Pozor na nové podvody s NFC: V roce 2026 přibylo zlodějů, kteří donutí přiložit k mobilu kartu a zadat pin

Stačí jeden telefonát, jedna aplikace a krátké přiložení karty k mobilu tam, kde je NFC anténa. V tu chvíli jsou vaše peníze pryč a banka vidí regulérní výběr s vaší kartou a PINem. Technika v Česku za poslední půlrok mohutně přibývá a okrádá lidi všech věkových skupin.

Co je „červí díra“ a proč v Česku tak rychle přibývá

Pod žargonem „červí díra“ se skrývá relay útok, při kterém pachatelé na dálku zkopírují platební kartu oběti pomocí NFC čipu. Klíčovým nástrojem je škodlivý kód NGate pro Android.

Antivirová společnost ESET hlásí, že detekcí NGate na českých a slovenských Androidech bylo letos za leden až duben víc než za celý loňský rok, meziročně to ve stejném období dělá přibližně patnáctinásobek. Devět z deseti zachycených instalací navíc komunikuje s jednou shodnou infrastrukturou. Pro ESET je to indicie, že za vlnou stojí jediná organizovaná skupina.

Jak útok vypadá krok za krokem

NGate se v telefonu objeví výhradně přes součinnost samotné oběti. Řetězec začíná telefonátem od člověka vydávajícího se za bankéře, kriminalistu nebo investičního poradce. Volající tlačí naléhavostí: napadený účet, podezřelá transakce, úvěr na vaše jméno.

Pak vás navedou k instalaci aplikace vypadající jako bankovní nebo bezpečnostní nástroj. V Česku takhle koncem roku 2025 obíhal podvodný klon mobilní aplikace České národní banky. Aplikace vyžádá přiložení karty k mobilu na místo NFC antény a zadání PIN. NFC údaje karty i s PINem putují k zařízení útočníka u bankomatu, který okamžitě vybírá hotovost. Banka vidí regulérní výběr s čipem a PINem. Některé varianty přidají i vzdálenou správu zařízení, pomocí které útočník potvrzuje bezhotovostní převody bez jediné notifikace na displeji oběti.

Odebírejte náš 🚨 Spotřebitelský radar

Exkluzivní obsah, slevy, soutěže, testy a výhodné nabídky. Vybráno naší redakcí, každý den na váš e-mail. Pro první odběratele zdarma, využijte toho!

Odebírat

Posíláme jen to, co stojí za to. Řídíme se zásadami ochrany soukromí.

Díky, že čtete arecenze.cz

Jsme tým nadšenců, kteří tvoří obsah o všem, co má přímý dopad na peněženku nebo praktický život běžného Čecha — co koupit, jak ušetřit, čemu se vyhnout a kolik zaplatíte.

Klikněte a odebírejte naše články z boxíku na domovské stránce Seznam.cz

Kolik podvod stojí klienty českých bank

V individuální rovině je dopad nejtíživější: zatímco za první čtvrtletí 2025 přišla jedna oběť v Česku průměrně o 15 854 Kč, ve stejných měsících 2026 už šlo o 33 460 Kč. Česká bankovní asociace vyčíslila úhrn ukradených peněz za leden až březen 2026 na 798 676 800 Kč, proti loňskému prvnímu kvartálu jde o více než dvojnásobek. Dalších zhruba 3,4 miliardy korun banky podle asociace zachytily ještě uvnitř systému. Souběžně s NFC útoky vznikají v Česku i falešné reklamy s logem bank na sociálních sítích.

Příklad z regionu nabízí Děčínsko. Podle tiskové zprávy Krajského ředitelství policie Ústeckého kraje z konce ledna 2026 zaznamenali tamní kriminalisté od prosince 2025 do ledna 2026 nejméně devět případů červí díry se souhrnnou škodou přes 2,3 milionu korun. Že se nejedná o regionální specialitu severních Čech, ukazuje paralelní telefonický útok z jihočeského kraje. Tamní ženu připravili podvodníci o víc než 660 tisíc korun ve dvoufázovém scénáři, který pro Deník.cz popsala mluvčí jihočeské policie Lenka Krausová: nejdřív ji oslovil falešný kriminalista, vzápětí zavolal druhý muž jako bezpečnostní pracovník banky a postupně z ní vylákali převody i hotovost.

Sedm pravidel, která vás dokážou ochránit

• Banka po telefonu nikdy nepožaduje instalaci aplikace přes odkaz. Kdo to chce, je podvodník.
• Kartu nikdy nepřikládejte k mobilu na cizí pokyn. Legitimní bankovní aplikace tento krok nevyžaduje.
• PIN nezadávejte do žádné mobilní aplikace. Patří jen do klávesnice bankomatu nebo platebního terminálu.
• Aplikace stahujte z oficiálního obchodu vašeho operačního systému a kontrolujte hodnocení a profil vývojáře.
• NFC mějte vypnuté, kdykoli neplatíte. Na Androidu k tomu stačí jedno klepnutí v rychlém nastavení.
• Mějte v mobilu antivirus. Moderní řešení dokážou NGate zachytit dřív, než stihne škodu.
• Při tlaku v hovoru zavěste a sami zavolejte do banky přes oficiální číslo z karty nebo z webu.

Když podvod proběhne, jednejte do minuty

Pokud zjistíte, že už jste kartu přiložili nebo zadali PIN, není čas na váhání. Zavolejte do banky a kartu nechte zablokovat. Ohlaste událost na Policii ČR.

Číslo najdete i na zadní straně karty, šance na zastavení transakce klesá s každou minutou. Šance na vrácení peněz se podle Air Bank dramaticky liší podle toho, jakou cestou peníze odešly. U bezhotovostních převodů ještě může pomoci rychlá spolupráce mezi bankami, „v případě, kdy však přes NFC útok dojde k získání PIN kódu a k vybrání peněz v hotovosti z bankomatu, je šance na jejich vrácení téměř nulová,“ citovala dříve mluvčí banky Alžběta Honsová pro Deník.cz. Právě tahle asymetrie dělá z NFC útoků jeden z nejnebezpečnějších druhů kyberkriminality v Česku.

Zdroje: https://policie.gov.cz/clanek/podvodnici-na-decinsku-otevreli-cervi-diru-k-bankovnim-uctum.aspx, https://www.chip.cz/bezpecnost/malware-ngate-nfc-platebni-karta-telefon-podvod, https://www.eset.com/cz/o-nas/pro-novinare/tiskove-zpravy/eset-malware-se-maskuje-za-aplikaci-cnb-utocnici-pak-pomoci-nfc-technologie-vybiraji-penize-z-bankomatu/, https://www.mesec.cz/aktuality/telefonat-falesna-aplikace-a-karta-v-mobilu-podvodnici-zneuzivaji-nfc-aby-vam-ukradli-penize/, https://www.bankovnikarty.cz/pages/czech/blokace_karet.html, https://www.denik.cz/ekonomika/staci-prilozit-kartu-k-mobilu-a-penize-jsou-pryc-nebezpecnych-aplikaci-pribyva-2.html