Pozor na mobil po rezervaci hotelu. Nový trik míří na turisty, podvodníci zneužívají jejich údaje

Představte si situaci: rezervujete si hotel na dovolenou, potvrzení dorazí, všechno vypadá v pořádku. O pár dní později vám na WhatsApp přijde zpráva se jménem hotelu, správným termínem pobytu a číslem vaší rezervace. Píše se v ní, že je potřeba „ověřit platební kartu“, jinak hrozí zrušení pobytu. Odkaz vede na stránku, která vypadá jako platební brána. Jenže za ní nestojí hotel ani rezervační platforma, stojí za ní podvodníci, kteří vaše údaje už mají a chtějí k nim přidat ty poslední: číslo karty.

Proč tentokrát nefunguje pravidlo „podvod poznám podle chyb“

Slovenské Národné centrum kybernetickej bezpečnosti (NCKB) při NBÚ vydalo 14. května 2026 varování, které popisuje právě tuto kampaň. Útočníci nepracují s náhodně generovanými daty. Disponují jménem hosta, názvem ubytování, datem pobytu i číslem rezervace, a právě proto zpráva nepůsobí jako spam, ale jako běžná předodjezdová komunikace.

Starší phishing se dával rozpoznat podle špatné gramatiky, obecných formulací nebo podezřelé adresy odesílatele. Nová vlna funguje opačně: znakem podvodu už není nepřesnost, ale znepokojivá přesnost. Zpráva sedí tak dokonale, že oběť nemá důvod pochybovat. Bezpečnostní analytici z Nortonu tento typ útoku označují jako „reservation hijack“ a řadí ho mezi nejrychleji rostoucí podvody cílené na cestovatele.

Odkud mají podvodníci vaše data

Odpověď není jednoduchá, protože únikových cest je víc. Microsoft Threat Intelligence popsal už v březnu 2025 rozsáhlou phishingovou kampaň Storm-1865, která cílila přímo na hotelové zaměstnance. Útočníci se vydávali za Booking.com, rozesílali e-maily s falešnými stížnostmi hostů nebo žádostmi o ověření účtu a po kliknutí nasadili malware kradoucí přihlašovací údaje. Jakmile získali přístup do hotelového systému, měli k dispozici kompletní data o rezervacích.

V dubnu 2026 pak podle Malwarebytes přibyl další incident přímo kolem Booking.com, při kterém se k útočníkům dostala jména, e-maily, fyzické adresy i telefonní čísla hostů. Partnerské podmínky Booking.com přitom výslovně počítají s tím, že osobní data hostů putují k ubytovacím zařízením i přes takzvané „connectivity partnery“, tedy napojené rezervační a hotelové systémy. Každý článek tohoto řetězce je potenciální bod selhání.

Problém se tedy neodehrává jen „na straně aplikace“. Stačí, aby útočník kompromitoval jeden hotel, jednoho partnera nebo jednoho zaměstnance s přístupem do systému, a rázem má k dispozici stovky aktivních rezervací i s kontakty.

Jak podvod vypadá v praxi a jak ho odhalit

Typický scénář má několik společných znaků:

• Kanál mimo platformu. Zpráva přichází přes WhatsApp, ne přes interní chat rezervační služby.
• Časový tlak. Text varuje před zrušením pobytu, blokací karty nebo ztrátou zálohy, pokud host nezareaguje „do několika hodin“.
• Odkaz na platební stránku. Vede na web, který vizuálně imituje platební bránu hotelu nebo platformy.
• Požadavek na údaje karty. Žádá „ověření“, „dočasné zmrazení částky“ nebo „bezpečnostní doplatek“, tedy něco, co legitimní hotel po dokončené rezervaci standardně nevyžaduje.

Rozhodující není, jestli zpráva obsahuje správné údaje. Rozhodující je, co po vás chce. Žádná seriózní platforma ani hotel vás nebude přes WhatsApp žádat o zadání platební karty na externí stránce. Airbnb to ve svém nápovědním centru říká výslovně: komunikaci ani platby nemá nikdo přesouvat mimo platformu.

Pokud vám podobná zpráva přijde, neotevírejte odkaz. Rezervaci ověřte přímo, telefonicky na recepci hotelu nebo přes oficiální aplikaci platformy, kde jste rezervovali.

Co dělat, když už jste klikli nebo zaplatili

Tady platí jedno pravidlo: okamžitě. Ne „ještě dnes“, ne „po večeři“. Hned.

1. Kontaktujte svou banku a požádejte o blokaci karty i internetového bankovnictví.
2. Pokuste se zastavit zadané platby, banka může stihnout zablokovat transakci, pokud ještě nebyla zpracována.
3. Změňte hesla k rezervačnímu účtu i k e-mailu, který s ním souvisí.
4. Kontaktujte Policii ČR, Česká národní banka doporučuje podat oznámení co nejdříve.
5. Informujte ubytovací zařízení i platformu, přes kterou jste rezervovali.

Virtuální karta jako prevence před odjezdem

Jeden z nejúčinnějších způsobů, jak omezit škody i v případě, že se podvod povede, je platit virtuální kartou. V českém bankovnictví je nejkonkrétnější příklad jednorázová virtuální karta České spořitelny, kterou vytvoříte v aplikaci George na pár kliknutí a která po zaplacení, nebo nejpozději do hodiny, automaticky zanikne. I kdyby její údaje někdo získal, jsou už nepoužitelné.

Virtuální karty dnes nabízí i Air Bank, MONETA, Komerční banka nebo Raiffeisenbank, byť ne vždy v jednorázové variantě. Před každou cestou stojí za to ověřit, co vaše banka umí, a pro online platby za ubytování používat kartu, která nemá přístup k celému účtu.

Letní sezóna teprve začíná a rezervací přibývá. Podvodníci to vědí. Správné jméno hotelu ve zprávě na WhatsAppu už není důvod k důvěře, je to důvod k obezřetnosti.