Připojování na veřejné Wi-Fi sítě – hrozba nebo strašení?

Bez VPN se nepřipojujte k žádné veřejné Wi-Fi! Vyhýbejte se provádění bankovních transakcí na veřejných sítích – zejména na letištích! Útočník vám může odcizit přihlašovací údaje nebo sledovat vaši komunikaci! Opravdu je to tak?

27. 6. 2025 Dávid Magušin Hrozby

S těmito hrozbami (nebo strašením?) jste se už určitě setkali v desítkách článků, které každoročně kolují internetem před dovolenkovou sezónou. Je to ale opravdu tak, že pokud útočník vytvoří falešnou Wi-Fi, vidí všechno, co na internetu děláte, a dokáže dokonce ukrást vaše bankovní nebo přihlašovací údaje? Právě o tom je tento článek, kde si vše uvedeme na pravou míru.
Postupně si rozebereme tři nejčastější mýty spojené s připojováním na veřejné Wi-Fi a ukážeme vám, jaká je realita. A jako bonus jsme pro vás v praxi otestovali, co může útočník vidět, když vytvoří falešnou Wi-Fi síť a vy se připojíte.

Mýtus 1


Na veřejné Wi-Fi vidí útočník všechno, co děláte.

Realita: Pokud jste na legitimní stránce, která používá protokol HTTPS (poznáte podle „https://“ v adrese a také podle nápisu „Připojení je zabezpečené“, který se zobrazí po kliknutí na ikonu vedle adresního řádku), vaše komunikace se serverem je šifrovaná – to znamená, že útočník nevidí obsah stránky, texty, hesla ani údaje, které zadáváte. Přesto ale může vidět některé informace „zvenčí“, jako například:

  • na jakou doménu se připojujete (např. google.com),
  • kdy a jak velké množství dat posíláte a přijímáte,
  • nebo technické informace o vašem zařízení.

Naopak nemůže vidět:

  • obsah navštívené stránky (texty, obrázky, formuláře),
  • hesla a osobní údaje z formulářů,
  • zprávy, přihlašovací tokeny apod.

Většina českých webů dnes používá HTTPS, takže se s nezabezpečenými stránkami setkáte jen výjimečně. V zahraničí ale zabezpečení často chybí. Proto doporučujeme být při cestování obezřetní a věnovat pozornost tomu, na jaké stránky se připojujete.

Shrnutí: Pokud navštěvujete legitimní stránku s HTTPS vaše komunikace je šifrovaná, takže útočník nevidí obsah stránky, vaše hesla ani osobní údaje, které zadáváte. Přesto může sledovat některé informace, jako je webová adresa stránky, kterou navštěvujete, a některé technické detaily o vašem zařízení. V Česku je HTTPS více méně standardem, ale v zahraničí to nemusí být vždy samozřejmé.

Mýtus 2


Nikdy nevykonávejte finanční transakce přes veřejnou Wi-Fi – útočník vás může snadno přesměrovat na svou podvodnou stránku.

Realita: Za prvé, většina lidí provádí bankovní transakce přes oficiální aplikaci banky. Bankovní aplikace jsou navrženy tak, aby byly bezpečné i při používání na nezabezpečených veřejných sítích, například na Wi-Fi v kavárně nebo na letišti. Používají silné šifrování, které chrání vaše data během přenosu, a často mají další bezpečnostní vrstvy, jako je ověřování uživatele a kontrola certifikátů. To však platí pouze v případě, že používáte oficiální bankovní aplikaci staženou z důvěryhodného zdroje (Google Play, App Store) a že máte své zařízení pravidelně aktualizované — aktualizace totiž často opravují bezpečnostní chyby.

Za druhé, téměř totéž platí i v případě, že přistupujete ke svému internetovému bankovnictví přes webový prohlížeč nebo navštěvujete jakýkoli jiný web s HTTPS.
Možná jste v článcích narazili na tvrzení, že i když zadáte správnou adresu webové stránky, útočník vás na veřejné Wi-Fi síti může přesměrovat na falešnou stránku a zjistit všechny údaje, které tam zadáte. Ve skutečnosti to pro něj ale vůbec není tak jednoduché. Jak to může vypadat? Podívejte se na následující příklad. 

Příklad

  • Představte si, že jste připojeni na útočníkovu Wi-Fi, otevřete prohlížeč a zadáte adresu csob.cz.
  • Útočník se vás pak může pokusit poslat na stránku cs0b.cz (místo písmena „o“ je nula).
  • Pokud ale web používá HTTPS, váš prohlížeč dokáže zkontrolovat, jestli certifikát, který stránka předkládá, patří právě té doméně, kterou jste chtěli navštívit. Pokud tomu tak není, prohlížeč vás upozorní varováním – například hláškou „Vaše připojení není soukromé“.
  • Toto varování neignorujte a v žádném případě neklikejte na možnostPokračovat na csob.cz“. Ocitli byste se na phishingové stránce. Také se odpojte z Wi-Fi sítě, protože ji ovládá útočník, který se vás snaží přesměrovat na podvodnou stránku a zachytit citlivá data, jako jsou přihlašovací údaje, čísla kreditních karet a podobně.

⚠️ Jiná situace nastává, pokud zadáte špatnou adresu sami nebo kliknete na odkaz v podvodném e-mailu či SMS – například na již zmíněnou cs0b.cz místo csob.cz. Tato doména může být zaregistrovaná útočníkem, může mít platný HTTPS certifikát a vizuálně napodobovat originál. V takovém případě vás prohlížeč nevaruje – protože technicky je vše v pořádku, jen jste na špatné stránce. Jak takový útok odhalit se dozvíte v našem kurzu Kyberkompas.​

Shrnutí: Pokud používáte internetové bankovnictví přes webový prohlížeč a navštěvujete stránky zabezpečené HTTPS, prohlížeč vás chrání před přesměrováním na falešné servery tím, že při problémech s certifikátem zobrazí varování. Největší riziko však hrozí v okamžiku, kdy uživatel sám navštíví falešnou adresu – například kliknutím na phishingový odkaz v e-mailu nebo SMS, nebo když se dostane na web bez zabezpečení HTTPS (tedy pouze HTTP). Proto je vždy důležité důkladně kontrolovat celou adresu v prohlížeči, nejen ikonku zámku. Více o tom, jak se chránit před phishingovými útoky, se dozvíte v našem kurzu Kyberkompas v modulu Phishing.

Mýtus 3


VPN je jediná ochrana na veřejné Wi-Fi.

Realita: VPN je velmi užitečný nástroj, ale není jediným způsobem, jak se chránit. Šifruje veškerý datový provoz mezi vaším zařízením a VPN serverem, takže útočník na stejné Wi-Fi nevidí obsah komunikace, ani metadata – jaký web navštěvujete, kdy, kolik dat přenášíte atd. To výrazně zvyšuje bezpečnost, zejména při prohlížení nezabezpečených (HTTP) webů.

Díky VPN se také chráníte proti útokům na DNS (např. DNS spoofing). Místo toho, aby váš telefon nebo počítač posílal dotazy na webové adresy přes místní síť, kterou může útočník ovládat, posílá je přes VPN server přes zabezpečené spojení. Tím znemožníte útočníkovi, aby vás přesměroval na falešnou stránku změnou DNS odpovědi.

Ale i bez VPN se můžete chránit:

  • Návštěvou HTTPS webů, které šifrují komunikaci mezi vámi a webovou stránkou​ – útočník tak nevidí, co na stránce děláte ani co zadáváte (pozor – to platí pouze u legitimních stránek; podvodná stránka může mít také HTTPS a platný certifikát, jak uvádíme u Mýtu 2). Pokud by vás útočník chtěl přesměrovat na falešný web, prohlížeč vás na to upozorní. Není pravda, že vás ochrání pouze VPN.
  • Pravidelnými aktualizacemi operačního systému, prohlížeče a aplikací, které opravují bezpečnostní chyby zneužitelné útočníky.
  • Obezřetností – dávejte pozor, kam klikáte, a vždy si zkontrolujte adresu v prohlížeči. Například že jste opravdu na „facebook.com“ a ne na podvodné adrese „facepook.com“.
  • Používáním oficiálních aplikací – například bankovní aplikace jsou navržené tak, aby fungovaly bezpečně i bez VPN.
  • A pokud byste chtěli VPN využívat, Masarykova univerzita ji nabízí studentům i zaměstnancům zdarma. Nastavit si ji můžete jednoduše podle návodu zde: https://it.muni.cz/sluzby/eduvpn

Shrnutí: VPN je silný bezpečnostní nástroj, zejména při prohlížení nezabezpečených (HTTP) webů, a chrání vás například před útokem na DNS. Připojení přes HTTPS už poskytuje silnou ochranu a používání oficiálních (zabezpečených) aplikací je bezpečné i na veřejných sítích. Ale ani VPN vás neochrání před podvodnými stránkami, pokud například kliknete na phishingový odkaz z e-mailu nebo SMS. Pokud vás více zajímá zabezpečená komunikace na internetu, projděte si modul Bezpečné připojení v našem kurzu Kyberkompas.

Na co si dát ještě pozor?

Pozor na falešné přihlašovací stránky Wi-Fi (tzv. captive portály)

Při připojení k veřejné Wi-Fi se často objeví přihlašovací stránka, kde je třeba odsouhlasit podmínky připojení. Tento mechanismus se nazývá captive portal. Útočník ale může vytvořit falešný portál, který se tváří jako oficiální stránka (např. Starbucks, Facebook nebo poskytovatel Wi-Fi), ale ve skutečnosti slouží ke sběru údajů nebo šíření škodlivého kódu.

Jak se chránit:

  • Nikdy nezadávejte hesla ke svým osobním účtům (například do Google, Facebooku nebo jiných online služeb) na stránkách, které se automaticky otevřou po připojení k Wi-Fi. Legitimní přihlašovací portály veřejných sítí mohou někdy požadovat vaši e-mailovou adresu nebo souhlas s podmínkami, ale nikdy nevyžadují přihlášení do vašich osobních účtů.
  • Zkontrolujte adresu v prohlížeči – pokud vidíte podezřelou nebo zkrácenou doménu (např. freewifi-login.com, go0gle-login.net), raději Wi-Fi nepoužívejte.
  • Neinstalujte žádné „potřebné doplňky“ nebo aplikace, které vám podstrčí captive portál. Žádná běžná Wi-Fi nevyžaduje stahování softwaru.
  • Buďte obezřetní – pokud captive portál vypadá jinak než obvykle, raději Wi-Fi hned opusťte.

Slovo závěrem

Veřejné Wi-Fi sítě samy o sobě nejsou automaticky nebezpečné, ale riziko vzrůstá, pokud ignorujete důležitá varování v prohlížeči nebo nevěnujete pozornost bezpečnostním signálům. Mnoho varování, která kolem veřejných Wi-Fi sítí kolují, vychází z reálných možností útoků — ale často jsou prezentována přehnaně. Dnešní moderní zařízení, aplikace i webové prohlížeče mají celou řadu bezpečnostních prvků. VPN je výborný doplněk ochrany, ale není všemocná — do značné míry vás chrání samotné připojení na HTTPS weby, a ani VPN vás neochrání před vaší vlastní nepozorností (phishingem).

Pokud vás zajímá více z kyberbezpečnosti, projděte si některý z našich kurzů, přihlaste se na školení nebo mrkněte na další zajímavé články. 

Bonus pro zvědavé: rozdíl mezi HTTP a HTTPS

V rámci experimentu jsme si založili vlastní Wi-Fi síť a připojili se k ní. Zároveň jsme si vytvořili webovou stránku s registračním formulářem – nejdříve bez certifikátu (tedy přes HTTP), a později jsme na stránku nainstalovali certifikát, takže fungovala přes HTTPS. Pomocí programu pro monitorování a analýzu síťového provozu jsme sledovali data, která mezi naším zařízením a internetem putovala. Podívejte se níže v rozbalovacích boxech, jak to vypadalo.

HTTP

Když jsme navštívili stránku bez HTTPS na adrese nocvedcu.csirt.muni.cz, prohlížeč okamžitě zobrazil přeškrtnutý zámek. Po kliknutí na něj se objevilo upozornění, že spojení není zabezpečené.

Následně jsme na stránce vyplnili a odeslali registrační formulář. Co viděl správce sítě (tedy potenciální útočník)? Hodně! Viděl nejen to, jakou stránku jsme navštívili, ale i všechny údaje, které jsme do formuláře zadali – jméno, heslo, e-mailovou adresu, datum a čas odeslání. Navíc dokázal zjistit i technické informace, jako je typ a verze prohlížeče, operační systém a další údaje, které jsou součástí tzv. User agent.

HTTPS

Poté jsme stránku zabezpečili certifikátem, takže fungovala přes HTTPS. Stejný formulář jsme vyplnili a odeslali znovu.

Co viděl správce sítě teď? Téměř nic! Komunikace byla šifrovaná, takže místo čitelných dat viděl jen nesmyslnou posloupnost znaků, které nelze nijak rozluštit. Jediné, co bylo vidět, byla IP adresa zařízení a adresa navštívené webové stránky.

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info