíc podvodných volaní (oznámené 13. novembra 2024). Lenže útočníci rotujú stovky čísel a cez spoofing dokážu na displeji zobraziť skutočný názov či číslo banky — zobrazenému odosielateľovi sa preto dôverovať nedá.
„Spoofing považujem za momentálne najväčší problém v oblasti elektronických komunikácií a vítam akúkoľvek aktivitu zo strany operátorov na ochranu svojich zákazníkov."
— Ivan Marták, predseda Úradu pre reguláciu elektronických komunikácií a poštových služieb
Rozhodujúcim faktorom tak zostáva obozretnosť používateľa. Bežná rada „neverte SMS z cudzieho čísla" je nedostatočná — pri spoofingu sa správa zobrazí pod štandardným slovenským číslom alebo priamo pod názvom banky. Spoľahnúť sa preto možno len na nezávislé overenie cez oficiálny kanál, nie na zobrazené číslo odosielateľa.
Tento článok nenahrádza právne poradenstvo.
Zamysleli ste sa niekedy nad tým, prečo aj skúsený používateľ pod tlakom naletí — a čo presne sa v tej chvíli deje v našom rozhodovaní?
Najčastejšie otázky
Aký je rozdiel medzi smishingom a phishingom?
Phishing je všeobecný pojem pre podvodné vylákanie údajov; smishing je jeho podoba cez SMS. Podľa Europolu je SMS pre útočníka výhodná tým, že je krátka, ľudia jej viac dôverujú a skrátený odkaz ukryje skutočnú adresu. Na vzostupe je aj quishing — phishing cez QR kódy.
Pýta banka niekedy cez SMS heslo alebo CVV kód?
Nie. Banky cez SMS ani e-mail nikdy nepýtajú číslo karty, CVV kód, prihlasovacie heslá ani autorizačné kódy. Akákoľvek takáto žiadosť je podvod, aj keď SMS vyzerá dôveryhodne.
Mám zaplatiť malý poplatok za doručenie balíka z SMS?
Nie. Slovenská pošta nikdy nežiada úhradu poplatkov za doručenie, clo či doplatok cez SMS, MMS, e-mail ani sociálne siete. Heslo pošty znie: Neklikajte, neplaťte, nahláste!
Kde nahlásim podvodnú SMS?
Incident nahláste tímom SK-CERT (sk-cert.sk) pri Národnom bezpečnostnom úrade alebo CSIRT.SK (csirt.gov.sk) a pripojte úplnú URL falošnej stránky a screenshoty. Ak ste prišli o peniaze, podajte trestné oznámenie na Polícii SR.
Hrozí za smishing trest?
Áno. Smishing môže napĺňať skutkovú podstatu podvodu podľa § 221 Trestného zákona (zákon č. 300/2005 Z. z.). Pri škode nad 700 eur a závažných formách hrozí páchateľovi trest odňatia slobody až do 10 rokov.
Prečo sa nedá dôverovať číslu odosielateľa?
Cez spoofing dokáže útočník zobraziť na displeji skutočné slovenské číslo alebo priamo názov banky. Predseda regulačného úradu Ivan Marták označil spoofing za momentálne najväčší problém v elektronických komunikáciách. Overujte preto vždy cez oficiálny kanál, nie podľa zobrazeného čísla.
