Banka volá a chce OTP — je to podvod?

Ano, vždycky. Žádná banka v ČR nikdy po telefonu neprosí o OTP kód. Pokud někdo říká, že je z banky a chce kód pro ověření, okamžitě zavěste a zavolejte do banky na číslo, které máte sami v aplikaci.

Co je rozdíl mezi SMS OTP a aplikačním autentikátorem?

SMS lze přesměrovat (SIM swap útok), aplikační autentikátor běží offline na vašem zařízení. Aplikační je bezpečnější. Banky to vědí a postupně přechází na in-app push notifikace.

OTP — jednorázové heslo — co to je? Jak se chránit | Cislo.info · Cislo.info

OTP (One-Time Password, jednorázové heslo) je krátký kód — typicky 4–8 cifer — který platí jen krátkou dobu (30–60 sekund) a pouze pro jednu konkrétní akci (přihlášení, platba, potvrzení převodu). Banky, e-shopy a sociální sítě ho posílají SMS, generují v aplikaci (Google Authenticator) nebo generují HW token. Pro útočníka je OTP zlatý grál — pokud ho získá, obejde i silné heslo.

Jak to funguje

OTP se generuje algoritmem TOTP (Time-Based One-Time Password) nebo HOTP (HMAC-Based) ze sdíleného tajemství mezi uživatelem a serverem. Aplikační autentikátory (Google, Microsoft Authenticator) ho ukládají offline a přepočítávají každých 30 s. Banky obvykle posílají OTP přes SMS (méně bezpečné — viz SIM swap). Při legitimním přihlášení uživatel kód opíše do formuláře a server ho ověří. Útočník během vishingu pod tlakem uživatele přiměje, aby mu kód nadiktoval — a útočník ho použije do své relace.

Jak to rozeznat

Někdo po telefonu vás vyzývá, abyste nadiktovali SMS kód pro ověření, že nejste podvodník.
Volající tvrdí, že je z banky a že kódem jen blokujete podezřelou transakci.
Po e-mailu vám přijde žádost o opakované zadání OTP na podezřelé URL.
OTP přijde i když jste se sami nepokoušeli přihlásit ani platit — někdo se vás snaží nabourat.
Volající chce, abyste mu kód poslali SMS zpátky nebo jiný způsob.

Co dělat

**Nikdy** nesdělujte OTP nikomu jinému než přímo do oficiální aplikace nebo na webu, ze kterého jste si platbu sami iniciovali.
Banka ani policie OTP po telefonu nikdy nechtějí — pokud o něj žádají, je to podvod.
Pokud OTP přijde nečekaně (vy jste o nic nežádali), někdo zkouší napadnout váš účet — ihned změňte heslo.
Preferujte aplikační autentikátor (Google Authenticator, Authy) před SMS — SMS lze odposlouchávat při SIM swapu.
Pro nejcennější účty (banka, e-mail) zvažte hardware key (YubiKey) — žádný útočník přes telefon ho nedostane.

České kontexty

Česká bankovní asociace zveřejnila v roce 2024 statistiku — přes 70 % úspěšných vishingových útoků na klienty bank končí získáním SMS OTP kódu. Banky postupně přechází na biometrické ověření v aplikaci (face/touch ID + push notifikace) místo SMS. Pokud vám banka stále posílá OTP přes SMS, můžete v nastavení obvykle přepnout na aplikační push.

Aktuálně reportovaná nebezpečná čísla

Top čísla, na která lidé hlásí podvodné nebo otravné hovory. Pokud vám zazvonilo některé z nich, čtěte zkušenosti ostatních.

Časté otázky

Související pojmy

SIM swap

Krádež telefonního čísla. Útočník přesvědčí operátora, aby přenesl vaše číslo na jeho SIM kartu, a pak ovládá vaše SMS a 2FA kódy.

Vishing

Voice phishing — telefonní podvod, kdy útočník přes hovor vylákává citlivé údaje, hesla nebo peníze.

Dvoufaktorové ověřování (2FA)

Druhý ověřovací krok kromě hesla — typicky kód z SMS nebo aplikace. Zásadní obrana proti krádeži účtu.

Phishing

Obecný pojem pro podvod, kdy útočník vylákává citlivé údaje (hesla, čísla karet) pod falešnou identitou.

Hledáte další pojem? Otevřít celý slovník →

Jak to funguje

Jak to rozeznat

Někdo po telefonu vás vyzývá, abyste nadiktovali SMS kód pro ověření, že nejste podvodník.

Volající tvrdí, že je z banky a že kódem jen blokujete podezřelou transakci.

Po e-mailu vám přijde žádost o opakované zadání OTP na podezřelé URL.

OTP přijde i když jste se sami nepokoušeli přihlásit ani platit — někdo se vás snaží nabourat.

Volající chce, abyste mu kód poslali SMS zpátky nebo jiný způsob.

Co dělat

**Nikdy** nesdělujte OTP nikomu jinému než přímo do oficiální aplikace nebo na webu, ze kterého jste si platbu sami iniciovali.

Banka ani policie OTP po telefonu nikdy nechtějí — pokud o něj žádají, je to podvod.

Pokud OTP přijde nečekaně (vy jste o nic nežádali), někdo zkouší napadnout váš účet — ihned změňte heslo.

Preferujte aplikační autentikátor (Google Authenticator, Authy) před SMS — SMS lze odposlouchávat při SIM swapu.

Pro nejcennější účty (banka, e-mail) zvažte hardware key (YubiKey) — žádný útočník přes telefon ho nedostane.

České kontexty