Spoofing telefonního čísla (Caller ID spoofing) je technika, kdy útočník záměrně podvrhne číslo volajícího. Na displeji se tak zobrazí jiná identita – typicky banka, policie, úřad nebo známá firma – a útočník toho využije k podvodu, vylákání peněz nebo citlivých údajů.

Co je spoofing telefonního čísla v praxi

V běžné řeči jde o situaci, kdy vám volá „banka“, „policie“ nebo „pojišťovna“, na displeji vidíte jejich oficiální číslo, ale na druhé straně je úplně někdo jiný. Telefonní síť předá příjemci číslo, které jí pošle systém volajícího – a pokud operátor číslo nijak neověřuje, může být prakticky libovolné.

Podle údajů Europolu je právě spoofing volajícího čísla jedním z hlavních motorů telefonních a SMS podvodů. Ty tvoří zhruba dvě třetiny nahlášených případů tohoto typu kriminality a celosvětové škody jsou odhadovány v řádu stovek milionů eur ročně.

Jak spoofing technicky funguje

Historicky bylo volající číslo pevně svázané s konkrétní fyzickou linkou. S nástupem digitální telefonie a VoIP (volání přes internet) se ale číslo stalo jen jedním z datových parametrů v signalizaci hovoru.

A právě toho zneužívají útočníci.

VoIP a úprava CLI v signalizaci

• V prostředí VoIP se hovor navazuje pomocí protokolu SIP. Součástí signalizace je mimo jiné položka „From“ – tedy informace o volajícím čísle (CLI).
• Útočník použije softwarovou ústřednu nebo cloudovou telefonní službu, kde si v konfiguraci jednoduše nastaví, jaké číslo má být posíláno jako volající.
• Pokud navazující operátor číslo nijak neověří, přijme ho „tak, jak je“ a zobrazí ho na straně příjemce jako důvěryhodné CLI.

Proč je to tak snadné

• Levné a dostupné VoIP služby – stačí účet u poskytovatele, softphone nebo ústředna a útočník může volat odkudkoliv, typicky z call center v zahraničí.
• Nedostatečné ověřování CLI – ne všechny sítě důsledně kontrolují, zda je číslo, které se používá jako volající, skutečně přiřazené danému operátorovi nebo subjektu.
• Globální propojení sítí – hovor může projít přes několik transitních operátorů, což ztěžuje dohledání skutečného zdroje a prosazení jednotných pravidel.

Spoofing u SMS a dalších kanálů

Podobný princip funguje i u SMS zpráv. Odesílatel může místo klasického čísla použít textový identifikátor (např. „BankaXYZ“). Pokud útočník použije stejný identifikátor, zpráva se v telefonu snadno zařadí do historie pod stejnou konverzaci jako skutečné zprávy banky – což výrazně zvyšuje důvěryhodnost podvodu.

Spoofing existuje i v e-mailu (podvržení adresy odesílatele), doménách nebo webových stránkách, ale v kontextu telefonie se obvykle mluví konkrétně o spoofingu volajícího čísla (CLI).

Typické scénáře telefonního spoofingu

„Volá vám banka“ – vishing

Klasický scénář: na displeji svítí číslo banky nebo dokonce stejné číslo, ze kterého vám dříve opravdu volali. „Bankéř“ vám sdělí, že došlo k podezřelým transakcím a je nutné:

• okamžitě převést peníze na „bezpečný účet“,
• sdělit jednorázové SMS kódy nebo autorizační kódy z aplikace,
• nainstalovat „bezpečnostní“ aplikaci (ve skutečnosti nástroj pro vzdálený přístup k zařízení).

Ve skutečnosti jde o kombinaci spoofingu čísla a sociálního inženýrství (vishing – voice phishing).

Předstírání policie, úřadů a exekutorů

Další častý typ útoku využívá autoritu státních institucí:

• volající se představí jako policie, finanční úřad, soud nebo exekutorský úřad,
• argumentuje údajnou exekucí, dluhem, daňovým nedoplatkem nebo zablokováním účtu,
• vyvíjí časový tlak a vyhrožuje právními následky, pokud okamžitě neprovedete „nezbytný krok“.

Technická podpora a „opravy“

Útočník se může vydávat za technickou podporu operátora, výrobce telefonu nebo softwaru:

• tvrdí, že zaznamenal problém s vaším zařízením nebo účtem,
• nutí vás instalovat software pro vzdálený přístup,
• přesvědčí vás, abyste v internetovém bankovnictví „ověřili“ platby – ve skutečnosti je sami autorizujete.

Spoofing v kombinaci se SMS a e-mailem

Pokročilejší kampaně kombinují více kanálů:

• nejprve přijde falešná SMS „od banky“,
• následuje hovor ze „stejného“ čísla,
• útočník se odvolává na obsah SMS a působí ještě důvěryhodněji.

Rozsah problému a statistiky

Evropské policejní a regulační orgány se shodují, že spoofing je dnes jedním z hlavních nástrojů finančního podvodného jednání přes telefon a SMS.

Pozice Europolu z roku 2025 uvádí, že manipulace s Caller ID zásadně zvyšuje úspěšnost sociálně-inženýrských útoků a odhaduje globální škody kolem 850 milionů eur ročně, přičemž telefonní hovory a SMS tvoří přibližně 64 % nahlášených případů.

Například v Británii už fraud tvoří více než 40 % všech nahlášených trestných činů a jen v první polovině roku 2025 tam podvodníci odcizili stovky milionů liber. Podstatná část těchto podvodů přitom začíná telefonátem nebo SMS se spoofovaným číslem.

Jak na spoofing reagují operátoři a regulátoři

Blokace „nemožných“ hovorů a kontrola CLI

Řada evropských zemí zavedla pravidla, podle nichž musí operátoři blokovat podezřelé hovory – typicky ty, které přicházejí ze zahraničí, ale používají místní číslo (například českou pevnou linku nebo mobilní číslo).

Podobná opatření přijaly v roce 2024 i státy jako Belgie, Česko, Irsko, Malta nebo Švédsko.

Smyslem je zkomplikovat útočníkům možnost vydávat se za domácí subjekt, když ve skutečnosti volají z call center mimo EU.

STIR/SHAKEN a ověřování volajícího čísla

V některých zemích (zejména USA, Kanada a nově i Francie) se prosazuje rámec STIR/SHAKEN. Jde o soubor technických standardů, kdy operátor:

• k hovoru připojí digitální podpis potvrzující, že volající číslo patří tomu, kdo hovor skutečně zahajuje,
• na příchozí straně může druhý operátor podpis ověřit a rozhodnout, zda číslo zobrazit jako důvěryhodné, varovat uživatele nebo hovor zablokovat.

Ve Francii je nasazení STIR/SHAKEN pro operátory povinné a od roku 2024 postupně přecházejí i k blokování neověřených hovorů, byž s velkou pravděpodobností ani tento framework zcela nezamezí podvodům s podvrháváním čísla.

Evropský přístup a výzvy Europolu

Evropské prostředí je složitější kvůli velkému počtu států a operátorů.

Europol v roce 2025 jasně apeluje na potřebu jednotných technických standardů pro ověřování CLI, lepší sdílení dat mezi operátory a posílení přeshraniční spolupráce při vyšetřování spoofingových kampaní.

Nové iniciativy a role umělé inteligence

Vedle ověřování CLI se stále více prosazuje analýza provozu v reálném čase. Operátoři a bezpečnostní týmy využívají strojové účení a AI:

• k rozpoznání typických vzorců podvodných kampaní,
• k automatickému blokování čísel, která se chovají podezřele,
• k přesnějšímu trasování podvodných hovorů a sdílení informací s policií.

Ale nutno dodat, že stejně tak využívají strojové učení a AI také podvodníci/spoofeři, aby všechny tyto bezpečnostní mechanismy obešli.

Jak se může bránit běžný uživatel

1. Číslo na displeji není důkaz

Základní pravidlo: to, že vidíte číslo banky, policie nebo úřadu, neznamená, že vám skutečně volají oni. Útočníci vědomě používají spoofing právě proto, aby obešli přirozenou nedůvěru k neznámým číslům.

2. Nikdy nediktujte kódy a nepřevádějte peníze na „bezpečné účty“

• banky po telefonu nechtějí autorizační kódy, PINy ani hesla,
• nikdo legitimní vás nebude nutit k okamžitému převodu peněz „na ochranu účtu“,
• nainstalování „bezpečnostní“ aplikace na žádost volajícího je téměř jistý červený praporek.

3. Zavěsit a ověřit z jiného kanálu

Pokud máte jakékoliv pochybnosti:

• hovor slušně ukončete,
• číslo si ověřte na oficiálním webu banky, policie nebo úřadu,
• zavolejte zpět na oficiální číslo – ne na číslo z SMS nebo e-mailu.

4. Využít blokování a filtraci hovorů

Moderní telefony a některé aplikace umožňují:

• blokovat zjevně podezřelá čísla,
• filtrovat hromadné a spamové hovory,
• označovat podvodné číslo, aby se informace promítla i ostatním uživatelům (crowdsourcing).

Je ale dobré mít na paměti, že kvůli spoofingu může útočník použít pokaždé jiné číslo – blokování proto není samospásné.

Co mohou dělat firmy a call centra

Technická opatření

• Spolupracovat s operátory, kteří podporují pokročilou ochranu proti spoofingu – ověřování CLI, STIR/SHAKEN tam, kde je to možné, a další anti-fraud mechanismy.
• Monitorovat, jestli někdo mimo firmu nepoužívá jejich čísla – při podezření kontaktovat operátora a policii.
• V zemích, kde existují tzv. „do-not-originate“ registry, zapsat čísla, která nikdy nemají být používaná pro odchozí hovory (například jen pro příjem).

Komunikace se zákazníky

• jasně na webu popsat, jakým způsobem firma s klienty po telefonu komunikuje (co nikdy nepožaduje, jaké informace si nevyžaduje),
• při větších kampaních předem oznámit, že bude probíhat telefonické kontaktování klientů a z jakých čísel,
• při nahlášení podvodného hovoru reagovat, informovat další klienty a spolupracovat s policií.

Shrnutí – co si z tématu spoofingu odnést

• Spoofing = podvržení volajícího čísla. Díky VoIP už není číslo na displeji spolehlivý identifikátor volajícího.
• Útočníci cílí na důvěru v autoritu. Vydávají se za banky, policii, úřady nebo technickou podporu a kombinují spoofing s psychologickým nátlakem.
• Regulátoři a operátoři přitvrzují. Zavádějí blokování „nemožných“ hovorů, ověřování CLI a nové technické standardy – ale problém tím zatím zcela nezmizel.
• Nejdůležitější je chování uživatelů. Nediktovat kódy, nevěřit slepě číslu na displeji, vždy si hovor ověřit jiným kanálem.
• Firmy mají odpovědnost informovat klienty. Jasná pravidla telefonické komunikace a rychlá reakce na incidenty výrazně snižují úspěšnost útoků.