„Než mi ukradli 100 tisíc korun, tvrdili, že mi zabezpečí účet,“ nadává L. Pančurák

Jedna SMS, telefonát a pár kliknutí na „potvrdit“. A 100 tisíc korun zmizelo z účtu za méně než 10 minut, a banka transakce vyhodnotila jako řádně autorizované.

Zdroj fotografie: Lukáš Altman (Mobify.cz)

Pan Pančurák dostal SMS o podezřelé platbě přes Apple Pay, která vypadala jako oficiální zpráva od Apple. V obavách zavolal na uvedené číslo. Muž na telefonu se vydával za podporu a přesvědčil ho, že musí účet rychle zabezpečit. Pan Pančurák během hovoru potvrdil několik kroků v mobilu, včetně bankovních notifikací, protože věřil, že tím chrání své peníze. Místo toho ale během pár minut přišel o více než 100 tisíc korun, všechny platby totiž nevědomky schválil sám.

Jak celý podvod fungoval krok za krokem

Příběh L. Pančuráka zní jako noční můra každého, kdo má mobilní bankovnictví. Přitom nejde o žádnou sofistikovanou hackerskou operaci ani o bezpečnostní díru v Apple Pay. Jde o sociální inženýrství, typ podvodu, při kterém útočník neprolamuje systém, ale manipuluje člověka. NÚKIB i Česká národní banka opakovaně varují, že právě tyto útoky se v Česku šíří vlnami a kvalitativně se zlepšují. Pančurákův případ ukazuje, jak snadno se z oběti stane nevědomý vykonavatel celého podvodu.

Vše začalo SMS zprávou o podezřelé platbě přes Apple Pay. Zpráva vypadala věrohodně, útočníci dnes umí napodobit odesílatele SMS i telefonní čísla technikou zvanou spoofing, jak popisuje Policie ČR. Na displeji se může zobrazit jméno banky nebo značky, přestože zprávu poslal podvodník.

Pančurák v obavách zavolal na číslo uvedené ve zprávě. Muž na lince se představil jako pracovník podpory a tvrdil, že na účtu probíhá podezřelá aktivita, kterou je nutné okamžitě zastavit. Vytvořil časový tlak a naléhavost, přesně podle scénáře, který NÚKIB označuje za typický pro vishingové kampaně.

Pak přišel klíčový moment. Podvodník navedl Pančuráka k potvrzení několika kroků v telefonu. Bankovní aplikace zobrazila autorizační výzvy, notifikace, které měl odsouhlasit. Pančurák je potvrdil v přesvědčení, že tím svůj účet zabezpečuje. Ve skutečnosti každým kliknutím schvaloval odchozí platbu. Systém banky transakce zaregistroval jako řádně autorizované silným ověřením. Peníze odešly.

Celé to trvalo minuty. Žádné prolomení hesla, žádný virus, žádná chyba technologie. Jen strach, důvěra a rychlost.

Apple Pay není viník, je to záminka

Důležité je oddělit dvě věci: Apple Pay jako platební technologii a značku Apple jako nástroj manipulace.

Apple Pay funguje na principu tokenizace, obchodník nikdy nedostane skutečné číslo karty, každá platba vyžaduje potvrzení přes Face ID, Touch ID nebo kód zařízení. Z popsaného scénáře neplyne žádná bezpečnostní chyba Apple Pay. Útočníci pouze zneužili důvěru ve známou značku, aby zpráva vypadala legitimně.

Apple výslovně varuje před hovory a zprávami, které se vydávají za Apple a tvrdí, že na účtu došlo k podezřelé aktivitě. Firma zdůrazňuje: nikdy nežádá o vypnutí bezpečnostních funkcí, nikdy nepožaduje heslo přes telefon a nikdy neposílá SMS s číslem, na které máte zavolat zpět.

Skutečné známky ohroženého účtu Apple vypadají jinak, nevyžádaný dvoufaktorový kód, neznámé přihlášení, změna hesla, kterou jste neiniciovali. Nic z toho se v Pančurákově případu podle dostupných informací nestalo. „Účet v ohrožení“ byla podvodná legenda, ne realita.

Proč banka platby nezastavila

Tady narážíme na paradox silného ověření. Multifaktorová autentizace (MFA) existuje proto, aby chránila klienta, nikdo jiný než vy nemůže platbu potvrdit. Jenže ve chvíli, kdy klient sám potvrdí autorizační výzvu, systém transakci vidí jako legitimní.

ČNB k tomu říká jasně: po potvrzení silného ověření může spotřebitel nést ztrátu. Banka nemá jak v reálném čase rozlišit, zda klient potvrzuje platbu dobrovolně, nebo pod manipulací. Antifraud systémy mohou transakci zpětně vyhodnotit jako podezřelou, ale v okamžiku potvrzení MFA je z pohledu systému vše v pořádku.

Proto je potvrzovací krok tím nejdražším momentem celého podvodu. Ne technika, ne prolomení, ale okamžik, kdy oběť pod tlakem uvěří, že potvrzením „záchrany účtu“ nepouští ven své peníze.

Jak podobný podvod rozpoznat a co dělat

Varovné signály se opakují napříč kampaněmi:

• Zpráva tvrdí, že na účtu probíhá podezřelá aktivita
• Obsahuje číslo nebo odkaz, kam máte zavolat nebo kliknout
• Volající vytváří časový tlak, „musíte jednat teď“
• Požaduje potvrzení kroků v bankovní aplikaci, sdělení kódu nebo instalaci aplikace
• Na displeji se zobrazuje „důvěryhodné“ číslo nebo jméno instituce

Co udělat:

• Nevolat zpět na číslo z SMS ani z příchozího hovoru, vždy ověřit situaci přes oficiální infolinku banky nebo přímo v aplikaci
• Nic nepotvrzovat pod časovým tlakem, žádná banka ani Apple po vás nechce okamžitou akci přes telefon
• Pokud už jste něco potvrdili, okamžitě kontaktovat banku a požádat o blokaci
• Uložit důkazy, SMS, telefonní čísla, screenshoty, časy
• Podat oznámení Policii ČR, ústně, písemně, elektronicky nebo přes linku 158
• Podvodnou SMS přeposlat na číslo 7726 pro hlášení podvodných zpráv

Pokud banka reklamaci zamítne, spotřebitel se může bezplatně obrátit na finančního arbitra.

V Česku nejde o ojedinělý případ

Policie ČR sama uvádí, že online podvody neeviduje po jednotlivých značkách ani typech útoku, Apple-specifickou statistiku tedy nikdo nemá. Co ale víme: NÚKIB v únoru 2025 varoval před pokračující vlnou podvodných telefonátů, CSIRT v dubnu 2026 upozornil na rozsáhlou SMS kampaň a stejný model útoku funguje i pod hlavičkou Microsoftu, bank, policie nebo samotné ČNB.

Princip je značkově přenositelný. Dnes Apple Pay, zítra Google Pay, pozítří „bezpečnostní oddělení vaší banky“. Mění se kulisa, mechanismus zůstává: strach, autorita, rychlost, potvrzení.

Pančurákových sto tisíc korun neukradl hacker ani virus. Ukradl je člověk s telefonem, který věděl, že nejslabším článkem každého zabezpečení je důvěra pod tlakem.