2 hodiny stačily a žena přišla o 550 tisíc korun. Měla si vyzvednout kreditní kartu; pak přišla spirála podvodů, které neprohlédla

Tři telefonáty, tři převody, tři cizí hlasy. Žena (61) z Chomutovska přišla za jediný večer o 550 tisíc korun, přitom věřila, že chrání vlastní peníze.

Zdroj fotografie: Lukáše Altman (Mobify.cz)

Bylo krátce po šesté večer, když už zazvonil telefon. Na lince se ozvala žena, která se představila jako pracovnice banky. Oznámila, že na jméno volané byla v Plzni podána žádost o kreditní kartu. Problém: u té banky žena z Chomutova nikdy neměla účet. A právě tím celý scénář začal fungovat. Věta „žádnou kartu jsem si neobjednala“ nezněla jako odpověď, zněla jako potvrzení, že jí někdo ukradl identitu. Přesně to podvodníci potřebovali slyšet.

Pět minut, tři role, nulová šance na rozmyšlenou

Během následujících 15 minut se na lince vystřídaly další dva hlasy. Nejprve zavolala údajná pracovnice banky, u které žena skutečně měla účet, a „problém s ukradenou identitou“ potvrdila. Vzápětí převzal sluchátko muž, který se představil jako pracovník kyberoddělení téže banky. Nabídl dvě možnosti: buď se peníze převedou na bezpečný účet u národní banky, nebo dojde k blokaci. Volba vypadala jako rozhodnutí oběti. Ve skutečnosti obě cesty vedle ke stejnému cíli, k zadání platby.

Klíčový detail: Česká národní banka opakovaně opakovaně, že žádné „bezpečné účty“ neprovozuje a nikoho k převodům nevyzývá. Samotná zmínka o účtu ČNB je spolehlivý alarm.

Moment, kdy oběť sama otevřela dveře

Pod tlakem a ve stresu žena udělala něco, co by za normálních okolností neudělala: v mobilním bankovnictví si navýšila denní limit na milion korun. Tím překonala jednu z mála technických brzd, které banka nastavuje právě pro tyto situace. Pak zadala tři platby na dva cizí účty. Celkem 549 tisíc korun. Vše proběhlo elektronicky, bez návštěvy pobočky, bez kurýra, bez bitcoinmatu.

ČNB ve svém varování k vícefaktorovému ověření popisuje přesně toto: bezpečnostní prvky fungují spolehlivě proti hackerům, ale proti samotným klientům už ne. Jakmile oběť sama autorizuje převod, peníze v systému okamžitých plateb, dostupných 24 hodin denně pro 99 % klientů českých bank, odejdou během sekund. Reakční okno se prakticky uzavře.

Kde šlo scénář přerušit? Podle nás existovaly nejméně tři stop-body: po prvním hovoru nezávisle zavolat do banky přes číslo na kartě, odmítnout navýšení limitu, nepotvrdit první převod. Policie u jiných rozkrytých kauz popisuje případy, kdy lidé škodě unikli právě tím, že v jednom z těchto bodů řekli ne.

Proč to funguje, a proč nejde o naivitu

Označit oběť za „naivní“ je pohodlné, ale nepřesné. Společný materiál Policie ČR, Česká bankovní asociace a společnost ESET popisuje vishing jako sofistikovanou manipulaci: pachatelé pracují s osobními údaji dostupnými online, používají spoofing telefonních čísel, aby na displeji svítilo číslo skutečné banky, a volají v nestandardní dobu, typický večer nebo o víkendu, kdy je ochota věc ověřovat menší a pobočky už jsou zavřené.

Celý scénář stojí na principu eskalace důvěry. Každý další hlas potvrzuje předchozí. Oběť nemá důvod pochybovat, protože „problém“ již oznámil někdo jiný, než kdo nabízí „řešení“. V rozkryté celostátní kauze falešných bankéřů policie popsala přes 800 útoků vedených podle identického scénáře se škodou přes 65 milionů korun. Pachatelům hrozí až 13,5 roku vězení.

Česko v číslech: nejde o okrajový jev

Přesná celostátní čísla čistě pro telefonický vishing policie běžně nepublikuje. Širší rámec ale mluví jasně:

• 2024: 18 495 trestných činů v kyberprostoru, registrovaná škoda 3,73 miliardy Kč.
• 2022: Policie společně s ČSOB prováděla přes 1 000 případů podvodného „navolávání“ za předchozí dva roky.

Od klasického podvodu „na vnoučata“ se liší nástrojem manipulace. Legenda o vnukovi staví na rodinné blízkosti a naléhavé prosbě o pomoc. Vishing staví na autoritě instituce, banky, policie, ČNB, a na strachu z finanční ztráty. Obě metody ale sdílí totéž jádro: časový tlak, který brání víc přemýšlet.

Jediná účinná obrana nemá nic společných s technologií

Banky mají detekční systémy, vícefaktorové ověřování, limity, možnost okamžitého blokování. Žádná z těchto vrstev ale nezaplatí platbu, kterou klient sám potvrdí. Rozhodující obrana proto leží jinde: přerušit cizí scénář dřív, než člověk potvrdí první vlastní krok v aplikaci. Zavěsit. Vytočit číslo banky z karty nebo webu. Zeptat se. Žena z Chomutovska podala trestní oznámení. Peníze z účtu zmizely za necelé dvě hodiny. Stačilo by zavěsit po prvním hovoru.