Stačí jedno kliknutí a jedno potvrzení, a útočník tiše čte vaše zprávy, aniž byste cokoli poznali. Česká národní banka vydala konkrétní varování.
Dne 13. května 2025 publikovala ČNB aktualitu s názvem, který mluví za vše: „I zpráva od vašeho blízkého může být past!“ Nešlo o obecné doporučení k opatrnosti na internetu. Banka reagovala na konkrétní vlnu podvodů, při nichž lidé přicházeli o desítky tisíc korun poté, co otevřeli odkaz ve WhatsApp konverzaci, odkaz, který jim poslal skutečný kamarád, kolega nebo příbuzný. Jenže ten kamarád o ničem nevěděl. Jeho účet už ovládal někdo jiný.
Jak podvod funguje krok za krokem
Celý trik stojí na legitimní funkci WhatsAppu nazvané Připojená zařízení. Díky ní si běžně spárujete telefon s počítačem nebo tabletem. Útočníci ale tuhle funkci zneužívají přes phishingový odkaz a sociální inženýrství; výzkumníci společnosti Gen Digital tento postup pojmenovali GhostPairing.
Průběh vypadá takto:
- Dostanete zprávu od známého, třeba prosbu o hlas v anketě nebo odkaz na „fotku“.
- Odkaz vede na falešnou stránku, která vypadá jako ověřovací formulář. Zadáte své telefonní číslo.
- Falešný web v pozadí spustí skutečný proces párování zařízení přes WhatsApp. Aplikace vám pošle párovací kód.
- Web vás požádá, abyste kód „opsali pro ověření“. Jakmile ho zadáte ve WhatsAppu, schválíte připojení útočníkova zařízení ke svému účtu.
Kritický moment není kliknutí na odkaz. Je to až potvrzení párovacího kódu nebo naskenování QR kódu přímo v aplikaci. Jenže v tu chvíli už většina obětí netuší, co vlastně schvaluje, stránka celý proces maskuje jako běžné ověření identity.
Proč je zpráva tak přesvědčivá
Starší podvody typu „Ahoj mami, mám nové číslo“ přicházely z neznámého čísla. Člověk mohl pojmout podezření už z prvního pohledu. Tady je to jinak. Zpráva dorazí z reálného, již kompromitovaného účtu vašeho známého, ve stávající konverzaci, pod správným jménem, se správnou profilovou fotkou. Útočník po ovládnutí jednoho účtu rozešle krátké zprávy všem jeho kontaktům a řetězec se šíří dál.
Policie ČR na Kladensku v únoru 2026 výslovně upozornila, že nestačí podezřelou zprávu ověřit odpovědí v téže konverzaci. Podvodník totiž může reagovat a konverzaci udržovat. Jediný spolehlivý postup je zavolat známému na číslo, které už máte uložené, mimo WhatsApp.
Co útočník po připojení získá
Po úspěšném spárování má útočník stejné možnosti jako kdokoli, kdo používá WhatsApp Web nebo Desktop. Konkrétně:
- Čte celou historii zpráv včetně starších konverzací.
- Přijímá nové zprávy v reálném čase, vidí vše, co vám kdo napíše.
- Stahuje sdílená média, fotky, videa, dokumenty.
- Píše zprávy vaším jménem jednotlivcům i skupinám.
Telefon oběti přitom funguje zcela normálně. Žádné odhlášení, žádné upozornění. Připojené zařízení zůstává aktivní, dokud ho uživatel ručně neodpojí; podle výzkumníků Gen Digital může takový „tichý“ přístup trvat týdny i měsíce. Právě v tom spočívá největší nebezpečí: nejde o jednorázový útok, ale o dlouhodobý odposlech, z něhož útočník ve vhodný moment rozešle důvěryhodné žádosti o peníze.
České případy: ne teorie, ale desítky tisíc korun škody
Že nejde o hypotetickou hrozbu, dokládají opakovaná regionální varování Policie ČR. V okrese Chomutov evidovali v květnu 2025 nejméně deset poškozených, jednotlivé škody se pohybovaly mezi 27 a 30 tisíci korunami. Na Karlovarsku v lednu 2026 policie hlásila „opět zvýšenou vlnu“ a jeden případ se škodou 90 tisíc korun. Kladenská policie v únoru 2026 potvrdila, že případy se objevují napříč regiony a jejich počet roste.
Celostátní součet obětí veřejně dostupný není. ČNB ale na své Zelené lince eviduje 5 až 10 stížností na podvody v platebním styku denně, a trend nepolevuje.
Jak se bránit a co dělat, pokud jste klikli
Prevence je přímočará. Nikdy nepotvrzujte párovací kód ani QR kód, pokud jste si sami nezačali připojovat vlastní zařízení. Každý neočekávaný odkaz v konverzaci ověřte telefonátem mimo chat.
Pokud máte podezření, že jste na phishingový odkaz už klikli a cokoli potvrdili, postupujte takto:
- Okamžitě otevřete WhatsApp → Nastavení → Připojená zařízení. Projděte seznam a odhlaste vše, co nepoznáváte.
- Zapněte nebo resetujte dvoufázové ověření v nastavení WhatsAppu.
- Varujte své kontakty, že z vašeho účtu mohly odejít podvodné zprávy.
- Pokud jste zadali bankovní údaje nebo odešla platba, volejte bance bez odkladu a podejte oznámení na Policii ČR.
Že platforma problém bere vážně, potvrzuje i Meta, která v březnu 2026 nasadila nové varování přímo při podezřelém připojování zařízení. Šifrování WhatsAppu prolomeno nebylo. Prolomená byla důvěra mezi lidmi, a to je vždycky levnější útok.