- V USA se prý objevuje nový typ platebního podvodu, tzv. ghost tapping
- Podvodný prodejce vám bez vědomí naúčtuje k platbě vyšší částku, než se domluvíte
- Naštěstí můžete takovou platbu u své banky celkem rychle reklamovat
Češi patří k přeborníkům v bezkontaktním placení, typicky telefonem či hodinkami, výjimečně prstenem či zastarale běžnou platební kartou. Z únorového průzkumu vyplývá, že 75 % plateb za rok 2024 v Česku bylo provedeno bezkontaktně. Zvedají se však kvůli tomu nové typy podvodů, například v zahraničí pojmenovaný „ghost tapping“. Naštěstí existují funkční mechanismy, jak s těmito útoky bojovat.
Co je to ghost tapping?
Zhruba 15 let zpátky, když se bezkontaktní placení v Česku masově teprve rozjíždělo, panovala obava z nově nastupujících bezdrátových platebních terminálů. Ty měly vlastní baterii a přístup k tehdy se rozjíždějící 3G síti, takže mohly fungovat nezávisle na elektřině a pevném internetu.
Okamžitě se tak vžila obava, že podvodníci budou procházet s terminálem přeplněná náměstí či městskou hromadnou dopravu a přikládat terminály ke kapsám kolemjdoucích v domnění, že nahmatají peněženku a přes platební kartu vám strhnou peníze. Jak známo, do 500 korun není nutné zadávat PIN kód. Podobných případů však policie mnoho nezmapovala, šlo spíše o tzv. městskou legendu (urban legend).
V zahraničí se však objevuje nový typ podvodu, tzv. ghost tapping, který nastupuje díky tomu, že dnes již ani kolikrát nepotřebujete onen bezdrátový terminál k přijímání plateb. Stačí vám mobilní telefon (dnes už s Androidem i iOS), na který lze přijímat platby „přikládáním“ podobně jako dříve na terminál.
Zaplatíte víc, než si myslíte
Americká nezisková organizace Better Business Bureau (BBB) vydala varování před novým typem podvodu, který nazývá právě „ghost tapping“. Představte si situaci: Na ulici k vám přijde člověk, který tvrdí, že je z charity. Chce po vás malý příspěvek, třeba 50 nebo 100 korun, přičemž kromě hotovosti nabídne i platbu přes terminál/smartphone. Vy bohulibě svolíte k platbě malého příspěvku, přiložíte telefon k platbě, jenže namísto stokoruny přijdete o tisícovku nebo i víc.
BBB Warning ⚠️ Contactless payments are super convenient, but a new scam called "ghost tapping" could steal your money without you even realizing it!#GhostTapping #ContactlessPayments #ScamAlert #StaySafeOnline pic.twitter.com/f0yzyNVxXM
— BBB Wisconsin (@WisconsinBBB) October 2, 2025
Údajný zaměstnanec charity zmizí v davu, než si stačíte všimnout, že se vám z bankovního účtu strhlo mnohem víc, než bylo avizováno. A toto lze považovat za reálný problém – když platíte v obchodě, vidíte na displeji terminálu finální částku. Jenže při takové platbě částku vidět nemusíte, spoléháte pouze na to, že vám nikdo nenaúčtuje více, než bylo domluveno.
BBB na svých stránkách několik takových případů popisuje: „Jedna osoba chodí od dveří ke dveřím a tvrdí, že prodává čokoládu na podporu studentů se speciálními potřebami. Říká, že přijímá pouze platby kartou, aby přiměla lidi platit kartou. Poté z karty strhne velké částky, aniž by držitel karty mohl vidět částku. Moji matku okradla o 537 dolarů… Další oběť o 1 100 dolarů…“
Jak se bránit?
Naštěstí existuje účinný způsob, jak se proti těmto podvodům bránit, a to zejména v zemích, kde placení kartou převažuje nad tradiční hotovostí. Většina moderních bank je vybavena mechanismy na detekci a blokování podvodných plateb, zejména u transakcí provedených bez vašeho vědomí nebo v nesouladu s obvyklým chováním.
Pokud je platba provedena v důsledku vašeho donucení nebo pod tlakem (například podvodník se vás snaží přimět k rychlé platbě, případně avizoval jinou částku, než jakou jste pak nevědomky zaplatili), máte pravděpodobně nárok na vrácení peněz, pokud prokážete, že jste byli uvedeni v omyl.
Ve zkratce byste měli co nejdříve kontaktovat svou banku nebo vydavatele karty, ideálně ještě předtím, než vám platební transakce stihne způsobit větší škodu. Banky často vyžadují, abyste nahlásili podvod co nejdříve, a mohou vám vrátit již provedené neoprávněné transakce, pokud je prokážete nebo vaše chování jasně neladí s tím, jak byl podvod proveden.
Opravdový ghost tapping
S termínem „ghost tap“ či „ghost tapping“ však už delší dobu pracují kyberbezpečnostní experti, jde ale o něco trochu jiného – a patřičně víc rizikového. Řeč je o pokročilém NFC relay útoku, který není náhodný nebo spontánní, nýbrž výsledkem cílené organizované kybernetické kriminality. Jde o situaci, kdy útočníci nejprve získají citlivá data z platební karty nebo mobilního zařízení – často prostřednictvím phishingu, malwaru nebo SIM swap útoků, které jim umožní nejen opsat číslo karty, ale také získat jednorázový ověřovací kód potřebný pro přidání karty do mobilní peněženky (Google Pay, Apple Pay).
Poté je karta zaregistrována na zařízeních útočníků, čímž získají schopnost provádět platby bez fyzické přítomnosti originálního nosiče. Samotný princip relaye spočívá v tom, že útočníci využijí dvě mobilní zařízení s NFC: jedno s ukradenými údaji hraje roli vysílače, druhé (u „money mule“ v obchodě) přijímá signál a předává ho fyzickému terminálu. Komunikace mezi oběma zařízeními probíhá v reálném čase přes internet, takže platba na pokladně na jednom kontinentu je v reálu provedena kartou majitele z jiného místa nebo země.
Díky využití validních kryptografických odpovědí v signálu NFC terminály platbu akceptují jako legitimní. Tyto útoky navíc často maskují svou stopu tím, že provádějí transakce s malými částkami nebo v různých lokalitách, což ztěžuje klasickou detekci.