Bazarové podvody (Bazoš, Sbazar, Marketplace)
Podvodník na bazaru — předem zaplať doručení, ale zboží nikdy nedorazí.
Co to je
Útočník na bazaru (Bazoš, Sbazar, Facebook Marketplace) předstírá legitimního prodejce nebo zájemce. Typické scénáře: (1) chce platbu předem za „doručení kurýrem", (2) pošle ti podvržený screenshot zaplacení a žádá tě, ať mu „pošleš zboží než přijde výpis", (3) přesměruje tě na podvrženou stránku „pošty", kde žádá zadání karty pro „uvolnění zásilky".
Proč to záleží
Pravidla bezpečného bazaru: (1) zboží převzít vždy osobně, platba v ruce nebo cash-on-delivery, (2) nikdy nepředávat SMS kódy nebo údaje o kartě — ani „od kurýra", „od pošty" či „od banky" — žádná legitimní služba je po tobě nepotřebuje, (3) kontrola profilu prodejce (stáří účtu, hodnocení, počet inzerátů) — snižuje, ale nevylučuje riziko. Pokud cena výrazně vystupuje z trhu (super sleva), je to typicky bait.
Jak útok funguje
Bazarové podvody se v ČR 2024-2026 dělí na 3 hlavní vzorce:
1. Útok na PRODÁVAJÍCÍHO (nejčastější v ČR)
Prodáváš na Bazoši / Marketplace lyže za 8 000 Kč. "Kupec" projeví zájem mimo platformu — "Můžeme se domluvit přes WhatsApp / Messenger?" Pak:
- "Chci to koupit, ale jsem mimo Prahu. Pošlu kurýra — Zásilkovna / DPD. Můžeš to poslat?"
- "Posílám ti link, ať si přečteš podmínky doručení. Klikni a vyplň údaje."
- Link vede na podvrženou stránku napodobující Zásilkovnu / Českou poštu. Žádá tě, abys "ověřil příjem platby" vyplněním údajů karty + 3DS SMS kódu.
- Útočník v reálném čase používá tvoje údaje na ÚPLNĚ JINÉM webu (e-shop, Booking). 3DS kód, který ti přišel, "ověříš" na podvrženém webu → útočník ho použije na reálném webu během 30 sekund.
- Tobě z karty odejde 8 000–50 000 Kč, podle limitu karty.
2. Útok na NAKUPUJÍCÍHO
Inzerát "iPhone 15 Pro za 12 000 Kč" (skoro polovinu trhu). Po dotazu:
- "Mám naléhavou situaci, prodávám rychle. Pošli platbu jako rezervaci, doručím Zásilkovnou."
- Pošleš peníze. Telefon nikdy nedorazí. Profil zmizí.
- Varianty: podvržené screenshoty zaplacení od kupce, žádost o "vrácení přeplatku" (záměrně přeplatí o 5 000 Kč, žádá vrácení), atd.
3. Telefonát "z policie / banky"
Po sklenutém prodeji ti zavolá "Policie" — "vaše karta byla zneužita při bazarové transakci, potřebujeme ověření přes naši ochrannou linku". Vede tě na podvrženou stránku banky. Vyplníš login. Útočník vybíí účet.
Společné vektory:
- Časový tlak — "musím to dnes", "jedu z kraje", "jen pro vás máme tu cenu".
- Mimo platformu — útočníci se snaží přesunout konverzaci na WhatsApp/Messenger, kde bazar nevidí (a nevaruje).
- Cizí jazyk / lámaná čeština — typický signál, ale ne vždy. Profesionální útočníci najímají rodilé Čechy.
- Profil "čerstvý" — vytvořený před týdnem, žádné inzeráty, žádné hodnocení.
Jak se chránit
Pravidla pro PRODEJ:
- Komunikace ZŮSTÁVÁ na platformě (Bazoš, Sbazar, Marketplace). Pokud kupec přesouvá konverzaci na WhatsApp / Messenger / Telegram, je to red flag. Kvalitní platformy mají moderaci a uchovávají historie pro spory.
- Žádné odkazy na "ověření doručení" — žádná zásilková služba tě nežádá vyplnit kartu na webu kvůli "uvolnění platby". Skutečné kurýrní služby pracují s adresou + telefonem na příjemce, hotovo.
- Platba PŘEDEM na účet je legitimní (banka kontroluje), ale POUZE pokud máš jistotu o protistraně. Při větších částkách: čekat 1-2 dny po obdržení platby (anti-podvodný interval) než odešleš zboží.
- Osobní převzetí > Zásilkovna > kurýr. Osobně je nejbezpečnější (zboží proti hotovosti). Zásilkovna výplata na dobírku má jistotu pro tebe, ale ne pro kupce. Kurýr je nejvíc fraud-prone.
- Cash-on-delivery je pro tebe bezpečné, ale pozor: nevyplňuj nic na podvržené "ověřovací" stránce — žádná taková není.
Pravidla pro NÁKUP:
- Cena pod 60 % trhu = červená vlajka. Profesionální podvody mají cenu trochu pod trhem (atraktivní, ne podezřelé); amatéři volí extrémní slevy.
- Profil prodejce: stáří účtu (1+ rok ideálně), počet hodnocení (10+), kvalita inzerátů (reálné fotky, ne stock).
- Reverse image search fotek (Google Lens) — pokud fotka existuje jinde na internetu (stejný produkt, jiný prodejce), je to typicky podvod.
- Žádné platby předem na účet u inzerentů, které nepoznáš osobně. Pokud platit musíš, zvolit SafePay nebo escrow službu (Heureka Záruka, ale i pro bazar).
- Osobní převzetí v public místě (Anděl, Pankrác — místa s lidmi). Pokud se prodejce vyhýbá osobnímu setkání = pozor.
Universální pravidla:
- 3DS SMS kód z banky NIKDY nepředávej. Banka tě nikdy nežádá kód předat — kód se zadává jen do oficiální banking aplikace nebo na banking webu. Pokud cizí stránka chce "ověřovací kód", je to podvod 100% případů.
- Údaje karty na bazarové platformě nepoužívej — bazar nepotřebuje tvoji kartu. Platby přes oficiální platební bránu platformy (kde to jde) nebo bankovní převod.
- Telefonát "z policie / banky" po prodeji — vždy zavěs a zavolej zpět na oficiální linku banky (z karty, ne z toho, co řekli oni).
Po útoku:
- Karta vyplněna na podvržené stránce → IHNED zablokovat kartu (banka 24/7).
- Banking login + 3DS kód předán → IHNED změnit heslo + zavolat banku + storno převodů.
- Peníze odeslány na účet podvodníka → banka může pokusit storno (úspěšnost ~30% v hodině, klesá).
- Nahlas Bazoš / Sbazar / Marketplace — profil mohou zablokovat, varovat ostatní.
- Policie ČR — kybernetický odbor (974 887 555). Větší případy (10 000+ Kč) se vyšetřují.
Časté mýty
Mýtus"Když mě podvedou, banka mi peníze vrátí — mám pojištění karty."
RealitaBanka vrátí peníze v případě **podvodné transakce** (cizí přístup k tvé kartě), ale když JSI VYPLNIL údaje + 3DS kód dobrovolně, je to autorizovaná transakce. Banka tě bude zpochybňovat: "vyplnil jste 3DS kód, to znamená, že jste transakci schválil". Pojištění karty obvykle nepokrývá social engineering. Po dlouhém vyjednávání mohou banky vrátit část, ale není to jistota.
Mýtus"Bazoš a Sbazar mají kontroly — podvodník by se tam nedostal."
RealitaBazoš a Sbazar mají moderaci, ale registrace je rychlá a anonymní. Útočník vytvoří nový účet za 5 minut, podvede 3 lidi za týden, účet je zablokován, vytvoří další. Platformy reaktivně řeší stížnosti, ne preventivně chrání. Tvoje opatrnost je primární filter.
Mýtus"Zásilkovna / DPD chrání kupujícího i prodávajícího."
RealitaZásilkovna chrání STANDARDNÍ flow (dobírka, klasické doručení). Ale útočník nepřesměrovává tě k pravé Zásilkovně — vede tě na **podvrženou stránku, která se za Zásilkovnu vydává**. Pravá Zásilkovna ti nikdy nepošle odkaz s žádostí o vyplnění karty pro "uvolnění platby". Pokud máš pochyby, otevři aplikaci Zásilkovny ručně.
Quick checklist
Při PRODEJI:
- Komunikace zůstává na platformě, ne WhatsApp/Messenger.
- Při větších částkách osobní převzetí v public místě.
- Žádné údaje karty / 3DS kódy na cizí stránce.
- Při kurýrovi: nevyplň nic na "ověřovací stránce" — taková neexistuje.
Při NÁKUPU:
- Cena pod 60 % trhu? Pozor — typicky bait.
- Stáří profilu prodejce 1+ rok, 10+ hodnocení.
- Reverse image search fotek (Google Lens).
- Osobní převzetí v public místě > Zásilkovna > kurýr.
- Pokud platit předem: SafePay / escrow služba, ne přímý převod.
Univerzální red flags:
- Časový tlak ("dnes nebo nikdy").
- Žádost o přesunutí konverzace mimo platformu.
- Lámaná čeština nebo cizí slovní obraty.
- Cizí stránka chce 3DS kód / údaje karty.
Po útoku:
- Karta → IHNED banka, zablokovat.
- Banking login → změnit heslo + banka.
- Peníze odeslány → banka může pokusit storno.
- Profil podvodníka → nahlásit platformě.
- Policie ČR (974 887 555).
Podobná témata
Souvisí s kategoriemi v testu: Bezpečnost bankovnictví, Rozpoznání podvodných zpráv
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.