Přeskočit na obsah
OwlGuardScore

Bazarové podvody (Bazoš, Sbazar, Marketplace)

Podvodník na bazaru — předem zaplať doručení, ale zboží nikdy nedorazí.

Co to je

Útočník na bazaru (Bazoš, Sbazar, Facebook Marketplace) předstírá legitimního prodejce nebo zájemce. Typické scénáře: (1) chce platbu předem za „doručení kurýrem", (2) pošle ti podvržený screenshot zaplacení a žádá tě, ať mu „pošleš zboží než přijde výpis", (3) přesměruje tě na podvrženou stránku „pošty", kde žádá zadání karty pro „uvolnění zásilky".

Proč to záleží

Pravidla bezpečného bazaru: (1) zboží převzít vždy osobně, platba v ruce nebo cash-on-delivery, (2) nikdy nepředávat SMS kódy nebo údaje o kartě — ani „od kurýra", „od pošty" či „od banky" — žádná legitimní služba je po tobě nepotřebuje, (3) kontrola profilu prodejce (stáří účtu, hodnocení, počet inzerátů) — snižuje, ale nevylučuje riziko. Pokud cena výrazně vystupuje z trhu (super sleva), je to typicky bait.

Jak útok funguje

Bazarové podvody se v ČR 2024-2026 dělí na 3 hlavní vzorce:

1. Útok na PRODÁVAJÍCÍHO (nejčastější v ČR)

Prodáváš na Bazoši / Marketplace lyže za 8 000 Kč. "Kupec" projeví zájem mimo platformu — "Můžeme se domluvit přes WhatsApp / Messenger?" Pak:

  1. "Chci to koupit, ale jsem mimo Prahu. Pošlu kurýra — Zásilkovna / DPD. Můžeš to poslat?"
  2. "Posílám ti link, ať si přečteš podmínky doručení. Klikni a vyplň údaje."
  3. Link vede na podvrženou stránku napodobující Zásilkovnu / Českou poštu. Žádá tě, abys "ověřil příjem platby" vyplněním údajů karty + 3DS SMS kódu.
  4. Útočník v reálném čase používá tvoje údaje na ÚPLNĚ JINÉM webu (e-shop, Booking). 3DS kód, který ti přišel, "ověříš" na podvrženém webu → útočník ho použije na reálném webu během 30 sekund.
  5. Tobě z karty odejde 8 000–50 000 Kč, podle limitu karty.

2. Útok na NAKUPUJÍCÍHO

Inzerát "iPhone 15 Pro za 12 000 Kč" (skoro polovinu trhu). Po dotazu:

  1. "Mám naléhavou situaci, prodávám rychle. Pošli platbu jako rezervaci, doručím Zásilkovnou."
  2. Pošleš peníze. Telefon nikdy nedorazí. Profil zmizí.
  3. Varianty: podvržené screenshoty zaplacení od kupce, žádost o "vrácení přeplatku" (záměrně přeplatí o 5 000 Kč, žádá vrácení), atd.

3. Telefonát "z policie / banky"

Po sklenutém prodeji ti zavolá "Policie" — "vaše karta byla zneužita při bazarové transakci, potřebujeme ověření přes naši ochrannou linku". Vede tě na podvrženou stránku banky. Vyplníš login. Útočník vybíí účet.

Společné vektory:

  • Časový tlak"musím to dnes", "jedu z kraje", "jen pro vás máme tu cenu".
  • Mimo platformu — útočníci se snaží přesunout konverzaci na WhatsApp/Messenger, kde bazar nevidí (a nevaruje).
  • Cizí jazyk / lámaná čeština — typický signál, ale ne vždy. Profesionální útočníci najímají rodilé Čechy.
  • Profil "čerstvý" — vytvořený před týdnem, žádné inzeráty, žádné hodnocení.

Jak se chránit

Pravidla pro PRODEJ:

  • Komunikace ZŮSTÁVÁ na platformě (Bazoš, Sbazar, Marketplace). Pokud kupec přesouvá konverzaci na WhatsApp / Messenger / Telegram, je to red flag. Kvalitní platformy mají moderaci a uchovávají historie pro spory.
  • Žádné odkazy na "ověření doručení" — žádná zásilková služba tě nežádá vyplnit kartu na webu kvůli "uvolnění platby". Skutečné kurýrní služby pracují s adresou + telefonem na příjemce, hotovo.
  • Platba PŘEDEM na účet je legitimní (banka kontroluje), ale POUZE pokud máš jistotu o protistraně. Při větších částkách: čekat 1-2 dny po obdržení platby (anti-podvodný interval) než odešleš zboží.
  • Osobní převzetí > Zásilkovna > kurýr. Osobně je nejbezpečnější (zboží proti hotovosti). Zásilkovna výplata na dobírku má jistotu pro tebe, ale ne pro kupce. Kurýr je nejvíc fraud-prone.
  • Cash-on-delivery je pro tebe bezpečné, ale pozor: nevyplňuj nic na podvržené "ověřovací" stránce — žádná taková není.

Pravidla pro NÁKUP:

  • Cena pod 60 % trhu = červená vlajka. Profesionální podvody mají cenu trochu pod trhem (atraktivní, ne podezřelé); amatéři volí extrémní slevy.
  • Profil prodejce: stáří účtu (1+ rok ideálně), počet hodnocení (10+), kvalita inzerátů (reálné fotky, ne stock).
  • Reverse image search fotek (Google Lens) — pokud fotka existuje jinde na internetu (stejný produkt, jiný prodejce), je to typicky podvod.
  • Žádné platby předem na účet u inzerentů, které nepoznáš osobně. Pokud platit musíš, zvolit SafePay nebo escrow službu (Heureka Záruka, ale i pro bazar).
  • Osobní převzetí v public místě (Anděl, Pankrác — místa s lidmi). Pokud se prodejce vyhýbá osobnímu setkání = pozor.

Universální pravidla:

  • 3DS SMS kód z banky NIKDY nepředávej. Banka tě nikdy nežádá kód předat — kód se zadává jen do oficiální banking aplikace nebo na banking webu. Pokud cizí stránka chce "ověřovací kód", je to podvod 100% případů.
  • Údaje karty na bazarové platformě nepoužívej — bazar nepotřebuje tvoji kartu. Platby přes oficiální platební bránu platformy (kde to jde) nebo bankovní převod.
  • Telefonát "z policie / banky" po prodeji — vždy zavěs a zavolej zpět na oficiální linku banky (z karty, ne z toho, co řekli oni).

Po útoku:

  1. Karta vyplněna na podvržené stránce → IHNED zablokovat kartu (banka 24/7).
  2. Banking login + 3DS kód předán → IHNED změnit heslo + zavolat banku + storno převodů.
  3. Peníze odeslány na účet podvodníka → banka může pokusit storno (úspěšnost ~30% v hodině, klesá).
  4. Nahlas Bazoš / Sbazar / Marketplace — profil mohou zablokovat, varovat ostatní.
  5. Policie ČR — kybernetický odbor (974 887 555). Větší případy (10 000+ Kč) se vyšetřují.

Časté mýty

  • Mýtus"Když mě podvedou, banka mi peníze vrátí — mám pojištění karty."

    RealitaBanka vrátí peníze v případě **podvodné transakce** (cizí přístup k tvé kartě), ale když JSI VYPLNIL údaje + 3DS kód dobrovolně, je to autorizovaná transakce. Banka tě bude zpochybňovat: "vyplnil jste 3DS kód, to znamená, že jste transakci schválil". Pojištění karty obvykle nepokrývá social engineering. Po dlouhém vyjednávání mohou banky vrátit část, ale není to jistota.

  • Mýtus"Bazoš a Sbazar mají kontroly — podvodník by se tam nedostal."

    RealitaBazoš a Sbazar mají moderaci, ale registrace je rychlá a anonymní. Útočník vytvoří nový účet za 5 minut, podvede 3 lidi za týden, účet je zablokován, vytvoří další. Platformy reaktivně řeší stížnosti, ne preventivně chrání. Tvoje opatrnost je primární filter.

  • Mýtus"Zásilkovna / DPD chrání kupujícího i prodávajícího."

    RealitaZásilkovna chrání STANDARDNÍ flow (dobírka, klasické doručení). Ale útočník nepřesměrovává tě k pravé Zásilkovně — vede tě na **podvrženou stránku, která se za Zásilkovnu vydává**. Pravá Zásilkovna ti nikdy nepošle odkaz s žádostí o vyplnění karty pro "uvolnění platby". Pokud máš pochyby, otevři aplikaci Zásilkovny ručně.

Quick checklist

Při PRODEJI:

  • Komunikace zůstává na platformě, ne WhatsApp/Messenger.
  • Při větších částkách osobní převzetí v public místě.
  • Žádné údaje karty / 3DS kódy na cizí stránce.
  • Při kurýrovi: nevyplň nic na "ověřovací stránce" — taková neexistuje.

Při NÁKUPU:

  • Cena pod 60 % trhu? Pozor — typicky bait.
  • Stáří profilu prodejce 1+ rok, 10+ hodnocení.
  • Reverse image search fotek (Google Lens).
  • Osobní převzetí v public místě > Zásilkovna > kurýr.
  • Pokud platit předem: SafePay / escrow služba, ne přímý převod.

Univerzální red flags:

  • Časový tlak ("dnes nebo nikdy").
  • Žádost o přesunutí konverzace mimo platformu.
  • Lámaná čeština nebo cizí slovní obraty.
  • Cizí stránka chce 3DS kód / údaje karty.

Po útoku:

  • Karta → IHNED banka, zablokovat.
  • Banking login → změnit heslo + banka.
  • Peníze odeslány → banka může pokusit storno.
  • Profil podvodníka → nahlásit platformě.
  • Policie ČR (974 887 555).

Podobná témata

Souvisí s kategoriemi v testu: Bezpečnost bankovnictví, Rozpoznání podvodných zpráv

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.