Pozor na phishing! Podvodníci napodobují také iDoklad

Phishing využívají podvodníci zejména k tomu, aby získali vaše přihlašovací údaje k internetovému bankovnictví nebo jiné službě. Díky tomu se dostanou k vašim penězům a převedou je na své konto.

Aktuální incident: podvodné e-maily jménem iDokladu (červen 2026)

V červnu 2026 jsme zachytili podvodné e-maily, které se tváří jako oficiální komunikace iDokladu. E-maily vyzývají příjemce k „potvrzení e-mailové adresy” – s odůvodněním, že měníme přihlašovací systém.

Jde o podvod. iDoklad po vás nikdy nebude požadovat:

• potvrzení e-mailové adresy u existujícího účtu,
• zadání přihlašovacích údajů (jména a hesla) přes odkaz v e-mailu,
• sdělení jakýchkoliv citlivých údajů e-mailem.

Pokud jste na odkaz v podvodném e-mailu klikli a zadali své přihlašovací údaje, okamžitě si změňte heslo v nastavení svého účtu iDoklad a zapněte dvoufaktorové ověření (2FA).

Jak phishingové útoky vypadají

Při phishingu se útočníci vydávají za renomovanou instituci. Typicky za:

• banku,
• investiční společnost,
• známou firmu,
• poštu,
• finanční úřad
• nebo jinou státní instituci.

Často využívají jména skutečných zaměstnanců, která najdou na internetu. Díky tomu působí věrohodně.

V e-mailech se vás snaží zmanipulovat k tomu, abyste kliknuli na některý z odkazů.

Poté vás přesměrují na falešnou stránku dané instituce. Jakmile se na ní přihlásíte ke svému účtu nebo například zadáte údaje k platební kartě, získají tyto informace útočníci. A můžou vás snadno připravit o peníze.

Podvodníci využívají politiky, herce i sportovce

Aby bylo vše co nejvěrohodnější, využívají útočníci informace, které si o vás už zjistili. Například jméno banky, u které máte účet.

Odolat takovému tlaku není jednoduché. Když vám někdo hrozí, že přijdete o celoživotní úspory, logicky je chcete ochránit.

Podvodníci navíc své útoky ještě zesilují. Například tím, že je kombinují s vishingem a smishingem – tedy s podvody prostřednictvím telefonních hovorů a SMS.

Vydávají se přitom i za policisty, expediční služby jako například PPL nebo finanční úřad.

V poslední době navíc stále častěji využívají deepfake videa, fotografie a audionahrávky. Pomocí umělé inteligence do nich vkládají známé osobnosti, které lákají například k „výhodným“ investicím.

V podobných videích se nedávno objevili mimo jiné nepravý prezident Petr Pavel nebo falešný Andrej Babiš. Často v nich vystupují také známí herci, zpěváci či sportovci vytvoření pomocí AI.

Jen v roce 2023 vzrostl počet takových podvodů desetinásobně!

Falešná faktura = ztráta klienta

Protože se podvodníci vydávají za nejrůznější instituce, musíte být v pozoru u každé služby, do které se přihlašujete. A výjimkou bohužel není ani iDoklad.

Co mají podvodníci z toho, že se dostanou k vašemu iDokladovému účtu?

Uvidí vaše faktury a klienty. A nic jim nebrání v tom, aby připravili fakturu novou nebo upravili některou ze stávajících a poslali ji vaším jménem klientovi.

Pak už stačí jen připsat informaci o tom, že máte nové číslo účtu. A čekat, až na nové konto dorazí platba.

Klient tak zaplatí podvodníkovi. A vy to zjistíte až ve chvíli, kdy mu pošlete upomínku.

I když sami o peníze přímo nepřijdete, následky budou velmi citelné. Dost pravděpodobně ztratíte klienta.

Podvodníci se totiž vydávali za vás. A proto je s nimi vaše jméno neoddělitelně spojené – přestože jste v tom nevinně.

Kromě toho nyní útočníci znají vaše přihlašovací jméno a heslo. A pokud toto heslo používáte také u jiných služeb, podvodníci se do nich snadno dostanou.

Na co si dát pozor

Aby se vám nic podobného nestalo, musíte být ostražití. Podvodníci se totiž umí velmi dobře maskovat. Mohou vás klidně sledovat delší dobu, aby se následně vydávali za vašeho kamaráda. Pod jeho jménem vám pak pošlou odkaz na zajímavou stránku.

A kamarádům přece věříte…

Dávejte si proto pozor i na ty nejmenší podezřelé signály. Patří mezi ně:

• špatná čeština – díky umělé inteligenci a stále chytřejším překladačům už sice není tak častá jako dřív, stále se ale setkáte s e-maily, které obsahují řadu překlepů či nesmyslných obratů;
• podezřelý odesílatel – podvodníci často využívají e-mailové adresy, které si snadno vytvoří a které nemají s danou institucí nic společného; typické jsou překlepy či záměrné úpravy v názvech odesílatelů (například i-doklad.cz místo idoklad.cz) nebo zcela jiné domény; legitimní e-maily od iDokladu přicházejí vždy z domény @idoklad.cz;
• podezřelá URL – najeďte nad odkaz v e-mailu myší a podívejte se, jaká adresa se objeví – pokud je v ní překlep, jiná koncovka nebo se jinak liší od adresy dané instituce, rychle pryč;
• nátlak – podvodníci se vás snaží všemožně přimět, abyste na odkaz kliknuli, hrozí vám například zablokováním účtu, pokud to neuděláte;
• nečekaná výhra nebo dědictví – klasický trik, kdy dědíte po boháči ze zahraničí nebo vyhrajete v loterii, které jste se nikdy nezúčastnili;
• nečekaný e-mail – zvažte, jestli daný e-mail opravdu čekáte – pokud jste si nic neobjednali a přijde vám e-mailem upozornění z pošty, že máte doplnit adresu nebo zaplatit clo, je to pravděpodobně podvod.

Jak se phishingu bránit

Základní pravidlo je jednoduché – na podezřelé odkazy zkrátka neklikejte. Co ale dělat, když si nejste jistí, jestli je zpráva pravá nebo ne?

Jednoduše si to ověřte.

Běžte na internetové stránky dané instituce, najděte si číslo na zákaznickou linku a zavolejte na ni. Její zaměstnanci snadno zjistí, jestli vám e-mail opravdu posílali.

Nikdy ale nevolejte na čísla nebo nepište na e-mailové adresy uvedené v podezřelé zprávě. Pokud e-mail opravdu poslali podvodníci, dovoláte se jim. A budete čelit další manipulaci a nátlaku.

Podobně postupujte i v případě, když vám píše známý. Jednoduše mu zavolejte. A ověřte si, jestli je zpráva opravdu od něho.

Zabezpečte svůj účet pomocí dvoufaktorového ověření (2FA)

Nejlepší obranou proti zneužití přihlašovacích údajů je dvoufaktorové ověření (2FA). I kdyby se útočníkovi podařilo získat vaše heslo, bez druhého ověřovacího faktoru se do vašeho účtu nedostane.

Jak 2FA v iDokladu zapnout:

1. Přihlaste se do svého účtu v iDokladu přes webovou aplikaci.
2. V nabídce Nastavení / Uživatelský účet vyberte možnost Zapnout dvoufázové ověření.
3. Zadejte své přihlašovací heslo.
4. Zobrazí se QR kód, který naskenujete pomocí autentikační aplikace, například Google Authenticator.
5. Po úspěšném spárování aplikace zobrazí e-mail účtu a aktuální OTP kód.
6. OTP kód vložte zpět do iDokladu pro ověření.
7. Autentikátor si můžete pojmenovat podle potřeby, například pro užitek při používání více zařízení.
8. Po aktivaci dvoufázového ověření se automaticky vygeneruje sada deseti záchranných kódů, které slouží k přihlášení v případě, že nebo nemáte přístup k OTP kódu.

Aktivaci 2FA důrazně doporučujeme všem uživatelům iDokladu. Jde o jeden z nejúčinnějších kroků, které můžete pro ochranu svého účtu udělat.

Co dělat, když vás podvedou

Někdy ani obezřetnost nepomůže a na podezřelý odkaz kliknete. A následně zadáte i přístupové údaje ke svému internetovému bankovnictví – nebo třeba do iDokladu.

V takovém případě je potřeba jednat co nejrychleji. Jakmile si uvědomíte, že jste udělali chybu, přihlaste ke svému účtu a změňte si přihlašovací údaje.

Zároveň zavolejte do banky a domluvte se na zablokování všech transakcí, o které by se zloději mohli ještě pokusit. A samozřejmě kontaktujte také policii.

A co když se podvodníci pokusí napadnout váš účet v iDokladu?

Opět platí, že se musíte přihlásit a změnit si heslo. Zároveň si zkontrolujte, jestli někdo bez vašeho vědomí neupravil některý z dokladů nebo nevystavil zcela novou fakturu.

Po změně hesla také okamžitě zapněte dvoufaktorové ověření (2FA) – viz sekce výše. Díky němu budete mít jistotu, že se k vašemu účtu nedostane nikdo cizí, i kdyby vaše heslo znal.

I když na nic podezřelého nenarazíte, nemáte ještě vyhráno. Podvodníci totiž dostali šanci získat údaje o vás i vašich klientech. A mohou si pod vaším jménem zřídit účet jinde a posílat faktury z jiné služby.

Proto své klienty kontaktujte a ověřte si, že žádný takový doklad nedostali. A upozorněte je, že jim budete faktury dál posílat pouze z iDokladu.