„Myslel jsem si, že mu můžu věřit,“ uvedl Tonda. Zpráva od kamaráda ho stála 5 000 korun

Na Liberecku policie během několika dní na jaře 2026 evidovala přes deset obdobných případů s celkovou škodou nad 400 tisíc korun.

Tondovi jednoho večera přišla zpráva na WhatsApp od jeho kamaráda Petra: „Hele, můžeš mi rychle pomoct? Potřebuju nutně poslat peníze.“ Nepřišlo mu to divné, styl zprávy odpovídal, a tak když Petr vysvětlil, že má problém a pošle peníze zpět druhý den, Tonda mu poslal 5 000 korun. Hned přišla odpověď: „Díky moc, zachránil jsi mě!“ Druhý den se ale s Petrem potkal v hospodě a zmínil se o penězích – ten jen nechápal, protože žádnou zprávu neposlal. Jeho účet byl napaden a podvodník psal jeho jménem všem kontaktům. Tonda tak přišel o peníze jen proto, že věřil někomu, koho dobře znal.

Jak se podvodník dostane do cizího WhatsAppu

Tondův příběh není ojedinělý ani extrémní. Je přesně tím typem podvodu, který česká policie v posledních měsících hlásí z jednoho regionu za druhým, a který funguje právě proto, že zpráva nepřijde od nikoho cizího. Přijde od člověka, kterého máte uloženého v kontaktech, jehož profilovou fotku znáte a s nímž jste si psali minulý týden. Útočník nepotřebuje prolomit šifrování. Potřebuje jen vaši důvěru, a tu už má, protože ji zdědil spolu s ukradeným účtem.

Celý podvod stojí na dvou krocích. První je převzetí účtu oběti číslo jedna, tedy toho „kamaráda“, jehož jménem se pak píše. Cesty jsou tři a všechny obcházejí uživatele, ne aplikaci:

• Vylákání ověřovacího kódu. Útočník spustí přihlášení k WhatsAppu s telefonním číslem oběti. Aplikace pošle šestimístný SMS kód skutečnému majiteli. Stačí jednoduchá legenda: „omylem ti přišel můj kód, přepošli mi ho“ – a účet je pryč.
• Škodlivý QR kód. Microsoft v lednu 2025 zdokumentoval kampaň, kde QR kód údajně sloužící ke vstupu do skupiny ve skutečnosti připojil cizí zařízení přes funkci Linked Devices. Útočník pak četl i psal zprávy, aniž by majitel cokoli poznal.
• Podvržený odkaz. Klasický phishing: stránka napodobující WhatsApp Web, kam oběť zadá přihlašovací údaje.

Jakmile má útočník přístup, přechází ke kroku dva: rozesílá kontaktům naléhavou prosbu o peníze. Legendy se opakují, rozbité auto, zablokovaný účet, ztracená karta v zahraničí. Částky se pohybují v řádu tisíců až desítek tisíc korun a vždy je tu slib: „Zítra ti to vrátím.“

Proč banka peníze nevrátí

Tady je klíčový rozdíl, který většina lidí nezná. Když omylem zadáte špatné číslo účtu a pošlete peníze neznámému příjemci, banka může iniciovat žádost o vrácení. Ale pokud jste převod sami autorizovali, zadali částku, potvrdili PIN nebo biometrii, banka to z právního hlediska nepovažuje za chybnou platbu. Komerční banka ve svém FAQ výslovně uvádí, že u podvodu, kde klient peníze poslal úmyslně, žádost o vrácení zamítá a odkazuje na Policii ČR.

A i kdyby banka reagovala okamžitě, peníze už většinou nejsou na cílovém účtu. Europol v analýze IOCTA popisuje, že prostředky z online podvodů se štěpí přes síť takzvaných money mules, nastrčených účtů, jejichž držitelé za provizi typicky 3–5 % přeposílají peníze dál. Během hodin se částka rozloží do více zemí, často s finálním výběrem hotovosti přes kryptoměny. Pět tisíc korun se v tomto řetězci rozpustí rychleji, než oběť stihne zavolat na linku banky.

Česká čísla: desítky případů, stovky tisíc škody

Policie ČR varuje před tímto typem podvodu opakovaně od jara 2025. Na území Praha-východ zaznamenali během léta 2025 třiadvacet obdobných případů, kde podvodníci psali rodinným příslušníkům pod legendou „mami, mám nové číslo“. V Jihočeském kraji jedna žena poslala 36 tisíc korun v přesvědčení, že komunikuje s kamarádkou. A na Liberecku na jaře 2026 škoda přesáhla 400 tisíc korun za pouhých pár dní.

Celostátní součet veřejně dostupný není, policie publikuje regionální výstrahy. Ale trend je zřejmý: případy přibývají a částky rostou. NÚKIB podvodné WhatsApp zprávy zmiňuje i ve svém přehledu kybernetických událostí za květen 2025.

Co dělat, než pošlete jediný haléř

Pravidlo je jedno a je brutálně jednoduché: žádost o peníze přes chat vždy ověřte jiným kanálem. Zavolejte na číslo, které máte uložené. Položte kontrolní otázku, na kterou zná odpověď jen dotyčný. Pokud volat „nemůže“ a tlačí na rychlý převod, je to červená vlajka.

Další varovné signály:

• Nový nebo neznámý účet příjemce, QR kód k platbě
• Naléhavost a prosba, abyste to s nikým neřešili
• Obecné formulace místo obvyklého oslovení
• Neochota přejít na hovor nebo videohovor

A pokud zjistíte, že váš vlastní účet byl napaden: okamžitě se znovu přihlaste svým telefonním číslem, tím útočníka odpojíte. Zkontrolujte sekci Linked Devices a odstraňte cizí zařízení. Zapněte dvoufázové ověření. A hlavně: informujte své kontakty, že předchozí zprávy nepsal nikdo z vaší rodiny.

Kam podvod směřuje dál

FBI v květnu 2025 popsala kampaň, kde útočníci už neposílali jen text, ale hlasové zprávy generované umělou inteligencí, napodobující hlas konkrétního člověka. Výroční zpráva IC3 za rok 2025 potvrzuje, že klonování hlasu se aktivně používá v podvodech simulujících blízkého v nouzi. WhatsApp přitom není „děravá aplikace“: NÚKIB jej hodnotí jako službu s vestavěnými bezpečnostními prvky a plošným end-to-end šifrováním. Problém není v technologii. Problém je v tom, že důvěra mezi lidmi se nedá zašifrovat, a právě tu útočníci kradou jako první.

Tonda svých pět tisíc už neuvidí. Ale příště, až mu kdokoli napíše „potřebuju rychle pomoct“, zvedne telefon a zavolá. Třicet sekund hovoru stojí méně než jedna zbytečná platba.