Ukrajinsko-český gang okradl lidi o 123 milionů Kč. Přes falešnou Zásilkovnu a DPD

Organizovaná skupina s vazbami na Ukrajinu i Česko provozovala falešné weby přepravců jako průmyslovou linku na krádeže bankovních identit.

Zdroj fotografie: Krokodýl / Creative Commons / CC BY

Představte si, že na Bazoši prodáváte starý telefon. Ozve se kupující, projeví zájem, přesune se konverzace na WhatsApp a pošle odkaz: „Platbu jsem zadal přes Zásilkovnu, potvrzeno si převzetí peněz.“ Stránka vypadá přesně jako web Zásilkovny: logo, barvy, rozvržení. Jenže ve chvíli, kdy zadáte účetní údaje do banky, abyste si „ověřili příjem platby“, předáváte klíče od účtu někomu v call centru stovky kilometrů daleko. Přesně takhle fungovaly operace se společnými krycími názvy RIP a VICTORY, které česká policie s ukrajinskými kolegy rozkrývala od roku 2021.

Jak přesně gang útočil krok za krokem

Pachatelé si vybírali oběti (interně je označovali ruskojazyčným slangem „mamut“) přímo na inzertních platformách typu Bazoš, Vinted, Sbazar nebo Facebook Marketplace. Kontaktovali prodejce, rychle ho stáhli mimo platformu do WhatsAppu nebo e-mailu a odeslali odkaz na phishingovou stránku, která napodobovala DPD, Zásilkovnu nebo Českou poštu.

Stránka vyžadovala údaje potřebné k „přijetí plateb“: číslo karty, CVV kód, přihlášení do internetového bankovnictví, někdy i autorizační SMS kód. Hned oběť údaje vyplnila, operátoři na druhé straně v reálném čase převzali kontrolu nad účtem. Peníze pak odtékaly přes služby Revolut, TransferGo a NovaPay na zahraniční účty, část byla konvertována do kryptoměn.

Nešlo o amatérský phishing. Bezpečnostní firma ESET, která na případu spolupracovala s Policií ČR, popsala celý telegramový ekosystém nástrojů budovaný nejméně od roku 2015, se šablonami, falešnými screenshoty plateb, QR kódy a znalostními manuály pro „operátory“, kteří oběti vedli konverzaci podle scénáře.

123 milionů korun ve dvou větvích

Celková škoda se skládá ze dvou samostatných, ale metodicky příbuzných operací. U větve RIP policie vyčíslila nejméně 100 milionů korun. U menší větve VICTORY šlo o téměř milion amerických dolarů, tedy zhruba 23 milionů korun. Dohromady přes 123 milionů.

Veřejně známý detailní rozpad podle států policie nezveřejnila. Tisková zpráva Policie ČR ze 6. prosince 2023 mluví o „velkém množství poškozených“ z Česka i dalších zemí EU. U větve VICTORY ukrajinské zdroje později doložily nejméně 19 českých obětí se škodou téměř 1,5 milionu hřiven. Skutečný počet zasažených lidí je podle všeho výrazně vyšší, řada obětí bazarových podvodů totiž vůbec nehlásí.

Podle šéfa Národního centra proti terorismu a kybernetické kriminalitě Břetislava Brejchy vedla jednu z větví skupiny žena z Česka. Ta se stala spolupracující obviněnou, uzavřela dohodu o vině a trestu v rámci přípravného řízení uhradila škodu poškozenému u skutků, pro kterou byla stíhána. Pro ostatní poškozené ale automatická náhrada neexistuje.

Zásahy na Ukrajině a cesta k obžalobě

Vyšetřování probíhalo v rámci společného vyšetřovacího týmu pod záštitou Eurojustu. Čeští kriminalisté byli přítomni při realizačních fázích přímo na Ukrajině, v březnu 2023 u větve RIP a v září 2023 u větve VICTORY, kdy proběhlo 29 domovních prohlídek a zadržení klíčových organizátorů.

Případ ale neskončil prosincovou tiskovou zprávou. V lednu 2024 ukrajinská policie provedla druhou vlnu zásahů, 12 dalších prohlídek v Kyjevě a Dněpropetrovské oblasti. A v červenci 2025 kyjevská policie oznámila, že obžaloba na 14 osob z větve VICTORY byla odeslána k soudu. Vyšetřování komplikovalo přeshraniční rozměr, obrovský objem elektronických důkazů i fakt, že spolupráce s ukrajinskými orgány probíhala v době ruské agrese.

Jak falešnou Zásilkovnu nebo DPD poznat

Síla tohoto podvodu spočívala v tom, že zneužíval důvěru v přepravce, kterou Češi používají denně. Obě firmy proto zveřejnily konkrétní rozlišovací znaky:

• DPD komunikuje výhradně z domén dpd.cz a dpd.com, e-maily končí na @dpd.cz nebo @dpd.com. Nikdy nezprostředkovává prodej zboží třetím stranám.
• Zásilkovna uvádí jako jedinou oficiální doménu www.zasilkovna.cz, maily končí na @zasilkovna.cz nebo @packeta.com. Výslovně říká, že „platba přes Zásilkovnu“ za prodej zboží na bazaru je podvod.
• Žádná přepravce po prodejci nechce číslo karty, CVV, zůstatek na účtu ani přihlášení do banky kvůli „přijetí plateb“.

Pokud jste podobný odkaz v minulosti použili a zadali bankovní údaje, ČNB i Policie ČR doporučují okamžitě kontaktovat banku, zablokovat internetové bankovnictví i platební kartu, uložit screenshoty komunikace a podat oznámení na policii. Rozhoduje rychlost, každá minuta mezi zadáním údajů a blokací účtu je minuta, kterou má útočník k dispozici.

Operace RIP a VICTORY ukázaly, že „podvod na bazaru“ dávno není práce osamělého podvodníka s gramatickými chybami. Je to průmysl s call centrem, kodéry, šablonami a mezinárodní logistikou peněz. Čtrnáct obviněných teď čeká soud na Ukrajině. Tisíce prodávajících na českých bazarech ale každý den dostávají zprávy, které vypadají úplně stejně.