Podvody s QR kódy (quishing): Hrozba skrytá na očích
Podvody s QR kódy, nazývané quishing, v roce 2026 prudce narůstají. Zjistěte, jak falešné QR kódy kradou vaše peníze a data, kde je podvodníci umísťují a jak bezpečně skenovat před klepnutím.
· Truvizy Research Team · 8 min read
TL;DR
Quishing je phishing prostřednictvím QR kódů: podvodníci nahrazují legitimní QR kódy na jídelníčcích restaurací, parkovacích automatech, štítcích balíků a veřejných plakátech kódy, které přesměrovávají na weby kradoucí přihlašovací údaje. Protože fotoaparát vašeho telefonu před otevřením zobrazí jen malou URL adresu, většina lidí záměnu vůbec nezaznamená. Vždy zkontrolujte cílovou URL před otevřením jakéhokoli odkazu QR kódu, používejte skener QR kódů s vestavěnými bezpečnostními kontrolami a v případě pochybností zadejte oficiální webovou adresu ručně.
Přijedete do parkovacího domu, naskenujete QR kód na platebním kiosku a zadáte číslo kreditní karty k zaplacení parkovného. Transakce proběhne zdánlivě úspěšně. Téhož večera vám zavolá banka kvůli třem podvodným poplatkům ze zahraničí. Nikomu jste kartu nepředali. Na žádný podezřelý e-mail jste neklikli. Vše, co jste udělali, bylo naskenování QR kódu, a to stačilo. Vítejte v quishingu: nejrychleji rostoucím podvodu, o kterém většina lidí nikdy neslyšela.
QR kódy byly navrženy pro pohodlí, naskenujte a jděte. Ale právě tato bezproblémová zkušenost, díky níž jsou atraktivní pro podniky, je v rukou podvodníků nebezpečná. Na rozdíl od podezřelého e-mailového odkazu, přes který můžete přejet myší pro náhled, QR kód nic neodhalí, dokud na něj nenamíříte fotoaparát. V době, kdy uvidíte cílovou URL, mnoho obětí již kleplo na „otevřít”. Právě tuto zlomkovou mezeru quishing využívá.
Co je quishing?
Quishing, portmanteau z „QR” a „phishing”, je praxe vkládání škodlivých URL adres do QR kódů s cílem přesměrovat oběti na podvodné weby. Podvod může mít několik podob: fyzické nahrazení legitimního kódu falešnou nálepkou na veřejných místech, zasílání QR kódů prostřednictvím e-mailu nebo textových zpráv obcházejících tradiční spamové filtry, nebo vytváření falešných dokumentů (faktury, upozornění na parkovací pokutu, oznámení o zásilkách) s výrazně vyobrazenými podvodnými kódy.
Centrum pro stížnosti na internetovou kriminalitu FBI označilo quishing v roce 2024 jako nově se rozvíjející prioritní hrozbu a od té doby se situace jen zhoršila. Firmy zabývající se kybernetickou bezpečností zdokumentovaly 587% nárůst phishingových útoků prostřednictvím QR kódů v letech 2024 až 2025. Tato technika se stala oblíbenou u organizovaných podvodných skupin, protože je levná na provedení, těžko odhalitelná ve velkém měřítku a speciálně navržená k obejití nástrojů e-mailové bezpečnosti, které nedokážou číst URL adresy vložené v obrázcích.
Quishing je součástí širšího přechodu podvodných taktik k útokům zaměřeným na mobilní zařízení. Jak jsme zdokumentovali v naší analýze toho, jak AI urychluje sofistikovanost podvodů, podvodníci se specificky zaměřují na nástroje a zvyky, které lidé přijali v éře chytrých telefonů, a QR kódy jsou jedním z nejrozšířenějších mobilních zvyků posledních pěti let.
Jak fungují podvody s QR kódy
Mechanika quishingového útoku je klamně jednoduchá. Útočník vygeneruje QR kód, který kóduje škodlivou URL, typicky klonovanou verzi přihlašovací stránky banky, platebního portálu nebo vládní služby. Falešná stránka je navržena tak, aby vypadala totožně s legitimní, a zachycuje veškeré přihlašovací údaje nebo platební informace, které oběť zadá.
Při fyzických útocích podvodník vytiskne podvodný kód na nálepku a umístí ji přes legitimní kód na parkovacím automatu, restauračním stole nebo veřejném nástěnce. Výměna trvá vteřiny. Útočník pak může odejít a vzdáleně sbírat ukradená data. Jediná dobře umístěná nálepka na frekventovaném parkovacím automatu dokáže za den zachytit desítky obětí.

Quishing prostřednictvím e-mailu sleduje odlišný postup. Útočníci posílají zprávy vydávající se za banky, personální oddělení nebo přepravní společnosti a tvrdí, že příjemce musí ověřit svůj účet nebo sledovat zásilku, a přikládají QR kód k „naskenování telefonem pro zvýšenou bezpečnost”. Tento pokyn je záměrný: přesunutím interakce na mobilní zařízení se oběť dostane od firemního počítače s bezpečnostními nástroji na osobní telefon s menší ochranou.
Na falešné stránce oběť čelí vyrafinovanému formuláři pro sběr přihlašovacích údajů. Pokročilejší útoky používají techniky přenosu v reálném čase: jak oběť zadává uživatelské jméno a heslo, útočník tyto přihlašovací údaje současně zadává na skutečný web a přesměruje výzvu k dvoufaktorovému ověření zpět na oběť, čímž zcela obejde ochranu 2FA.
Nejste si jistí odkazem z QR kódu? Vložte URL do Truvizy a zkontrolujte phishingové indikátory, než zadáte jakékoli informace.
Kde se falešné QR kódy vyskytují
Parkovací automaty a platební kiosky patří k nejčastěji cíleným místům v USA. Texas Department of Transportation zdokumentoval desítky falešných nálepek s QR kódy na parkovacích automatech v hlavních městech v roce 2024. Oběti zadaly úplné údaje kreditní karty s očekáváním zaplacení parkovného a místo toho předaly finanční data přímo podvodníkům.
Restaurační stoly a jídelníčky se staly hlavním vektorem s rozšířením bezkontaktního stravování po pandemii. Nálepka s podvodným QR kódem umístěná přes legitimní kód nebo vedle něj může přesměrovat hosty na falešný jídelníček nebo platební stránku.
Štítky pro vrácení zásilek představují rychle rostoucí kategorii útoků. Oběti obdrží zásilky, někdy nevyžádané, někdy jako součást falešné kampaně s cenou, obsahující štítky pro vrácení s QR kódy. Naskenování kódu by mělo zahájit vrácení, ale místo toho vede na falešný portál maloobchodníka žádající informace o kreditní kartě pro „zpracování refundace”.
Zastávky MHD a autobusová nádraží nesou značné riziko, protože značení spravují obce s omezenou monitorovací kapacitou. Podvodné kódy na mapách přepravy, ticketovacích kioscích nebo obrazovkách pro platbu jízdného mohou po dny zůstat nepovšimnuty. V Británii Transport for London v roce 2025 odstranil ze stanic stovky falešných QR kódů.
Útoky prostřednictvím e-mailu a dokumentů cílí stejně na firmy jako na spotřebitele. Falešné faktury obsahující QR kódy pro „bezpečnou platbu”, falešná HR oznámení žádající zaměstnance, aby naskenovali kód pro aktualizaci mzdových informací, a falešná oznámení o doručení zásilek jsou běžnými podnikovými vektory útoku.
Falešné letáky pro charity a fundraising využívají velkorysosti. Po přírodních katastrofách nebo velkých zpravodajských událostech se na komunitních nástěnkách, v supermarketech a na sociálních sítích objevují podvodné letáky s QR kódy pro dary. Kódy vedou na přesvědčivé falešné charitativní platební stránky, které zachycují dary a údaje karet, aniž by kdy provedly skutečný dar.
Proč jsou podvody s QR kódy tak účinné
Účinnost quishingu pramení ze základního nesouladu důvěry. QR kódy jsou spojeny s pohodlím a moderností, umísťují je legitimní podniky na oficiální materiály. Lidé jsou prostřednictvím let používání trénováni důvěřovat fyzickému kontextu QR kódu více než náhodnému e-mailovému odkazu. Kód na restauračním stole nebo parkovacím automatu nese implicitní doporučení samotného místa.
Aplikace fotoaparátu poskytují minimální tření. Většina chytrých telefonů automaticky rozpozná QR kódy a zobrazí malý náhled URL, který uživatelé instinktivně odmítají, aniž by ho přečetli. Náhledové okno je malé, URL je často dlouhá nebo zkrácená a přirozená tendence mozku rozpoznávat vzory znamená, že uživatelé často vidí to, co očekávají, spíše než to, co tam skutečně je.
Přijedete k parkovacímu automatu a naskenujete QR kód. Fotoaparát vašeho telefonu zobrazí URL náhledu: 'parking-pay-secure-city.com/pay'. Automat je ve velkém americkém městě. Co byste měli udělat?
- Okamžitě otevřít odkaz, zmiňuje město, takže musí být legitimní
- Pečlivě zkontrolovat URL: odpovídá oficální parkovací doméně vašeho města?
- Náhled ignorovat a pokračovat v platbě
- Kód znovu naskenovat, aby se zjistilo, zda zobrazí jiný odkaz
Answer: Genericky znějící domény jako 'parking-pay-secure-city.com' jsou velkou varovnou vlajkou. Oficiální parkovací systém vašeho města bude mít konkrétní, dobře známou doménu (např. paybyphone.com nebo officiální web.gov vašeho města). Před zadáváním jakýchkoli platebních informací vždy ověřte, zda cílová URL odpovídá očekávané oficíální doméně, nebo použijte fyzický čtečku karet, pokud je k dispozici.
Mobilní kontext také odstraňuje mnoho bezpečnostních nástrojů, které lidé mají na stolních počítačích. Firemní ochrana koncových bodů, rozšíření prohlížeče označující phishingové weby a zvyk přejíždění myší přes odkazy před kliknutím se do mobilu nepřenáší. Na telefonu je uživatel z velké části odkázán sám na sebe.
Jak rozpoznat falešný QR kód
Fyzicky kód zkontrolujte. Hledejte nálepky přilepené přes tištěné materiály. Falešné nálepky mají často trochu jiný typ papíru, mírné nesouosení s okolními designovými prvky nebo viditelné okraje, kde nálepka překrývá tištěný text. Přejeďte nehtem po povrchu, vrstvená nálepka bude mít obvykle jemně vyvýšený okraj.
Přečtěte si celou URL před klepnutím. Poté, co váš fotoaparát naskenuje kód, zobrazí se oznámení nebo banner s náhledem. Zastavte se před klepnutím a přečtěte si celou URL. Hledejte: očekávané obchodní jméno v doméně (nikoli příponu nebo předponu), legitimní doménu nejvyšší úrovně (.com,.gov,.org, nikoli neobvyklé přípony jako.xyz nebo.top) a absenci dalších slov jako „secure”, „login”, „verify” nebo „payment” přidaných k tomu, co vypadá jako název značky.
Buďte skeptičtí vůči naléhavosti. Kódy spojené s výrazy jako „naskenujte ihned”, „časově omezená nabídka” nebo „nutné pro přístup” jsou navrženy k tomu, abyste jednali dříve, než začnete přemýšlet. Legitimní podniky obvykle nepoužívají naléhavý, nátlakový jazyk v souvislosti s QR platebními kódy.
Křížově ověřte s oficíálními kanály. Před naskenováním QR kódu z e-mailu nebo dokumentu tvrdícího, že je od vaší banky, personálního oddělení nebo přepravce, zkontrolujte přímým kontaktem prostřednictvím jejich oficíální webové stránky nebo aplikace, zda organizace skutečně danou komunikaci odeslala. Nikdy nepoužívejte kontaktní informace uvedené ve stejné zprávě, která obsahuje QR kód. Pro hodnocení podezřelých odkazů a obsahu z neznámých zdrojů vám může skenovací nástroj Truvizy pomoci posoudit riziko před provedením jakékoli akce.
Pokud je to možné, použijte alternativu. Pokud je QR kód jedinou platební možností u parkovacího automatu nebo kiosku, zvažte použití fyzické čtečky karet, platbu prostřednictvím vyhrazené oficíální aplikace stažené z ověřeného obchodu s aplikacemi nebo hledání jiné metody. Pohodlí by nikdy nemělo zvítězit nad bezpečností, pokud jsou v sázce platební nebo osobní informace.

Co dělat, pokud jste byli podvedeni
Pokud jste naskenovali kód, otevřeli odkaz a zadali informace, jednejte rychle. Každá minuta prodlení dává útočníkovi více času k využití vašich dat.
Pokud jste zadali údaje platební karty: okamžitě zavolejte na linku pro hlášení podvodů vaší banky (použijte číslo na zadní straně karty, nikoli žádné číslo z podezřelého webu). Požádejte o zmrazení nebo výměnu karty. Požádejte banku o označení veškerých poplatků od okamžiku, kdy jste zadali informace.
Pokud jste zadali přihlašovací údaje: okamžitě změňte heslo z oddělené důvěryhodného zařízení. Povolte dvoufaktorové ověřování, pokud ještě není aktivní. Zkontrolujte, zda se do účtu nepřihlásila neznámá zařízení nebo relace, a odstraňte je. Pokud stejné heslo používáte jinde, změňte ho tam taky.
Umístěte upozornění na podvod v úvěrovém spisu u jednoho ze tří hlavních úřadů (Equifax, Experian, TransUnion), tím automaticky upozorníte i ostatní dva. Pokud se domníváte, že vaše identita byla kompromitována, zvažte zmrazení úvěru, které je zdarma a zabraňuje otevírání nových účtů na vaše jméno. Náš komplexní průvodce prevencí krádeže identity podrobně pokrývá celý proces obnovy.
Chraňte se před podvody s QR kódy a dalšími mobilními hrozbami pomocí detekce podvodů s umělou inteligencí.
Jak se chránit do budoucna
Nejdůležitějším zvykem je zastavit se před klepnutím. Celý design quishingu spoléhá na to, že skenování QR kódu působí automaticky a okamžitě. Přerušení této automatické reakce, byť jen na dvě sekundy ke čtení URL, útok naruší. Udělejte si pravidlo: nejprve náhled URL, pak otevřít.
Používejte vyhrazenou aplikaci pro skenování QR kódů, která provádí bezpečnostní kontroly dekódované URL v reálném čase, ještě než vám ji předloží. Tyto aplikace, dostupné zdarma od hlavních dodavatelů bezpečnostního softwaru, fungují jako kontrola URL zabudovaná do vašeho pracovního postupu skenování. Jsou mobilním ekvivalentem přejíždění myší přes odkaz před kliknutím.
Udržujte operační systém a prohlížeč telefonu aktuální. Bezpečnostní záplaty často odstraňují zranitelnosti, které drive-by útoky využívají při návštěvě škodlivých stránek. Nezáplatovaný telefon je při druhé fázi quishingového útoku výrazně zranitelnější, i když vaše přihlašovací údaje zůstanou v bezpečí.
Povolte dvoufaktorové ověřování pomocí autentifikační aplikace, nikoli SMS. Jak jsme zmínili v průvodci smishingem a podvody prostřednictvím textových zpráv, SMS-based 2FA lze zachytit. Autentifikační aplikace generuje kódy lokálně na vašem zařízení, což výrazně ztěžuje útoky s přenosem v reálném čase.
Nahlaste podezřelé kódy kdekoli je najdete. Pokud si všimnete podezřelé nálepky na veřejném QR kódu, vyfotografujte místo a nahlaste ho podniku nebo místním úřadům. Odstranění škodlivé nálepky během hodin může ochránit desítky dalších potenciálních obětí.
Key Takeaways
- Vždy si přečtěte celou cílovou URL v náhledu fotoaparátu před klepnutím na jakýkoli odkaz QR kódu, zejména u parkovacích automatů, restaurací a zastávek MHD.
- Falešné nálepky QR kódů se mohou objevit přes legitimní kódy a je téměř nemožné je detekovat bez fyzické kontroly překrývajících se okrajů.
- QR kódy v e-mailech obcházejí většinu phishingových filtrů, zacházejte s nimi se stejnou skepsí, jakou byste aplikovali na jakýkoli e-mailový odkaz.
- Pokud jste zadali platební nebo přihlašovací údaje na podezřelém webu, okamžitě kontaktujte banku a změňte dotčená hesla z jiného zařízení.
QR kódy nezmizí, a ani podvodníci, kteří je zneužívají, nezmizí. S tím, jak se bezkontaktní platby, digitální jídelníčky a mobilní služby stávají stále více nedílnou součástí každodenního života, bude quishing sofistikovanější a všudypřítomnější. Protijed je povědomí: vědět, že jakýkoli fyzický QR kód může být nahrazen, že jakýkoli kód v e-mailu může odkazovat kamkoli a že dvě sekundy čtení URL před klepnutím by vám mohly ušetřit velmi drahou lekci.
Plány ochrany Truvizy zahrnují nástroje pro analýzu podezřelých URL a odkazů, vložte URL dekódovanou z jakéhokoli QR kódu do Truvizy před otevřením a získejte okamžité AI posouzení její legitimnosti. V prostředí hrozeb, kde podvodníci skrývají škodlivé odkazy do obrázků, mít nástroj, který kontroluje skutečný cíl, již není volitelné, je to nezbytné.
Smishing: Proč ta zpráva od vaší banky je pravděpodobně podvod — Textový phishing sdílející stejný psychologický postup jako quishing.
Detekce phishingových e-mailů — Jak identifikovat útoky prostřednictvím e-mailu, včetně těch, které využívají QR kódy k obejití filtrů.
Útoky sociálního inženýrství — Psychologické manipulativní techniky za quishingem a všemi moderními podvody.
FAQ
Co je quishing?
Quishing je phishing prostřednictvím QR kódů, podvod, při němž útočníci nahrazují nebo vytvářejí falešné QR kódy, které přesměrovávají oběti na škodlivé weby navržené ke krádeži přihlašovacích údajů, platebních informací nebo k instalaci malwaru do jejich zařízení.
Jak poznám, že je QR kód falešný, ještě před skenováním?
Fyzicky kód zkontrolujte: hledejte nálepky přilepené přes původní kód, poškození okolního materiálu nebo kódy, které vypadají trochu jinak než ty sousední. Po naskenování vždy zkontrolujte celou cílovou URL v náhledu aplikace fotoaparátu, ještě než klepnete na „otevřít”. Pokud URL přesně neodpovídá očekávané obchodní doméně, nepokračujte.
Může skenování QR kódu nainstalovat do mého telefonu malware?
Samotné skenování QR kódu fotoaparátem malware nenainstaluje, ale otevření výsledného odkazu může. Škodlivé weby mohou pokoušet se o drive-by stahování, phishing přihlašovacích údajů nebo vás vyzvat k instalaci falešné aplikace. Udržujte operační systém telefonu aktuální, vyhýbejte se povolování instalace aplikací z neznámých zdrojů a používejte skener QR kódů s vestavěnou kontrolou bezpečnosti URL.
Která místa mají nejvyšší riziko výskytu falešných QR kódů?
Riziková místa zahrnují parkovací automaty, restaurační stoly a jídelníčky, zastávky MHD, štítky pro vrácení zásilek, hotelové lobby a letáky vyvěšené na veřejnosti. Jakýkoli nemonitorovaný fyzický prostor, kde by někdo mohl přes noc vyměnit kód bez odhalení, je potenciálním cílem.
Co mám dělat, pokud jsem již naskenoval a zadal informace na podezřelém webu?
Jednejte okamžitě: změňte všechna hesla, která jste zadali, kontaktujte svou banku, pokud jste poskytli platební údaje, povolte dvoufaktorové ověřování na dotčených účtech a sledujte svůj úvěrový výpis. Nahlaste incident na FTC na reportfraud.ftc.gov a pokud byl kód na obchodním prostranství, upozorněte podnik.