Žena dostala zprávu od Apple Pay, sedla do auta pádila do banky. Málem přišla o 360 tisíc korun

Dorothy Rhode dostala SMS o podezřelé platbě přes Apple Pay. Zavolala na číslo ze zprávy a dostala se až k bankovní přepážce s příkazem vybrat asi 360 tisíc Kč.

Zdroj fotografie: Pixabay

Nebyl to hack. Nikdo neprolomil její telefon, neukradl jí heslo ani nezískal přístup k Apple Pay. Celý útok stál na jediném: Dorothy uvěřila, že mluví s někým, kdo jí chce pomoct. Podvodník na druhém konci linky měl její jméno, znal detaily, mluvil jazykem úřadů a vytvořil iluzi tak přesvědčivou, že oběť nasedla do auta a jela do banky. Případ, který popsal CyberGuy v dubnu 2026, není ojedinělý. Zapadá do koordinované vlny podvodů s Apple Pay zpětnými hovory, kterou už v únoru téhož roku zmapoval AppleInsider.

Jak funguje past ve třech krocích

Útok začíná nevinně, textovou zprávou. Vypadá jako automatický bezpečnostní alert: „Na vašem účtu Apple Pay byla zjištěna podezřelá transakce. Okamžitě zavolejte na číslo…“ Přidána bývá částka, někdy i falešné číslo případu. Pro běžného uživatele je Apple Pay služba od Applu, takže zavolat „na Apple“ působí jako logická reakce. Jenže číslo ve zprávě nevede na Apple. Vede k podvodníkovi.

Jakmile Dorothy zavolala, útok se překlopil do druhé fáze, vishingu. Hlas na lince se představil jako bezpečnostní specialista, zmínil spolupráci s FBI a FDIC, hovořil o „zkorumpovaných zaměstnancích banky“ a naléhal: musíte jednat hned, nikomu nic neříkejte, vaše peníze jsou v ohrožení. Třetí fáze už probíhala v reálném světě: instrukce vybrat 15 000 dolarů v hotovosti a předat je „bezpečným kanálem“. Dorothy dojela až do banky. Ke ztrátě peněz nakonec nedošlo, podvod se zastavil těsně před cílem.

Proč je telefonát nebezpečnější než odkaz

Běžný phishing končí u podvrženého formuláře. Kdo neklikne, je v bezpečí. Tady SMS slouží jen jako návnada k hovoru, a v hovoru se pravidla mění. Podvodník reaguje v reálném čase, improvizuje, odpovídá na pochybnosti, přidává vrstvy autority. FBI ve svém varování před vydáváním se za úředníky popisuje tři klíčové taktiky:

• Naléhavost — „Musíte jednat teď, jinak přijdete o všechno.“
• Autorita — zmínky o FBI, FDIC, policii nebo interním vyšetřování banky.
• Izolace — zákaz mluvit s rodinou, bankovním poradcem, kýmkoli dalším.

Kombinace těchto tří prvků dokáže obejít i člověka, který by nikdy neklikl na podezřelý odkaz. Oběť už neřeší zprávu, řeší „oficiální zásah“. A právě v tom je jádro nebezpečí.

Česko: stejný scénář, jiná značka

V českém prostředí se přímé varování před tímto typem podvodu s Apple Pay v oficiálních zdrojích zatím neobjevilo. Model útoku je ale identický. Policie ČR v únoru 2026 varovala před vlnou falešných policistů a bankéřů, kteří obětem volají po úvodní SMS a navádějí je k převodům na „bezpečný účet“. Na Děčínsku evidovala od prosince 2025 do ledna 2026 nejméně devět případů se škodou přes 2,3 milionu korun, útočníci tam použili dokonce falešné bankovní aplikace a NFC relay k výběrům z bankomatů.

Policie ČR výslovně popisuje kombinaci smishingu a vishingu jako nový typ podvodného navolávání: SMS je jen startér, hlavní škoda vzniká v navazujícím hovoru.

Jak se bránit: pět pravidel, která platí vždy

1. Nevolat na číslo ze zprávy. Skutečný stav transakce ověřte v aplikaci Peněženka nebo přímo u vydavatele karty přes číslo z oficiálního webu.
2. Apple nikdy nechce heslo, kód pro dvoufaktorové ověření ani výběr hotovosti. Totéž platí pro banky a policii, žádná instituce vás nebude instruovat k výběru peněz po telefonu.
3. Zastavit reakci. Časový tlak je nástroj manipulace, ne známka skutečného nebezpečí.
4. Nemlčet. Pokud vám někdo zakazuje mluvit s rodinou nebo bankou, je to nejsilnější signál podvodu.
5. Nahlásit. Podezřelou zprávu vydávající se za Apple lze přeposlat na reportphishing@apple.com; při podezření na škodu kontaktujte banku a Policii ČR.

Proč na to naletí i opatrní lidé

Dorothy Rhode není naivní uživatelka internetu. Je to člověk, který dostal zprávu ve chvíli, kdy nečekal útok, a udělal to, co by většina z nás považovala za rozumné, zavolal na „podporu“. Nebezpečí dnešních podvodů nespočívá v technické sofistikovanosti, ale v psychologické přesnosti. Útočník nepotřebuje prolomit šifrování. Stačí mu prolomit důvěru.

Nejlepší obrana není antivirus ani silné heslo. Je to pauza mezi zprávou a reakcí, těch pár sekund, kdy si člověk řekne: „Počkám, ověřím si to sám.“