Nakupování na e-shopech už není tak bezpečné. Neviditelný virus krade údaje z karty přímo při placení a nikdo ho neodhalí

V roce 2025 zůstalo aktivních přes 10 500 infikovaných e-shopů po celém světě. Škodlivý kód na jejich platebních stránkách tiše sbíral údaje z karet.

Zdroj fotografie: Pexels

Představte si, že nakoupíte v ověřeném internetovém obchodě. Stránka vypadá normálně, zámek v adresním řádku svítí, platba proběhne bez chyby. Jenže v okamžiku, kdy jste zadali číslo karty, datum expirace a bezpečnostní kód, zkopíroval si je někdo jiný. Ne proto, že byste klikli na podvodný odkaz nebo stáhli zavirovaný soubor. Problém nebyl ve vašem počítači ani v telefonu. Byl přímo v e-shopu, v několika řádcích kódu, které tam neměly co dělat. Říká se tomu digitální skimming a podle analytiků z Recorded Future se v roce 2024 týkal téměř 11 000 unikátních domén e-commerce. Odhad kompromitovaných transakcí? Minimálně 23,4 milionu.

Jak „neviditelný virus“ vlastně funguje

Označení virus je trochu zavádějící. Digitální skimming neznamená, že se vám do notebooku nebo mobilu dostal malware. Škodlivý JavaScript je vložený přímo do zdrojového kódu platebních stránek e-shopu nebo do některé z externích komponent, které obchod používá: chatbotu, analytického skriptu či pluginu nákupního košíku. Když zákazník vyplní platební formulář, hodnoty z polí se zkopírují a odešlou na server útočníka. Objednávka přitom projde, zboží dorazí a nic nenasvědčuje tomu, že se cokoli stalo.

Mastercard popisuje mechanismus přímočaře: útočníci „vkládají své instrukce do zdrojového kódu stránek“ a data odcházejí při dokončování nákupu. Zákazník nemá šanci něco poznat. E-shop? Ten často také ne, škodlivý kód bývá obfuskovaný, maskovaný za legitimní analytický objekt nebo schovaný v knihovně třetí strany. Podle analýzy RiskRecon instalují provozovatelé webů bezpečnostní záplaty v průměru až po devíti měsících. Některé obchody si infekce nevšimly celé roky.

Nejde o okrajový problém

Čísla mluví jasně. Mastercard ve své analýze za rok 2022 uvádí, že 72 % veřejně oznámených úniků platebních dat souviselo právě s digitálním skimmingem. Počet nových infekcí tehdy vyskočil o 12 %. A trend neklesá; zpráva Recorded Future za rok 2025 dokumentuje přes 10 500 aktivních infekcí, a to i přesto, že v březnu 2025 vstoupily v platnost nové požadavky bezpečnostního standardu PCI DSS 4.0.1, cílené právě na ochranu platebních stránek. Samo odvětví tím přiznalo závažnost problému. Jenže efekt zatím vidět není.

Kdo si myslí, že se to týká jen malých neznámých obchůdků, mýlí se. Mezi veřejně známé oběti patří Ticketmaster UK, kde kompromitovaný chatbot na platební stránce zasáhl 9,4 milionu zákazníků, i British Airways s desítkami tisíc postižených. Útok přes jednu třetí stranu může roznést škodlivý kód na několik webů najednou. Pověst obchodu přestala být zárukou.

Kdy se dozvíte, že vám ukradli údaje z karty

Tady je možná nejnepříjemnější zjištění: mezi krádeží dat a prvním podvodným stržením z účtu uplyne podle Mastercardu v průměru pět měsíců. Ukradené údaje totiž projdou vlastním „životním cyklem“: útočník nejprve ověří, jestli karta funguje, pak ji nabídne na nelegálním tržišti, někdo jiný ji koupí a teprve potom začne utrácet. Karty použité u infikovaného obchodníka jsou o 31 % náchylnější k následnému zneužití.

První varovné signály na výpisu bývají nenápadné. Drobná testovací platba, třeba 20 korun u neznámého obchodníka. Transakce v zemi, kde jste nikdy nenakupovali. Teprve pak přijdou větší částky. Kdo nekontroluje výpisy pravidelně, může přijít o peníze, aniž by si měsíce čehokoli všiml.

Co dělat, když k tomu dojde, a jak se chránit předem

Pokud na výpisu najdete podezřelou transakci, postup je jednoznačný:

• Okamžitě kartu zablokujte – v mobilní aplikaci banky to zvládnete za vteřiny.
• Zavolejte bance a nahlaste neautorizovanou transakci.
• Podejte reklamaci – Česká spořitelna ji přijímá přes George, telefonicky i na pobočce; Komerční banka nabízí obdobný postup včetně chargebacku.

Český zákon o platebním styku stanoví, že banka musí napravit stav nejpozději do konce následujícího pracovního dne po oznámení. Spoluúčast klienta je omezena na ekvivalent 50 eur; pozor ale na to, že pokud zákazník sám potvrdí podvodně vyvolanou transakci prostřednictvím silného ověření, může nést ztrátu v plném rozsahu, jak upozorňuje ČNB. Kdo neuspěje u banky, může se obrátit na finančního arbitra.

Prevence? Žádný stoprocentní štít neexistuje, ale pár kroků riziko výrazně snižuje:

• Zapněte si oznámení o každé transakci, uvidíte i testovací platbu za 20 korun.
• Pro online nákupy používejte vyhrazenou kartu s nižším limitem.
• Mezi nákupy kartu v aplikaci zamykejte.
• Pravidelně kontrolujte výpisy, i ty starší.

Proč je digitální skimming zákeřnější než phishing

Phishing potřebuje vaši spolupráci – musíte kliknout na odkaz, vyplnit formulář, uvěřit falešné zprávě. Digitální skimming nic takového nepotřebuje. Stačí zaplatit kartou na napadeném e-shopu. Nemusíte udělat jedinou chybu ani být neopatrní. Útok běží na straně obchodu, v prohlížeči, v kódu, který nemáte šanci vidět.

Právě proto je podle nás digitální skimming v tuto chvíli nejpodceňovanější hrozbou online nakupování. Ne proto, že by způsobil největší škody – phishing zůstává širší kategorií. Ale proto, že boří jednu základní iluzi: že když nakoupíte u známého a ověřeného obchodu, jste v bezpečí. Nejste. Bezpečnost online platby dnes nestojí jen na důvěře v obchod, ale na celém neviditelném řetězci jeho skriptů, pluginů a dodavatelů. Ten řetězec kontroluje málokdo.