Stačí jedna přeposlaná SMS a váš WhatsApp čte někdo cizí. Útok poprvé zachytili právě v Česku
Technika zvaná GhostPairing umožňuje útočníkovi tiše připojit své zařízení k vašemu WhatsApp účtu. První zdokumentované případy se objevily v Česku.
Obsah článku
V prosinci 2025 publikovala bezpečnostní firma Gen Digital výzkumný report, ve kterém popsala nový typ útoku na WhatsApp. Nepojmenovala ho podle žádné sofistikované zranitelnosti v šifrování, protože žádná taková není. GhostPairing stojí na něčem mnohem banálnějším: na tom, že uživatel sám schválí připojení cizího zařízení ke svému účtu. Stačí k tomu jeden přeposlaný kód nebo jedno bezmyšlenkovité kliknutí. A nejstarší známé případy tohoto útoku Gen zaznamenala právě v Česku.
Dvě cesty, jak přijít o účet
Než se ponoříme do toho, jak GhostPairing funguje, je potřeba rozlišit dva scénáře, které se často směšují.
Klasické převzetí přes SMS kód. Útočník se pokusí zaregistrovat vaše telefonní číslo na svém zařízení. WhatsApp vám pošle šestimístný ověřovací kód. Pokud ho přepošlete, třeba proto, že vás o to „kamarád“ požádal s věrohodnou záminkou, útočník si vaše číslo přeregistruje a vy se z WhatsAppu odhlásíte. Tohle je ta „jedna přeposlaná SMS“ v nejpřímočařejší podobě. Poznáte to okamžitě, protože přijdete o přístup.
GhostPairing přes Linked Devices. Tady je to zákeřnější. Útočník nepotřebuje převzít celý účet. Místo toho vás přiměje, abyste na svém telefonu schválili jeho zařízení jako další důvěryhodné, přes funkci „Propojená zařízení“. Vy zůstanete normálně přihlášení. Telefon funguje dál. Žádný alarm, žádný výpadek. Jenže na pozadí útočníkův prohlížeč nebo počítač tiše synchronizuje vaše konverzace, čte nové zprávy v reálném čase, stahuje média a může psát vašim kontaktům vaším jménem.
Právě tato druhá varianta je jádrem toho, co Gen nazvala GhostPairing. A právě proto je tak nebezpečná, ne rychlostí, ale tichem.
Jak útok probíhá a proč na něj lidé naletí
Scénář, který Gen zdokumentovala, vypadá takto: přijde vám zpráva od známého kontaktu. Něco jako „Hele, našel jsem tvoji fotku!“ s odkazem. Kliknete. Stránka vypadá jako Facebook, žádá „ověření“. Ve skutečnosti vás ale navede k tomu, abyste ve WhatsAppu zadali párovací kód, číselný kód, který WhatsApp generuje pro připojení nového zařízení přes funkci Linked Devices.
Klíčový detail: zpráva nepřichází od neznámého čísla. Přichází od člověka, kterého znáte, jehož účet už byl kompromitován dříve. Důvěra v odesílatele je zbraň.
V únoru 2026 bezpečnostní firma Whalebone sledovala masivní evropskou vlnu téhož principu. Návnada se změnila, místo „fotky“ šlo o prosbu „Můžeš prosím hlasovat pro Alexandru v taneční soutěži?“, často s příběhem o stipendiu. Whalebone identifikoval a zablokoval přes 200 phishingových domén ve více než 15 zemích. Z již unesených účtů pak útočníci rozesílali dalším kontaktům i žádosti o krátkodobou půjčku. Řetězová reakce postavená na sociální důvěře.
Proč to WhatsApp vůbec dovolí tak snadno? Protože jednoduchost párování zařízení je součást pohodlí, kvůli kterému lidé službu používají. Jeden účet na telefonu, webu i desktopu s minimálním třením. Jenže totéž minimální tření využívá útočník. Stačí jeden roztržitý okamžik.
Česká stopa a reakce Mety
Gen Digital ve svém reportu výslovně uvádí, že nejstarší zdokumentované případy GhostPairingu pocházejí z Česka. Přesné město ani region nezveřejnila, a z veřejných zdrojů se je nepodařilo dohledat. Na útoku přitom není nic jazykově ani technicky vázaného na češtinu; stejnou šablonu lze přepsat pro libovolnou zemi. Že to bylo zachyceno nejdřív tady, může být otázka distribuce detekčních nástrojů Gen stejně jako otázka cílení útočníků.
Důležitější je reakce platformy. Meta 11. března 2026 oznámila nové bezpečnostní prvky pro WhatsApp, mimo jiné varování, která se zobrazí při podezřelých požadavcích na propojení zařízení. Jako modelový příklad podvodu popsala prakticky identický vzorec: soutěž, hlasování, telefonní číslo a párovací kód. Termín GhostPairing Meta nepoužila, ale shoda je zřejmá. Původní párovací flow evidentně potřebovalo silnější záchrannou brzdu.
Co zkontrolovat teď a co zapnout hned
Kontrola trvá třicet sekund:
- iPhone: Nastavení → Propojená zařízení
- Android: tři tečky vpravo nahoře → Propojená zařízení
Uvidíte seznam všech aktuálně připojených zařízení a prohlížečů. Pokud tam je cokoliv, co nepoznáváte (notebook, který nevlastníte, prohlížeč, který nepoužíváte), odpojte to. Okamžitě. Ideálně odhlaste všechna propojená zařízení a znovu připojte jen ta svá.
Dvoufázové ověření (Nastavení → Účet → Dvoufázové ověření → Zapnout) výrazně pomáhá proti klasickému převzetí účtu přes SMS kód. Ale pozor: proti GhostPairingu samotnému nestačí. Jak upozorňuje ESET, párovací kód je v daném flow WhatsAppem považován za dostatečný důkaz identity, dvoufázový PIN se při něm nevyžaduje. Nejúčinnější obrana je tedy jednoduchá a netechnická: nikdy nezadávejte párovací kód na základě odkazu, který vám poslal někdo jiný. Ani kamarád. Ani rodina. Zvlášť pokud vás o to žádají přes chat.
Proč je GhostPairing jiný než útoky, na které jsme zvyklí
Většina lidí si pod „hacknutým WhatsAppem“ představí, že přijdou o přístup. Telefon přestane fungovat, přijde panika, volá se operátorovi. GhostPairing je opak. Nic se neděje. Telefon funguje. Zprávy chodí. Jen je čte ještě někdo další.
Pro srovnání: Signal páruje sekundární zařízení výhradně přes QR kód, který musíte fyzicky naskenovat, číselný kód nenabízí. To dává proti tomuto konkrétnímu triku určitou výhodu. Telegram má zase zcela jinou architekturu, kde jsou cloudové chaty dostupné na více zařízeních současně po přihlášení přes telefonní číslo. Nejde o jednoduchý žebříček bezpečnosti, každá platforma má jiný kompromis mezi pohodlím a ochranou.
Nejslabším místem celého řetězce není šifra, není to protokol, není to ani WhatsApp jako takový. Je to ten zlomek sekundy, kdy člověk automaticky potvrdí něco, co vypadá jako běžné ověření. GhostPairing na tohle sází. A dokud budeme kódy přeposílat dřív, než se zamyslíme, bude fungovat.