„Kamarád mi poslal na WhatsApp fotku, o kterou jsem nežádal. Pak se mě ptal, proč ji já posílám jemu,“ říká zmatený Jakub

Jakubovi přišla zpráva od blízkého kamaráda, která se týkala nalezení jeho fotky na internetu. Když rozklikl odkaz k fotce, stalo se něco, co nečekal.

Zdroj fotografie: Lukáš Altman (Mobify.cz) a WhatsApp

Osmadvacetiletý Jakub dostal jednoho dne zprávu na WhatsAppu od svého kamaráda. Napsal mu, že našel jeho fotografii, ať se podívá. Kliknul proto na odkaz, dostal se na „Facebook“, zadal údaje, co po něm stránka chtěla, ale nic se nestalo, minimálně na první pohled, popsal redakci Mobify. Fotka nikde, tak odkaz opět zavře, jenže mezitím začal někdo jeho údaje zneužívat dál. A zprávu, jakou dostal on sám, teď nevědomky rozesílá dalším kontaktům.

Dostane zprávu ohledně fotografie, o chvíli později ji posílá sám

Jakub večer leží na gauči a bezmyšlenkovitě projíždí WhatsApp, když mu najednou přijde zpráva od kamaráda: „Ahoj, našel jsem tvoji fotku.“ Nepřijde mu to divné, a tak na odkaz bez váhání klikne. Otevře se stránka, která vypadá jako Facebook, a vyzve ho k ověření. Zadá své telefonní číslo, přijde mu kód, který okamžitě vyplní… a tím to pro něj končí. Žádná fotka se ale neukáže.

Mezitím se však někde jinde jeho účet právě otevřel na cizím zařízení. Útočník má přístup ke všemu – jeho zprávám, kontaktům i soukromým konverzacím. A pak začne psát dál. Stejnou zprávu, kterou dostal Jakub, teď posílá jeho jménem ostatním: „Ahoj, našel jsem tvoji fotku.“ Během několika hodin se podvod šíří mezi jeho přáteli a rodinou, aniž by kdokoliv tušil, co se skutečně děje.

Případ Jakuba není ojedinělý. Bezpečnostní tým Gen Threat Labs popsal tuto kampaň pod názvem GhostPairing a uvedl, že byla poprvé zaznamenána právě u nás v Česku. Nejde o žádný sofistikovaný průnik do šifrování ani o krádež SIM karty.

Jak přesně útok funguje krok za krokem

Zpráva od známého kontaktu, „Ahoj, našel jsem tvoji fotku“, obsahuje odkaz. Po kliknutí se otevře stránka napodobující Facebook, která žádá telefonní číslo. Útočník v tu chvíli na svém zařízení spustí standardní proces párování s WhatsAppem oběti. Vygeneruje se kód, oběť ho dostane a zadá, ne na podvodné stránce, ale přímo ve svém WhatsAppu. A tím vlastně potvrdí připojení nového zařízení.

Moment ztráty kontroly nastává právě tady. Legitimní funkce, legitimní kód, legitimní potvrzení. Jen na druhém konci sedí někdo, kdo tam sedět nemá. Od té chvíle vidí útočník příchozí zprávy v reálném čase, historii konverzací i sdílená média. A hlavně může psát Jakubovým jménem. Stejnou návnadu rozešle do rodinných skupin, školních chatů, pracovních konverzací. Příjemci vidí zprávu od důvěryhodného kontaktu, ne od cizího čísla. Proto funguje tak dobře.

Meta reaguje, ale klíčová obrana je na vás

Meta 11. března 2026 oznámila nové varování přímo ve WhatsAppu, které se zobrazí při podezřelém pokusu o párování zařízení. Upozornění ukáže původ žádosti a varuje, že může jít o podvod. Meta tím nepřímo přiznává, že dosavadní signalizace pro běžného uživatele nebyla dost výrazná. Co udělat hned, a co preventivně:

• Zkontrolovat propojená zařízení – v nastavení WhatsAppu otevřete sekci „Propojená zařízení“ a odpojte vše, co nepoznáváte.
• Zapnout dvoufázové ověření – PIN kód, který WhatsApp vyžaduje při registraci na novém zařízení. Bez něj je převzetí účtu jednodušší.
• Nikdy nezadávat párovací kód kvůli odkazu – žádná fotka, žádné ověření identity, žádná soutěž nevyžaduje párování zařízení.
• Informovat kontakty – pokud máte podezření, že se z vašeho účtu rozeslaly podvodné zprávy, okamžitě varujte přátele a rodinu.
• Nahlásit incident – přes oficiální podporu WhatsAppu a v ČR i přes NÚKIB, který přijímá hlášení i od subjektů mimo regulaci.

WhatsApp má end-to-end šifrování, Device Verification proti malwaru a nově i varování před podezřelým párováním. Technicky je to solidní stavba. Jenže GhostPairing žádnou z těchto vrstev neobchází, prostě zaklepe na dveře a oběť mu otevře, protože si myslí, že za nimi stojí kamarád s fotkou.