QR Code Phishing, často označovaný jako quishing, je relativně nová varianta klasického phishingu, při níž útočníci využívají QR kódy jako nástroj k přesměrování nic netušící oběti na falešné webové stránky. Namísto klikání na škodlivé odkazy v e‑mailu nebo SMS zprávě stačí jediné naskenování kódu a uživatel je přesměrován na web, kde je vyzván k zadání citlivých údajů – například přihlašovacích jmen, hesel či bankovních informací.
Jak quishing funguje
Útočníci začnou vytvořením QR kódu, který obsahuje URL adresu jejich falešné stránky, jež napodobuje legitimní portál (např. online bankovnictví nebo interní firemní přihlášení). Tento kód rozšíří mnoha způsoby – vytisknou ho na reklamní letáky, nalepí ho do prostor veřejné dopravy, zašlou oběti e‑mailem jako přílohu nebo jej sdílejí na sociálních sítích v rámci lákavé nabídky. Po naskenování kódu mobilním telefonem či tabletem je oběť přesměrována na phishingovou stránku, která vypadá prakticky jako originál. V momentě, kdy zadá své přihlašovací údaje, je útočník získá a může je zneužít.
Proč je QR Code Phishing nebezpečný
Quishing působí velmi důvěryhodně, protože lidé mají tendenci považovat QR kódy za bezpečnou technologii – stačí jen „zaměřit kameru“, bez nebezpečí překlepu v URL nebo viditelné náznaky, že se jedná o podvod. Navíc v době distanční práce a elektronických dokumentů se lidé setkávají s QR kódy na všech možných místech: v nákupních centrech, v e‑mailech, ale i ve firemních intranetech. Právě to dělá quishing tak účinným, protože oběti často nedbají na ověření toho, kam je kód skutečně přesměruje.
Příklady reálných útoků
V roce 2021 bylo zveřejněno několik případů, kdy útočníci rozmisťovali QR kódy na parkovištích s falešnými štítky „Vyzkoušejte slevový kupón 50 %“. Po naskenování byli návštěvníci přesměrováni na phishingový formulář požadující údaje o platební kartě údajně pro ověření nároku na slevu. Jindy útočníci nasměrovali kódy, aby oběť nainstalovala škodlivou mobilní aplikaci, která sama kradla bankovní tokeny a SMS zprávy.
Jak se chránit před quishingem
Nejlepší ochranou je vždy pečlivé ověření, kam vás QR kód vede. Místo automatického otevření odkazu zkuste v náhledu své čtečky kódů zobrazit URL a porovnat ji s oficiální adresou služby. Pokud používáte mobilní bankovnictví, naskenujte kód vždy výhradně z oficiálních materiálů vaší banky. V rámci firmy by měla být zavedena bezpečnostní školení, která upozorní zaměstnance na riziko skenování neznámých kódů a naučí je, jak v náhledu zkontrolovat cílovou adresu.
Závěr
QR Code Phishing neboli quishing je důkazem adaptability útočníků: stačí využít zdánlivě legitimní technologii, přidat důvěryhodnou grafiku a získat citlivé údaje bez jediného kliknutí. Uživatelé i organizace by proto měli vědět, že QR kódy nejsou vždy neškodné, ověřovat každou nečekanou výzvu ke skenování a chránit svá data zdravým skepticismem.
