Čeští policisté se s tím nemazali. „Lapili“ podvodníka v momentě, kdy vybíral peníze z bankomatu s cizí kartou
Kriminalisté ho přistihli přímo u bankomatu s telefonem v ruce. Dvacetiletý cizinec vybíral hotovost pomocí klonovaných karet, aniž jedinou z nich fyzicky držel.
Obsah článku
Středočeští kriminalisté z územního odboru Praha venkov – východ dopadli mladíka doslova při činu, v okamžiku, kdy přikládal mobil k bezkontaktnímu bankomatu a vybíral peníze z cizího účtu. Nešlo o náhodu ani o rutinní hlídku. Policisté na něj cíleně čekali, protože vyšetřovali sérii podvodů, při nichž neznámí pachatelé telefonicky manipulovali oběti, aby si do telefonu nainstalovaly podvodnou aplikaci, přiložily k němu svou platební kartu a zadaly PIN. Tím nevědomky umožnily vytvoření digitálního klonu karty, který se přenesl do mobilu výběrčího. Pro bankomat pak vypadala transakce jako legitimní. Policie po zadržení provedla domovní i nebytové prohlídky, zajistila velké množství stvrzenek a hotovosti, mladíka obvinila ze dvou závažných trestných činů a podala podnět k jeho vzetí do vazby. Soud návrhu vyhověl. Celý zásah zachycuje i video zveřejněné Policií ČR, na kterém je vidět moment zadržení přímo u bankomatu.
Za měsíc 51 výběrů a škoda téměř půl druhého milionu
Mezi 30. červencem a 28. srpnem 2025 stihl dvacetiletý muž provést jednapadesát výběrů z bankomatů. Poškozených je nejméně osm lidí, celková škoda se vyšplhala k téměř 1,5 milionu korun. A to policie v době zveřejnění tiskové zprávy stále prověřovala další možné oběti.
Případ přitom nezačínal u bankomatu, ale u telefonu. Typický scénář vypadal takto: oběti zavolal někdo, kdo se představil jako pracovník banky. Varoval před údajným napadením účtu, naléhal na okamžité jednání a zakazoval kontaktovat kohokoli dalšího. Poté se do hovoru zapojila další osoba, která oběť navedla ke stažení aplikace a požádala ji, aby k telefonu přiložila platební kartu a zadala PIN. V tu chvíli se údaje karty přenesly přes internet do mobilu výběrčího a oběť neměla tušení, že z jejího účtu právě mizí desítky tisíc korun.
Jak klon karty funguje bez reálného kusu plastu
Klasický skimming, před kterým varovaly banky i policie v minulých letech, vyžadoval fyzické zařízení nasazené na bankomatu, které kopírovalo údaje z karty. Nová metoda je sofistikovanější. Policie ji popisuje jako princip „Wormhole“: jeden telefon načítá NFC komunikaci z karty oběti, druhý ji v reálném čase emuluje u bankomatu. Mezi oběma zařízeními funguje server, který data přenáší.
Technicky jde o takzvaný NFC relay útok. Bezpečnostní analytici z CERT Polska popsali analogický malware NGate, který fungoval na podobném principu: oběť si stáhla aplikaci mimo oficiální obchod, aplikace aktivovala NFC čtečku telefonu a zachycená data odeslala útočníkovi. Firma ThreatFabric zase zdokumentovala kampaň RatOn, která cílila přímo na česko-slovenské uživatele a šířila se přes podvodné instalační balíčky.
Podstatné je, že bezkontaktní bankomaty v Česku nejsou žádná novinka. Mastercard v září 2025 výslovně zařadil Českou republiku mezi evropské trhy s nasazenou bezkontaktní bankomatovou infrastrukturou. Technologie, která má usnadnit život legitimním uživatelům, tak zároveň otevírá prostor podvodníkům, pokud se jim podaří získat údaje karty a PIN.
Nejde o ojedinělý případ, trend stále roste
Středočeský případ není izolovaný. Královéhradečtí policisté popsali 28. srpna 2025 obdobný útok, při němž senior přišel o 150 tisíc korun třemi výběry po padesáti tisících, opět přes virtuální klon karty. Středočeská policie v říjnu 2025 otevřeně hovořila o tom, že podvodníci „v poslední době“ zneužívají platební karty novým, sofistikovanějším způsobem.
Širší čísla od České národní banky potvrzují trend: v roce 2025 evidovala 195 tisíc podvodných karetních transakcí a necelé dva tisíce podvodných výběrů hotovosti. Počet stížností na podvody v platebním styku dlouhodobě roste. Právě kombinace vishingu, tedy podvodného telefonátu, s NFC relay technologií dělá tuto vlnu nebezpečnější než předchozí typy útoků. Oběť totiž sama, vlastníma rukama, umožní vytvoření klonu své karty.
Co dělat, když vám zavolá údajný bankéř
Policie razí jednoduché pravidlo tří Z: Zastav. Zavěs. Zkontroluj. Žádná banka ani policie po vás nikdy nebude chtít:
- převést peníze na „bezpečný účet“
- instalovat aplikaci přes zaslaný odkaz
- sdělit PIN, heslo do internetového bankovnictví nebo ověřovací SMS kód
- přiložit platební kartu k telefonu na pokyn volajícího
Pokud jste podobnou aplikaci už nainstalovali, okamžitě kontaktujte svou banku a zablokujte kartu i přístup k internetovému a mobilnímu bankovnictví. Poté volejte linku 158. Každá minuta se počítá, výběry mohou probíhat v reálném čase.
A co vrácení peněz? Zákon o platebním styku říká, že při neautorizované transakci má banka uvést účet do původního stavu nejpozději do konce následujícího pracovního dne. Klient ale nese ztrátu v plném rozsahu, pokud jednal z hrubé nedbalosti, a instalace podvodné aplikace společně se sdělením PINu do této kategorie může spadat. Pokud banka reklamaci zamítne, zbývá ještě možnost obrátit se na finančního arbitra, který bezplatně řeší spory mezi spotřebiteli a finančními institucemi.
Dvacetiletý muž sedí ve vazbě. Navolávači, kteří oběti přesvědčovali po telefonu, zatím identifikováni nebyli. Schéma ale funguje dál – stačí jeden zvednutý hovor a pár minut důvěry.