Stačí jeden klik a ohrozíte jak svůj účet, tak i vaše kontakty. Starý WhatsApp podvod je zpět v Čechách

WhatsApp v Česku používá 89 % lidí. Na ně míří kampaň, před kterou varuje i policie a která si jen na Písecku vyžádala škodu bezmála sto tisíc korun.

Zdroj fotografie: Lukáš Altman (Mobify.cz)

Zpráva přijde od kamaráda, kolegyně, sestřenice, od někoho, komu věříte. Krátký text s prosbou: „Zahlasuj prosím za mou dceru v taneční soutěži.“ Odkaz vypadá nevinně. Jenže ten kamarád o ničem neví, protože jeho účet už ovládá někdo jiný, jak redakce Mobify ví. A pokud kliknete a dokončíte pár kroků, za pár minut bude na řadě váš účet. Nejde o žádné prolomení hesla ani o sofistikovaný hack. Celý útok stojí na tom, že oběť sama, nevědomky, pustí útočníka dovnitř.

Jak útok funguje krok za krokem

Mechanismus je překvapivě jednoduchý a policie ho popisuje už od jara 2025, kdy se první případy objevily v Ústeckém a Středočeském kraji. Od té doby se nezměnil v principu, jen v detailech: útočníci průběžně mění domény podvodných stránek a přizpůsobují text různým jazykovým mutacím. Sled událostí je vždy stejný:

• Z kompromitovaného účtu vašeho kontaktu přijde zpráva s odkazem na „hlasování“, typicky za dítě v taneční, pěvecké nebo jiné soutěži.
• Po kliknutí se otevře podvodný web, který vypadá jako hlasovací formulář. Web požaduje vaše telefonní číslo spojené s WhatsAppem.
• Stránka zobrazí párovací kód nebo QR kód a vyzve vás, abyste ho zadali přímo ve WhatsAppu.
• Ve chvíli, kdy kód potvrdíte, autorizujete připojení cizího zařízení ke svému účtu, přesně stejným způsobem, jakým byste si sami spárovali WhatsApp Web na vlastním počítači.

Kritický je poslední bod. Samotný příjem zprávy ani kliknutí na odkaz účet neohrozí. Útok se dokončí až tehdy, když uživatel sám schválí párování. Z pohledu WhatsAppu jde o zcela legitimní akci, proto ji platforma automaticky nezablokuje.

Co útočník získá a co „všechna data“ skutečně znamená

Po propojení má útočník v zásadě stejný přístup jako vy na WhatsApp Webu. Vidí synchronizované konverzace, kontakty, sdílená média, přijímá nové zprávy v reálném čase a může psát vaším jménem. Podle SK-CERT zvládnou automatizované nástroje stáhnout historii komunikace a seznam kontaktů v řádu jednotek minut. Propojené zařízení navíc zůstává aktivní i po vypnutí vaší aplikace.

Důležité upřesnění: „všechna data“ znamenají data uvnitř WhatsAppu, tedy chaty, kontakty, fotky a videa sdílená v konverzacích. Není doloženo, že by tímto trikem útočník automaticky získal přístup ke kompletnímu obsahu telefonu mimo aplikaci.

Co ale následuje okamžitě, je řetězová reakce. Útočník z vašeho účtu rozešle stejnou zprávu s falešným hlasováním všem vašim kontaktům, jednotlivcům i skupinám: rodinným, školním, pracovním. Z jednoho kompromitovaného účtu tak vznikají desítky dalších obětí a celá věc roste jako sněhová koule. Druhá fáze bývá ještě nepříjemnější: žádosti o půjčku peněz rozeslané vaším jménem.

Proč se kampaň stále vrací

ESET ve své analýze z 28. dubna 2026 výslovně potvrzuje, že v prvním čtvrtletí roku falešné hlasování na WhatsAppu v Česku opět narostlo. SK-CERT eviduje první velkou vlnu na přelomu jara a léta 2025, další nárůst od ledna 2026. Kladenská policie varovala 20. února, písecká o měsíc později popsala dva poškozené s celkovou škodou bezmála sto tisíc korun.

Odpověď na otázku, proč se to vrací, je prostá: protože to funguje. Útočníci nemusí hledat novou zranitelnost. Stačí vyměnit doménu, upravit text a spustit totéž znovu. Bezpečnostní firma Gen Digital, která útok analyzovala pod názvem GhostPairing, mluví o chování typickém pro phishingové kity, hotové šablony, které se dají nasadit opakovaně s minimální námahou. A protože WhatsApp v Česku podle březnového průzkumu ESET/Ipsos používá 89 % lidí a téměř polovina z nich už na komunikačních platformách na nějaký podvod narazila, je základna potenciálních obětí obrovská.

Jak se bránit, a co dělat, když už je pozdě

Rozpoznat past není těžké, pokud víte, co hledat. Legitimní hlasování nikdy nepotřebuje přístup k vašemu účtu na WhatsAppu. Varovné signály:

• Nečekaná prosba o hlasování od známého kontaktu, zvlášť pokud nepůsobí jako jeho obvyklý styl komunikace.
• Odkaz směřující mimo důvěryhodnou doménu.
• Žádost o zadání telefonního čísla k WhatsAppu na externí stránce.
• Výzva k zadání ověřovacího nebo párovacího kódu.
• Systémový prompt WhatsAppu, že se má propojit nové zařízení: to je poslední moment, kdy můžete říct ne.

Preventivně si zapněte dvoufázové ověření (PIN) v nastavení WhatsAppu a přidejte obnovovací e-mail. Pravidelně kontrolujte sekci Propojená zařízení, na Androidu přes menu se třemi tečkami, na iPhonu v Nastavení, a odhlaste vše, co nepoznáváte.

Pokud jste kód už zadali, jednejte okamžitě. Otevřete Propojená zařízení a odpojte neznámé relace. Když vás útočník z účtu vyhodil, zaregistrujte číslo znovu přes SMS nebo hlasový kód. Komplikace nastává, pokud mezitím nastavil vlastní PIN: bez obnovovacího e-mailu může čekací lhůta na reset dosáhnout až týdne. Současně obvolejte nebo jiným kanálem upozorněte své kontakty, že váš účet byl kompromitován, a pokud z něj odcházely žádosti o peníze, varujte je, aby nic neposílali.

Proč to WhatsApp sám nezastaví

Tady je jádro problému. Útok nezneužívá softwarovou chybu. Zneužívá legitimní funkci propojení zařízení a důvěru v člověka, od kterého zpráva přišla. Z pohledu serveru vypadá párování úplně stejně, ať ho potvrzujete vy na vlastním notebooku, nebo podvodník na druhém konci světa. Gen Digital to shrnuje přesně: vše probíhá „uvnitř hranic zamýšlené funkcionality“. Meta může zlepšit varování, přidat kontext o tom, odkud se párování iniciuje, zpřísnit omezení podezřelých pokusů. Ale dokud útočníci dokážou přesvědčit člověka, aby sám klikl na „potvrdit“, technologie samotná nestačí.

Nejslabším článkem celého řetězce není software. Je to moment, kdy čtete zprávu od někoho blízkého a nenapadne vás, že ten člověk ji neposlal.