Okradení lidé nevěděli, že přišli o peníze, dokud nezašli k bankomatu. PČR odhalila promyšlený scénář

Osm lidí ze Středočeského kraje přišlo téměř 1,5 milionu korun, aniž by si čehokoli všimli. Kartu měli celou dobu v peněžence.

Zdroj fotografie: Lukáš Altman (Mobify.cz) a Policie České republiky

Kriminalisté z Prahy-venkov východ v září 2025 popsali podvodné schéma, které se od běžného phishingu liší v jednom zásadním bodě: oběť sama otevřela pachatelům cestu ke svému účtu. Stačil jeden telefonát od falešného bankéře, instalace aplikace a přiložení platební karty k vlastnímu telefonu. Od té chvíle mohl někdo úplně jiný, stojící u bankomatu desítky kilometrů daleko, vybírat hotovost mobilem, a pro banku vypadala každá transakce jako legitimní bezkontaktní výběr s PINem. Během jediného měsíce proběhlo 51 takových výběrů.

Jak celý podvod fungoval krok za krokem

Schéma mělo přesně rozdělené role. Na začátku stál „navolávač“, člověk, který zavolal oběti a představil se jako pracovník banky nebo policista. Vytvořil legendu o podezřelém úvěru na jméno oběti, o napadeném účtu nebo o fotografii „zachránit“ peníze. Číslo na displeji přitom mohlo vypadat jako skutečná linka banky, jak zajistit NÚKIB , podvržení volajícího čísla je technicky triviální.

Pak přišel klíčový moment. Oběť dostala odkaz na aplikaci, kterou měla nainstalovat. Aplikace nebyla z oficiálního obchodu, přišla přes SMS nebo chat. Po instalaci volajícího nástroje oběť, aby zapnula NFC a přiložila platební kartu k telefonu. Tím se načetl data z čipu karty a vytvořil se takzvaný „telemost“, reléové spojení mezi kartou oběti a mobilním pachatelem.

Poslední článek řetězce tvořil „výběrčí“. Fyzická osoba, která přiložila svůj telefon k bezkontaktnímu bankomatu a zadala PIN, který oběť předtím prozradila po telefonu nebo potvrdila v aplikaci. Z pohledu bankovního systému šlo o standardní bezkontaktní výběr originální kartou. Žádný alarm se nespustil.

Proč oběti nic nepoznaly

Tady je jádro celého problému. Při klasickém skimmingu pachatel nasadí na bankomat fyzické zařízení, které kopíruje magnetický proužek karty. Oběť si můžete všimnout zvláštní paměti, uvolněné klávesnice nebo kamery. U červí díry útoku nic takového neexistuje. Bankomat je čistý, nemanipulovaný. Pachatel k němu jen přiloží telefon.

Karta zůstala celou dobu u svého držitele. Žádná notifikace o výběru nemusela přijít, záleží na nastavení konkrétní banky a klienta. Transakce se pro bankovní systém tvářila jako použití originálu, protože technicky šlo o komunikaci s autentickým čipem karty, jen přenesenou na dálku. Akademická literatura tento typ útoku, relay attack přes NFC , popisuje už od roku 2011. Teprve teď se ale masově prosadil v praxi.

Přesný okamžik, kdy jednotlivé oběti zjistily ztrátu, policie nezveřejnila. Mohlo to být při kontrole zůstatku v aplikaci, při vlastním pokusu o výběr nebo až po oznámení banky. Jisté je jedno: během samotných podvodných výběrů o nich neměli žádné povědomí.

Jeden dopadený, zbytek gangu ve stínu

Kriminalisté zadrželi 20letého cizince přímo při výběru z bankomatu. Při prohlídce u něj našli velké množství stvrzenek z výběru a hotovost. Soud ho poslal do vazby. Jenže to je jen „výběrčí“, poslední články řetězce a zároveň ten nejzranitelnější. Navolávači, kteří celou operaci řídí po telefonu, zůstávají podle tiskové zprávy středočeské policie dosud neztotožnění. Policie zároveň uvedla, že prověřuje další možné poškozené.

Právě fyzicky výběrčí bývá slabým místem celého schématu. V obdobném pražském případu z března 2024 vedlo k dopadení pachatele oznámení o podezřelém chování u bankomatu a práce s kamerovým systémem. Na Děčínsku pak policie v lednu 2026 popsala nejméně devět obětí stejné metody se škodou přes 2,3 milionu korun. Nejde tedy o izolovaný exces jednoho okresu, jde o trend, který se šíří napříč krajem.

Co dělat, aby se vám to nestalo

Celé schéma stojí a padá s jedinou věcí: ochotou oběti spolupracovat. Bez instalace a přiložení karet k telefonu pachatele nic nezmůžou. Proto je prevence jednoduchá:

• Nikdy neinstalujte aplikaci z odkazu , který vám přišel přes SMS, e-mail nebo chat. Banka legitimní aplikace distribuuje výhradně přes oficiální obchody.
• Nepřikládejte platební kartu k telefonu na pokyn volajícího. Žádná banka ani politika to po vás nikdy nebude chtít.
• Nesdělujte PIN, hesla ani kódy z SMS. Bankéř je nepotřebuje, policista také ne.
• Při podezřelém hovoru zavěste a zavolejte zpět na číslo, které máte na kartě nebo na webu banky. Ne na číslo, které vám volající nadiktuje.
• Pokud nemůžete oprávněný výběr , okamžitě kartu zablokujte v mobilní aplikaci nebo na nonstop lince banky a podejte oznámení na policii.

Sofistikovaná technologie, primitivní vstupní brána

Wormhole útok je technicky elegantní, přenáší autentickou komunikaci mezi kartou a bankomatem přes stovky kilometrů, aniž by kterákoli strana poznala prostředníka. Jenže celá ta sofistikovanost je k ničemu bez jediného telefonátu, ve kterém někdo uvěří, že mu volá banku. Nejslabším článkem není bankomat, není to šifrování ani čip na kartu. Je to moment, kdy člověk pod tlakem a ve stresu udělá přesně to, co ho neznámý hlas.