Na první pohled to vypadá jako obyčejný scam. Dostali jste zprávu, odkaz nebo QR a všechno se zdá „normální“. Jenže tohle není klasické vyžádání hesla. Tohle je taková lest, že vás přimějí udělat tu práci sami. Autorizujete něco, co vypadá správně. A během momentu jsou vaše coiny pryč. Vítejte, zažili jste quasi-phishing nebo quishing.
Obsah článku: Quishing
Historie quishingu – Jak vás podvodníci oškubou o peníze
Tenhle trik má jednoduchou výhodu pro podvodníky. Nepotřebují prolomit žádný server. Nemusí lámat zabezpečení. Stačí navodit pocit důvěry. Vás přimět, abyste sami dali svolení k převodu. V praxi to funguje tak, že Vám pošlou lákavý „claim“ — odměnu, refund nebo airdrop. Řeknou Vám „připojte krypto-peněženku, je to bezpečné“. Vy to uděláte a odsud jde většinou všechno rychle dolů.
Nejprve se to pralo hlavně v Asii. Tam to rozjeli jako první. Lidi tam chytili na QRky a WhatsApp linky už v roce 2023–2024. Pak se to rychle rozšířilo dál. V Česku začaly větší vlny na jaře 2024 a v roce 2025 už to na policii řeší pravidelně.
Mohlo by vás zajímat: Pozor na AI podvody!
Na chytřejší ryby chytřejší phishing
Útočníci nevyhrávají jen technologii. Vyhrávají jazykem a „lookem“. Texty jsou lokalizované. Vypadají česky, ne jako špatný překlad. Obrázky a loga jsou věrohodné. Někdy to fotí až profesionálně. Takže když Vám někdo pošle odkaz, vypadá to, jako by to poslalo nějaké známé místo nebo služba. To je cílené.
Tříbí to i sociální složka. Kampaň neběží jen přes jeden kanál. Jsou tam reklamy, falešná videa, skupiny na Telegramu, dokonce i „influenceri“ — někdy zinscenovaní. Všechno to dohromady vytváří iluzi, že je to ověřené. A ten, kdo uvidí ten „proof“ znovu a znovu, začne věřit. To je přesně ten moment, kdy se rozsvítí červená pro racionalitu a zelená pro důvěru.
Globální i lokální quishing – Rozmanité tváře quasi-phishingového podvodu
Technika? Nemusíme se do ní moc šťourat. Hlavní věc je, že Vás donutí „připojit“ nebo „schválit“. Nejde o to, že někdo ukradl heslo. Jde o to, že jste to schválili Vy. Proto je to tak zrádné. Vypadá to oficiálně a proběhne to přes běžné nástroje peněženek.
Pozoruhodné je, jak rychle to lokalizují. Když cílí na Čechy, stránka mluví česky. Když cílí na Němce, mluví německy. V tomhle jsou organizovaná call-centra excelentní. Mají překladatele. Mají marketing. A mají instrukce, jak krok po kroku vodit oběť. V praxi to znamená, že i zkušenější uživatel může podlehnout, protože celý scénář je „ušitý“ na míru.
Více z naší redakce: FX Junction recenze
V Česku už varuje policie – Ale vyšetřování nebývá jednoduché
V Česku to většinou vypadá takto: dostanete zprávu o vrácení poplatku nebo o „exkluzivním“ airdropu nějaké kryptoměny. Dál Vás někdo navede po krocích. Někdo zavolá a povede Vás přes WhatsApp. Někdo Vás přesvědčí, abyste nainstalovali nějakou aplikaci nebo klikli na odkaz. A když se připojíte, dojde k transakci, kterou jste sami potvrdili. Ten okamžik je zlom. Po něm už je vrácení peněz prakticky nemožné.
Vyšetřování? To je běh na dlouhou trať. Pro policii a forenziky je problém, že blok není „prolomen“ — všechno proběhlo legálně z technického pohledu. Analytici se tak zaměřují na infrastrukturu. Sledují domény, hostingy, DNS přesměrování, krátkodobé servery. Fotí stránky. Sbírají logy. Hledají společné prvky mezi různými útoky. To často vede dál k odhalení sítě.
Doporučujeme: Trezor Safe 3 recenze
Quishing – Jak se tedy bránit?
Prakticky pro člověka na ulici: nikdy neklikat bez přemýšlení. Pokud Vám někdo nabízí „vyřízení“ nebo „pomoc“ přes neznámý odkaz, zavolejte na oficiální číslo služby. Neinstalujte aplikace, které Vám radí přes cizí odkaz. Nepřipojujte krypto-peněženku k něčemu, co jste sami nevyvolali. To jsou jednoduché kroky, ale zachycují mnoho útoků.
A co firmy a platformy? Tady musí běžet prevence a rychlá reakce. Firmy by měly hlídat životnost domén a redirekce. Burzy a velcí hráči by měli varovat zákazníky jasně a často. Policie musí mít kanály pro rychlé žádosti o logy od hostingů a CDN. Když se to celé skloubí, šance na zadržení peněz roste.
Nakonec to má i svůj psychologický podtext. Ten podvod neútočí na technologii. Útočí na důvěru v technologii. Využívá, že většina lidí už blockchainu věří. A tu důvěru kapitalizuje. Je to trochu jako manipulace v sektě. Pomalu Vám ukáží, že „tohle je bezpečné“, až jednou prostě uděláte to, co chtěli. Tomu se těžko brání, pokud nejste na stráži.
