Přeskočit na obsah
OwlGuardScore

Apple Pay a Google Pay — platba mobilem

Platba kartou v mobilu, kde číslo karty nikdy nevidí obchodník.

Co to je

Když do mobilu „vložíš" platební kartu, banka přiřadí jedinečné virtuální číslo (token) navázané jen na tvé zařízení. Při platbě obchod dostane tento token, ne tvoje skutečné číslo karty. Bez biometrického ověření na zařízení transakci nikdo nedokončí.

Proč to záleží

Únik z e-shopu nebo skimming na terminálu ti při použití Apple/Google Pay nemůže ukrást reálné číslo karty. V terénu je to skoro vždy bezpečnější než platba plastickou kartou.

Jak útok funguje

Apple/Google Pay je v praxi velmi obtížné zaútočit, ale slabiny existují:

1. Útok na PŘIDÁNÍ karty (card provisioning fraud)

Útočník získá tvé údaje karty (číslo, CVV, datum platnosti) z phishingu nebo úniku e-shopu. Místo přímého použití karty (kde 3DS chrání) přidá kartu do svého Apple Pay. Banka tě v tu chvíli ověří přes SMS kód (push notifikaci) — ten musí předat útočníkovi (typicky telefonát "z banky" o "potvrzovacím procesu"). Pokud kód vyzradíš, útočník má tvou kartu ve svém telefonu = může platit do limitu.

2. Krádež telefonu ODEMČENÉHO

Pokud útočník získá tvůj iPhone v odemčeném stavu (krátká doba po tom, co jsi telefon používal, scoring, vyrváno z ruky), může:

  • Platby přes Apple Pay do bezkontaktního limitu (typicky ~500 Kč) bez biometrie.
  • Když i biometrie je aktivní → musí ověřit, ale Apple/Google Pay má omezené pokusy. Pak se přepne na PIN.

Apple iOS 17.3+ má Stolen Device Protection — když je telefon mimo "známou lokaci" (domov, práce), Apple Pay vyžaduje biometrii bez fallback PIN + dělá 1h delay pro citlivé akce. Tento mode po krádeži zabrání útočníkovi přidat novou kartu nebo změnit Apple ID.

3. NFC relay attack (teoretický)

Útočník přiloží svůj telefon k tvému (v davu, v MHD), pošle požadavek na platbu přes NFC relay přes 4G k partnerovi v obchodě. Cíl: zaplatit bezkontaktně bez biometrie. V praxi: vyžaduje biometrii pro Apple/Google Pay → útok nefunguje. Pro classickou kartu bez Apple/Google Pay je NFC relay reálnější hrozba.

4. Phishingová "platební brána"

Útočník postaví falešný e-shop. Cena je perfektní, design dobrý. Při check-out zobrazí podvrženou Apple Pay platební page (vypadá jako Apple Pay sheet, ale je to web). Vyplníš jméno, adresu, kliknutí "Pay with Apple Pay" tě ve skutečnosti pošle na klasickou platební bránu, kde vyplníš PŘÍMO údaje karty. Apple Pay tě v tu chvíli NECHRÁNÍ — neprošel jsi pravým flow.

Co útok na Apple/Google Pay NEUMÍ:

  • Ukrást skutečné číslo karty — to v telefonu fyzicky není (jen token).
  • Použít platbu bez biometrie / PIN pro velké částky (limit je obvykle 500 Kč bezkontaktně bez ověření, větší vždy s biometrií).
  • Použít token na jiném zařízení — token je vázán na konkrétní Secure Enclave / Trusted Platform Module.

Jak se chránit

Setup Apple Pay / Google Pay:

  1. Nastavení → Wallet → Přidat kartu. Banka tě ověří přes:
    • Push notifikaci v banking aplikaci (preferovaná metoda)
    • SMS kódu (méně bezpečné, ale stále OK)
  2. Pro každou kartu nastav limit v banking aplikaci — kolik se může bezkontaktně utratit denně.
  3. Zapnout transakce notifikace — okamžitě vidíš každou platbu, můžeš zachytit anomálii.

Při běžném použití:

  • Apple/Google Pay > plastik karta v 99 % situací (e-shop, terminál, MHD, parkování). Platby jsou rychlejší, čísla karty neuvidí obchod, fraud risk je nižší.
  • Stolen Device Protection (iOS 17.3+) zapnuté: Nastavení → Face ID & Passcode → Stolen Device Protection ON.
  • Biometrie pro každou platbu nad limit (typicky 500 Kč). Pro menší částky kontaktless funguje bez ověření.

Při krádeži / ztrátě telefonu:

  1. Find My (Apple) nebo Find My Device (Google) → vzdáleně uzamknout zařízení.
  2. Apple Pay / Google Pay automaticky deaktivuje všechny karty na zařízení — i pokud útočník zařízení odemkne, karty nepoužije.
  3. Banking app — zablokovat / omezit kartu (jako preventivní opatření).
  4. Viz [playbook Ztráta telefonu].

Pro citlivé operace:

  • Velké částky (typicky 50 000+ Kč) — banka většinou vynucuje dodatečné ověření (PIN + biometrie + push notifikace v banking app).
  • Online platby v cizí měně — preferovat virtuální kartu Revolut / Wise s nízkým limitem, než hlavní debetka.
  • Subscription services — projít 1× ročně, jaké automatické platby běží přes Apple/Google Pay. Iiltrace přes "skryté" subscription je častý zdroj malých neviditelných ztrát.

Phishing prevence:

  • Apple Pay sheet se otevírá NA URROVNI OS, ne v prohlížeči. Pokud "Apple Pay sheet" vypadá jako web stránka v prohlížeči, je to fake.
  • Vždy kontroluj URL e-shopu před zahájením checkout.
  • Pro neznámé e-shopy — virtuální karta s limitem 1000 Kč.

Card provisioning podvod:

  • Nikdy nesděluj SMS kód po telefonu, ani když volá "banka". Banka neověřuje card provisioning telefonicky.
  • Pokud máš podezření, že tvoji kartu někdo přidává do cizího Apple Pay → IHNED banku, zablokovat kartu.

Pro firemní karty:

  • Apple Pay na firemní iPhone pouze pokud má MDM (Mobile Device Management) pro vzdálené odpojení.
  • Spending limity v banking aplikaci — denní, měsíční.
  • Notifikace na účetní o transakcích nad X Kč.

Časté mýty

  • Mýtus"Apple/Google Pay je nebezpečné — kdyby mi ukradli telefon, můžou platit za mě."

    RealitaPlatba nad běžný kontaktless limit (~500 Kč) **vyžaduje biometrii / PIN**. Bez nich Apple/Google Pay nepřevede peníze. iOS 17.3+ navíc má Stolen Device Protection — když je telefon mimo "známou lokaci", všechny citlivé akce (i platba) vyžadují biometrii bez fallback. Útočník s ukradeným odemčeným telefonem může utratit max ~500 Kč, pak se Apple Pay zamkne.

  • Mýtus"Klasická karta s 3DS je stejně bezpečná, žádný rozdíl."

    RealitaU klasické karty obchod VIDÍ tvoje plné číslo karty + CVV + datum platnosti. Když e-shop unikne (klasický scénář — Heureka, Mall, atd. v posledních letech vícekrát), tvoje data jsou venku. Apple/Google Pay obchodu posílá jen **token** — kdyby unikl, není sám o sobě k použití. Plus Apple/Google Pay vyžaduje biometrii navíc, kterou klasická karta nemá.

  • Mýtus"Skvělé, můžu zruším všechny papírové karty."

    RealitaApple/Google Pay funguje téměř všude, ale ne 100 % — některé starší POS terminály v ČR ne, nemocnice, úřady, výjimečné případy. Klasická karta jako záloha v peněžence (s nízkým bezkontaktním limitem) je stále rozumná. Plus některé situace (cestování bez internetu, zapomenutý telefon) ji vyžadují.

Quick checklist

Setup (jednou):

  • Wallet → Přidat kartu přes oficiální flow s ověřením v banking app.
  • Biometrie zapnutá pro platby.
  • iOS Stolen Device Protection ON (Nastavení → Face ID & Passcode).
  • Notifikace o každé transakci v banking aplikaci.
  • Limity denní a měsíční bezkontaktní platby nastavené.

Při běžném použití:

  • Apple/Google Pay > plastik karta, kde to obchod podporuje.
  • Při velkých částkách (50k+) vyžadovat ověření v banking aplikaci.

Pro online platby:

  • Virtuální karta s limitem (Revolut, Wise) pro neznámé e-shopy.
  • Kontrola URL e-shopu před checkout.
  • Apple Pay sheet má vypadat jako native iOS sheet, ne web stránka.

Při krádeži:

  • Find My / Find My Device → vzdálené uzamčení.
  • Banking app → zablokovat / omezit kartu.
  • Apple/Google Pay deaktivace karet je automatická.
  • Viz ztráta telefonu playbook.

Pravidelná údržba:

  • 1× měsíčně projít transakce — anomálie?
  • 1× ročně projít subscription services přes Apple/Google Pay.

Podobná témata

Souvisí s kategoriemi v testu: Mobilní platby (Apple/Google Pay), Bezpečnost bankovnictví

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.