Hned 2. ledna 2026 velké množství českých uživatelů e-mailových schránek obdrželo e-mail „od VZP“, který informoval o „přeplatku“.
Pomiňme, že tento e-mail s vysokou pravděpodobností automaticky skončil ve spamu, jako v našem případě. Navíc nesl všechny známky phishingu, tedy podvodu. Než půjdeme k věci, ukážeme si typické příznaky.
Odesílatel a cílená odpověď:
postmaster@e60a82b07c.nxcli.io
Původní e-mail bez úprav:
Oznámení o vrácení z VZP
Vážený zákazníku,
Doufáme, že vás tato zpráva zastihne v pořádku. Rádi bychom vás informovali, že zpracováváme vrácení částky 11 480,59 Kč, kterou vám dluží Všeobecná zdravotní pojišťovna (VZP). Tento přeplatek vznikl během posledního účetního období a bude vám vrácen na základě níže uvedených podrobností.
Podrobnosti o vrácení:
Výše vrácení: 11 480,59 Kč
Referenční číslo: VZP-2026–789
Datum původní platby: 02. ledna 2026
Důvod vrácení: Přeplatek na zdravotním pojištění
Vrácení bude zpracováno do 24 hodin. Prosíme vás, abyste potvrdili aktuálnost vašich bankovních údajů nebo nám sdělili preferovanou metodu přijetí platby.
Pro zajištění hladkého průběhu klikněte na následující tlačítko a dokončete proces:
Uplatnit vrácení (tlačítko vedlo na podvodnou stránku)
Máte-li jakékoli dotazy nebo potřebujete další informace, neváhejte nás kontaktovat.
Děkujeme za vaši pozornost k této záležitosti. Velmi si vážíme vaší spolupráce.
S pozdravem,
Petr Pavel
Finanční manažer
VZP Company
Pokud vás do očí netrkla odlišná e-mailová adresa, jsou tam minimálně dva další znaky, které by měl prohlédnout každý uživatel internetu.
Petr Pavel je prezidentem České republiky a VZP Company naznačuje velmi špatný překlad do češtiny.
Dobře, přehlédli jste to a klikli na tlačítko.
Podvodný e-mail napodobující Všeobecnou zdravotní pojišťovnu. Červeným tlačítkem se dostanete na podvodný web. (2. 1. 2025)
Červený odkaz vedl na
https://stoomweb.com/vzp/
Teď byste si měli všimnout, že sice na webu vidíte logo VZP, ale jste na webu
stoomweb.com.
Pořád jste si nevšimli? My jsme se také vžili do role podvedeného a pokračovali jsme dál.
Hrajeme si s podvodníky
Web vás vyzval k zadání čísla vaší platební karty pro vrácení přeplatku, včetně platnosti karty a CVC/CVV kódu.
Teď byste měli znovu zbystřit, protože v původním e-mailu se psalo, citujeme:
Prosíme vás, abyste potvrdili aktuálnost vašich bankovních údajů nebo nám sdělili preferovanou metodu přijetí platby.
Vy ale najednou nemáte možnost volby. Hned musíte zadat číslo karty. Divné, viďte?
Malá odbočka. Ano, na platební kartu lze poslat peníze, ale k tomu, aby vám na ni někdo peníze poslal, stačí jen samotné číslo platební karty. Ne její platnost a ne bezpečnostní kód. Pokračujeme dál.
Na podvodném webu zadáváme číslo skutečné platební karty. Pokud to uděláte také, ještě máte poslední záchrannou brzdu: zamítnout požadavek na transakci, která vám přijde od vydavatele karty. (2. 1. 2025)
Poctivě zadáváme číslo platební karty, včetně všech dalších údajů. Během 7 minut dostáváme do mobilu push notifikaci od banky s požadavkem potvrzení transakce kartou ve výši 11 480 Kč.
Platbu potvrzujeme.
Pokud jste to udělali také a na účtu měli peníze, právě jste o peníze přišli, protože jste potvrdili platbu vaší kartou, ne vrácení peněz na kartu (to nijak nepotvrzujete).
Ale my si jdeme hrát dál.
Na účtu (záměrně) není tolik peněz, proto to podvodníci zkoušejí znovu. Přichází další požadavek platby, tentokrát na švédské koruny, v přepočtu 11 897,77 Kč. Opět zamítnuto (nejsou peníze).
Hra pokračuje, podvodník zkouší nižší limit na kartě a posílá požadavek na 1069 SEK (2391,19 Kč). Ani toto neprošlo a dál to už nezkouší.
Tím by příběh mohl skončit, ale ne pro Měšec.
Game over přes správce hostingu
Obratem zkoumáme, na jakém hostigovém serveru běží podvodný web. Zjišťujeme, že jde o německou seriózní společnost Hetzner Online GmbH. Na jejich webu vyplňujeme formulář pro hlášení zneužití, přikládáme komentář a důkazy.
Po třech dnech je web odpojen, o čemž nás správce hostingu informuje. Tím příběh podvodníků končí, ale během pár minut se může odehrát jiný, přes jiný web a jiný hosting. Buďte opatrní.
Bez šance na reklamaci
Pokud byste se do takové pasti skutečně chytli a transakce potvrdili, jste sice obětí trestného činu, ale možnost reklamace bude blízká nule: dobrovolně jste tuto transakci potvrdili ve svém mobilním bankovnictví, či jiným autentizátorem.
Ilustrační obrázek.
Drobnou útěchou může být, že peníze nešly přímo podvodnikovi, ale dvěma platebním institucím: Western Union a WorldRemit. Obě jsou regulovanými subjekty, takže velmi dobře vědí, kam peníze poté putovaly. Jenže než dojde k dokončení reklamačního procesu, peníze jsou pryč a s němi i bílý kůň, na kterého byla registrace u nich provedena. Tady jde o minuty, přičemž reklamace a úřední postupy jsou otázkou týdnů. Na konci případného šetření tak budete vědět, na koho byl otevřený virtuální platební účet, ale nikoli kdo seděl za počítačem a o vaše peníze vás obral.
Nenechte se nachytat, rádi to vždy uděláme za vás a napíšeme vám, jak to dopadlo.
Chronologie podvodu
pátek 2. 1. 2026
15:57 Přeplatek od VZP ve výši 11 480,59 Kč
17:10 Na podvodný web zadáváme číslo karty pro vrácení přeplatku.
17:17 Potvrzujeme v bankovní aplikaci transakci od Western Union ve výši 11 480 Kč (na účtu nemáme peníze).
17:19 Potvrzujeme 2. transakci od WorldRemit ve výši 5319,98 SEK (11 897,77 Kč)
17:20 Potvrzujeme 3. pokus od WorldRemit na 1069 SEK (2391,19 Kč)
17:40 Správci hostingu reportujeme phishing a přikládáme důkazy.
18:50 Automatická odpověď o přijetí reportu.
pondělí 5. 1. 2026
14:10 Web je smazán.