הונאות קוד QR (Quishing): האיום המסתתר לעין

הונאות קוד QR, הנקראות quishing, עולות ב-2026. למדו כיצד קודי QR מזויפים גונבים את כספכם ונתוניכם, היכן רמאים מציבים אותם, וכיצד לסרוק בבטחה לפני הקשה.

· Truvizy Research Team · 8 min read

TL;DR

Quishing הוא דיוג קוד QR: רמאים מחליפים קודי QR לגיטימיים בתפריטי מסעדות, מכשירי חניה, תוויות חבילות ופוסטרים ציבוריים בקודים המפנים לאתרי גניבת אישורים. מכיוון שמצלמת הטלפון מציגה תצוגה מקדימה של כתובת URL קטנה בלבד לפני פתיחת הקישור, רוב האנשים אינם שמים לב להחלפה. תמיד בדקו את כתובת ה-URL של היעד לפני פתיחת כל קישור קוד QR, השתמשו בסורק QR עם בדיקות בטיחות מובנות, ובמקרה של ספק הקלידו את כתובת האינטרנט הרשמית ידנית.

אתם נכנסים לחניון, סורקים את קוד ה-QR על קיוסק התשלום, ומזינים את כרטיס האשראי לתשלום עבור המקום. העסקה נראית כאילו עברה. מאוחר יותר באותו ערב, הבנק שלכם מתקשר לגבי שלושה חיובים מרמה מחו"ל. לא מסרתם את הכרטיס לאף אחד. לא לחצתם על אימייל חשוד. כל מה שעשיתם היה לסרוק קוד QR, וזה היה מספיק. ברוכים הבאים ל-quishing: ההונאה הצומחת הכי מהר שרוב האנשים מעולם לא שמעו עליה.

קודי QR תוכננו לנוחות, סרקו והמשיכו. אבל אותה חוויה חסרת חיכוך שהופכת אותם לאטרקטיביים לעסקים גם הופכת אותם למסוכנים בידי רמאים. שלא כמו קישור אימייל חשוד שעליו ניתן לרחף לצפייה מקדימה, קוד QR לא חושף דבר עד אחרי שכבר כיוונתם אליו את המצלמה. בזמן שאתם רואים את כתובת ה-URL של היעד, קורבנות רבים כבר הקישו על "פתח". הפער של שבריר השנייה הזה הוא בדיוק מה ש-quishing מנצל.

מהו Quishing?

Quishing, צירוף מילים של "QR" ו"phishing", הוא הנוהג של הטמעת כתובות URL זדוניות בתוך קודי QR כדי להפנות קורבנות לאתרים הונאתיים. ההונאה יכולה לקחת מספר צורות: החלפה פיזית של קוד לגיטימי במדבקה מזויפת במרחבים ציבוריים, שליחת קודי QR דרך אימייל או הודעת טקסט שעוקפת מסנני דואר זבל מסורתיים, או יצירת מסמכים מזויפים (חשבוניות, הודעות חניה, הודעות חבילות) המציגים בולטות קודים הונאתיים.

מרכז תלונות פשע האינטרנט של ה-FBI סימן את ה-quishing כאיום עדיפות מתפתח ב-2024, והמספרים רק החמירו מאז. חברות אבטחת סייבר תיעדו עלייה של 587% בהתקפות דיוג מבוסס קוד QR בין 2024 ל-2025. הטכניקה הפכה לפופולרית בקרב טבעות הונאה מאורגנות מכיוון שהיא זולה לביצוע, קשה לזיהוי בקנה מידה, ומתוכננת ספציפית לעקוף כלי אבטחת אימייל שאינם יכולים לקרוא כתובות URL מוטמעות בתמונות.

Quishing הוא חלק ממשמרת רחבה יותר בטקטיקות הונאה לכיוון התקפות mobile-first. כפי שתיעדנו בניתוח שלנו של כיצד הבינה המלאכותית מאיצה את תחכום ההונאה, רמאים מכוונים ספציפית לכלים ולהרגלים שאנשים אימצו בעידן הסמארטפון, וקודי QR הם אחד ההרגלים הנייד הנפוצים ביותר של חמש השנים האחרונות.

כיצד הונאות קוד QR עובדות

מכניקת התקפת quishing היא פשוטה לרמות. תוקף מייצר קוד QR שמקודד כתובת URL זדונית, בדרך כלל גרסה משובטת של דף כניסה לבנק, פורטל תשלום, או שירות ממשלתי. הדף המזויף מתוכנן להיראות זהה ללגיטימי, לוכד כל אישורים או מידע תשלום שהקורבן מזין.

בהתקפות פיזיות, הרמאי מדפיס את הקוד ההונאתי על מדבקה ומציב אותו מעל הקוד הלגיטימי על מכשיר חניה, לשונית שולחן מסעדה, או לוח מודעות ציבורי. ההחלפה לוקחת שניות. התוקף יכול אז לעזוב את האזור ולאסוף נתונים גנובים מרחוק. מדבקה אחת שהוצבה היטב על מכשיר חניה עמוס יכולה ללכוד עשרות קורבנות ביום.

תרשים המציג כיצד רמאי מחליף מדבקת קוד QR לגיטימית במדבקה הונאתית על מכשיר חניה
תרשים המציג כיצד רמאי מחליף מדבקת קוד QR לגיטימית במדבקה הונאתית על מכשיר חניה

Quishing מבוסס אימייל עוקב אחר תסריט שונה. תוקפים שולחים הודעות המתחזות לבנקים, מחלקות משאבי אנוש, או חברות שליחויות, בטענה שהמקבל צריך לאמת את חשבונו או לעקוב אחר משלוח, ומכילים קוד QR ל"סריקה עם הטלפון לבטיחות נוספת". הוראה זו מכוונת: העברת האינטראקציה למכשיר נייד מרחיקה את הקורבן מהמחשב הארגוני עם כלי האבטחה שלו ועל הטלפון האישי עם פחות הגנות.

ברגע שנמצאים בדף המזויף, הקורבן עומד בפני טופס מלוטש לאיסוף אישורים. התקפות מתקדמות יותר משתמשות בטכניקות ממסר בזמן אמת: בזמן שהקורבן מזין את שם המשתמש והסיסמה שלו, התוקף מחבר אישורים אלה לאתר האמיתי בו זמנית, ואז מעביר בחזרה לקורבן את בקשת האימות הדו-שלבי, עוקף לחלוטין הגנות 2FA.

לא בטוחים לגבי קישור מקוד QR? הדביקו את כתובת ה-URL ב-Truvizy כדי לבדוק אותה לאיתור מחווני דיוג לפני שאתם מזינים מידע כלשהו.

היכן קודי QR מזויפים מופיעים

מכשירי חניה וקיוסקי תשלום הם בין המיקומים הממוקדים ביותר בארה"ב. מחלקת התחבורה של טקסס תיעדה עשרות מדבקות קוד QR מזויפות על מכשירי חניה בערים גדולות ב-2024. הקורבנות הזינו פרטי כרטיס אשראי מלאים בציפייה לשלם עבור חניה ובמקום זאת מסרו את הנתונים הפיננסיים שלהם ישירות לרמאים. ההונאה עובדת במיוחד כי תשלום חניה הוא מלחיץ, נהגים לעתים קרובות ממהרים ואינם בוחנים מקרוב את ממשק התשלום.

לשוניות שולחן ותפריטי מסעדות הפכו לוקטור מרכזי עם התפשטות הסעודה ללא מגע לאחר המגפה. מדבקה עם קוד QR הונאתי שהוצמדה מעל או לצד קוד לגיטימי יכולה להפנות סועדים לתפריט מזויף או לדף תשלום. במקרים מסוימים, הדף המזויף אפילו מציג תפריט משכנע לפני הפניה לטופס איסוף אישורים הטוען שהמסעדה עברה להזמנות מקוונות.

תוויות החזרת חבילות מייצגות קטגוריית תקיפה הצומחת במהירות. קורבנות מקבלים חבילות, לפעמים ללא הזמנה, לפעמים כחלק מקמפיין פרס מזויף, המכילות תוויות החזרה עם קודי QR. סריקת הקוד אמורה להתחיל החזרה אבל במקום זאת מובילה לפורטל קמעונאי מזויף המבקש מידע כרטיס אשראי ל"עיבוד החזר כספי".

תחבורה ציבורית ותחנות אוטובוס נושאות סיכון משמעותי מכיוון שהשילוט מנוהל על ידי רשויות עם קיבולת ניטור מוגבלת. קודים הונאתיים על מפות תחבורה, קיוסקי כרטיסים, או מסכי תשלום כרטיסיות יכולים להישאר ללא שים לב במשך ימים לפני הסרה. בבריטניה, Transport for London הסיר מאות קודי QR הונאתיים מתחנות ב-2025.

התקפות מבוססות אימייל ומסמכים מכוונות לעסקים לא פחות מאשר לצרכנים. חשבוניות מזויפות המכילות קודי QR ל"תשלום מאובטח", הודעות משאבי אנוש הונאתיות המחייבות עובדים לסרוק קוד לעדכון מידע משכורת, והודעות משלוח חבילות מזויפות הן כולן וקטורי תקיפה ארגוניים נפוצים. כפי שנדון במדריך שלנו לזיהוי אימיילי דיוג, התקפות מבוססות אימייל הופכות מתוחכמות יותר בשימוש שלהן באלמנטים ויזואליים כדי להתחמק מסינון אוטומטי.

עלוני צדקה ומגביות הונאתיים מנצלים נדיבות. לאחר אסונות טבע או אירועי חדשות גדולים, עלונים הונאתיים עם קודי QR לתרומות מופיעים על לוחות מודעות קהילתיים, בסופרמרקטים וברשתות חברתיות. הקודים מקשרים לדפי תשלום צדקה מזויפים משכנעים הלוכדים תרומות ופרטי כרטיס ללא ביצוע תרומה אמיתית.

מדוע הונאות QR כל כך יעילות

יעילותו של ה-quishing נובעת מאי-התאמה בסיסית של אמון. קודי QR קשורים לנוחות ולמודרניות, הם מוצבים על ידי עסקים לגיטימיים על חומרים רשמיים. אנשים הוכשרו שנים לסמוך על ההקשר הפיזי של קוד QR יותר מאשר על קישור אימייל אקראי. קוד על שולחן מסעדה או מכשיר חניה נושא אישור מרומז מהמיקום עצמו.

אפליקציות מצלמה מספקות חיכוך מינימלי. רוב הסמארטפונים מזהים אוטומטית קודי QR ומציגים תצוגה מקדימה קטנה של כתובת URL שמשתמשים דוחים בן רגע מבלי לקרוא. חלון התצוגה המקדימה קטן, כתובת ה-URL לעתים קרובות ארוכה או מקוצרת, והנטייה הטבעית של המוח להתאמת דפוסים מובילה משתמשים לעתים קרובות לראות מה שהם מצפים לו במקום מה שיש שם בפועל. כתובת URL כמו "secure-payment-parkingzone.com" נקראת כ"חניה" למשתמש מוסח גם אם היא מאותתת סכנה לאחד זהיר.

אתם מגיעים למכשיר חניה וסורקים את קוד ה-QR. מצלמת הטלפון מציגה כתובת URL בתצוגה מקדימה: 'parking-pay-secure-city.com/pay'. המכשיר נמצא בעיר גדולה בארה"ב. מה עליכם לעשות?

  1. פתחו את הקישור מיידית, הוא מזכיר את העיר אז חייב להיות לגיטימי
  2. בדקו את כתובת ה-URL בקפידה: האם היא תואמת את הדומיין הרשמי של העיר שלכם לתשלום חניה?
  3. התקשרו לעירייה לאישור
  4. השתמשו בחריץ הכרטיס הפיזי במקום

Answer: דומיינים שנשמעים גנריים כמו 'parking-pay-secure-city.com' הם דגל אדום גדול. מערכת החניה הרשמית של העיר שלכם תהיה בעלת דומיין ספציפי וידוע (למשל, paybyphone.com או האתר הרשמי של העיר). תמיד אמתו שכתובת ה-URL של היעד תואמת את הדומיין הרשמי הצפוי לפני הזנת מידע תשלום כלשהו, או השתמשו בחריץ הכרטיס הפיזי אם זמין.

ההקשר הנייד גם מסיר כלים רבים מהאבטחה שיש לאנשים במחשבים שולחניים. הגנת נקודות קצה ארגונית, תוספי דפדפן המסמנים אתרי דיוג, והרגל הריחוף מעל קישורים לצפייה מקדימה בהם אינם מתורגמים לנייד. בטלפון, המשתמש נתון ברובו לעצמו.

כיצד לזהות קוד QR מזויף

בדקו את הקוד פיזית. חפשו מדבקות שהוצמדו מעל חומרים מודפסים. מדבקות מזויפות לעתים קרובות בעלות מלאי נייר מעט שונה, יישור קל עם אלמנטי עיצוב סמוכים, או קצוות גלויים שבהם המדבקה חופפת לטקסט מודפס. הריצו ציפורן לאורך המשטח, מדבקה בשכבות בדרך כלל תהיה בעלת קצה מוגבה עדין.

קראו את כתובת ה-URL המלאה לפני הקשה. לאחר שהמצלמה סורקת קוד, מופיעה הודעת תצוגה מקדימה או באנר. עצרו לפני הקשה עליה וקראו את כתובת ה-URL המלאה. חפשו: שם העסק הצפוי בדומיין (לא סיומת או קידומת), תחום עליון לגיטימי (.com,.gov,.org, לא סיומות יוצאות דופן כמו.xyz או.top), והיעדר מילים נוספות כמו "secure", "login", "verify", או "payment" המוצמדות למה שנראה כשם מותג.

היו סקפטיים לגבי דחיפות. קודים מלווים בשפה כמו "סרקו מיידית", "הצעה לזמן מוגבל", או "נדרש לגישה" מתוכננים לגרום לכם לפעול לפני שחשבתם. עסקים לגיטימיים בדרך כלל אינם משתמשים בשפה דחופה ובלחץ גבוה סביב קודי תשלום QR.

השוו לערוצים רשמיים. לפני סריקת קוד QR מאימייל או מסמך הטוענים להיות מהבנק שלכם, מחלקת משאבי אנוש, או חברת שליחויות, בדקו אם הארגון הזה אכן שלח את התקשורת על ידי יצירת קשר ישיר דרך האתר הרשמי שלו או האפליקציה. לעולם אל תשתמשו בפרטי קשר שסופקו באותה הודעה המכילה את קוד ה-QR. להערכת קישורים חשודים ותוכן ממקורות לא ידועים, כלי הסריקה של Truvizy יכול לעזור לכם להעריך את הסיכון לפני ביצוע כל פעולה.

השתמשו בחלופה כשזמינה. אם קוד QR הוא אפשרות התשלום היחידה במכשיר חניה או קיוסק, שקלו להשתמש בחריץ הכרטיס הפיזי, לשלם דרך אפליקציה רשמית ייעודית שהורדתם מחנות אפליקציות מאומתת, או למצוא שיטה אחרת. נוחות לעולם לא צריכה לגבור על בטיחות כשכרוכים תשלום או מידע אישי.

רשימת תיוג לסריקה בטוחה של קודי QR, אמתו כתובת URL, בדקו קוד פיזי, השתמשו באפליקציות רשמיות
רשימת תיוג לסריקה בטוחה של קודי QR, אמתו כתובת URL, בדקו קוד פיזי, השתמשו באפליקציות רשמיות

מה לעשות אם נפלתם קורבן להונאה

אם סרקתם קוד, פתחתם את הקישור, והזנתם מידע, פעלו מהר. כל דקת עיכוב נותנת לתוקף יותר זמן להשתמש בנתוניכם.

אם הזנתם פרטי כרטיס תשלום: התקשרו לקו ההונאה של הבנק שלכם מיידית (השתמשו במספר שבגב הכרטיס שלכם, לא במספר כלשהו מהאתר החשוד). בקשו הקפאת כרטיס או החלפה. בקשו מהבנק לסמן כל חיובים מהרגע שהזנתם את המידע.

אם הזנתם אישורי כניסה: שנו את הסיסמה שלכם מיידית ממכשיר נפרד ומהימן. הפעילו אימות דו-שלבי אם הוא עדיין לא פעיל. בדקו אם יש מכשירים או סשנים לא מוכרים שמחוברים לחשבון והסירו אותם. אם אתם משתמשים באותה סיסמה במקומות אחרים, שנו גם אותן.

הציבו התראת הונאה בתיק האשראי שלכם עם אחד משלושת הלשכות הגדולות (Equifax, Experian, TransUnion), זה מודיע לשתי האחרות אוטומטית. אם אתם מאמינים שהזהות שלכם נפגעה, שקלו הקפאת אשראי, שהיא חינמית ומונעת פתיחת חשבונות חדשים בשמכם. המדריך המקיף שלנו על מניעת גניבת זהות מכסה את תהליך ההחלמה המלא בפירוט.

הגנו על עצמכם מהונאות קוד QR ואיומים ניידים אחרים עם זיהוי הונאה מבוסס בינה מלאכותית.

הגנה על עצמכם להבא

ההרגל החשוב ביותר הוא עצרו לפני שאתם מקישים. כל העיצוב של ה-quishing מסתמך על כך שסריקת QR מרגישה אוטומטית ומיידית. שבירת התגובה האוטומטית הזו, אפילו לשתי שניות לקריאת כתובת ה-URL, משבשת את ההתקפה. הפכו זאת לכלל: תצוגת URL קודם, פתיחה שנייה.

השתמשו באפליקציית סורק QR ייעודית שמבצעת בדיקות בטיחות בזמן אמת על כתובת ה-URL המפוענחת לפני הצגתה לכם. אפליקציות אלה, הזמינות חינם מספקי אבטחה גדולים, פועלות כבודק כתובות URL המובנה בתהליך הסריקה שלכם. הן המקבילה הנייד של ריחוף מעל קישור לפני לחיצה.

שמרו על עדכון מערכת ההפעלה והדפדפן של הטלפון. תיקוני אבטחה לעתים קרובות סוגרים פגיעויות שהתקפות הורדת drive-by מנצלות כשאתר זדוני נפתח. טלפון ללא תיקון פגיע משמעותית יותר לשלב השני של התקפת quishing, גם אם האישורים שלכם נשמרים בטוחים.

הפעילו אימות דו-שלבי באמצעות אפליקציית אימות, לא SMS. כפי שציינו במדריך שלנו על smishing והונאות טקסט, 2FA מבוסס SMS ניתן ליירוט. אפליקציית אימות מייצרת קודים מקומית במכשירכם, מה שהופך התקפות ממסר בזמן אמת לקשות משמעותית.

דווחו על קודים חשודים בכל מקום שמצאתם אותם. אם אתם מבחינים במדבקה שנראית חשודה על קוד QR ציבורי, צלמו את המיקום ודווחו לעסק או לרשויות המקומיות. הסרת מדבקה זדונית תוך שעות יכולה להגן על עשרות קורבנות פוטנציאליים אחרים.

Key Takeaways

קודי QR לא הולכים לשום מקום, וגם לא הרמאים שמנצלים אותם. ככל שתשלומים ללא מגע, תפריטים דיגיטליים ושירותים mobile-first הופכים משובצים יותר בחיי היומיום, ה-quishing יהיה מתוחכם ורווח יותר. תרופה נגד זה היא מודעות: לדעת שכל קוד QR פיזי יכול להיות מוחלף, כל קוד באימייל יכול לקשר לכל מקום, ושתי השניות שלוקח לקרוא כתובת URL לפני הקשה יכולות להיות שתי השניות שיחסכו לכם שיעור יקר מאוד.

תוכניות ההגנה של Truvizy כוללות כלים לניתוח כתובות URL וקישורים חשודים, הדביקו כתובת URL שפוענחה מכל קוד QR ב-Truvizy לפני פתיחתה וקבלו הערכה מיידית מבוססת בינה מלאכותית של לגיטימיותה. בנוף איומים שבו רמאים מסתירים קישורים זדוניים בתוך תמונות, הכלי שבודק את היעד בפועל כבר אינו אופציונלי, הוא חיוני.

Smishing: מדוע ההודעה מהבנק שלכם כנראה הונאה — דיוג מבוסס טקסט החולק את אותה הפסיכולוגיה כמו quishing.

זיהוי אימיילי דיוג — כיצד לזהות התקפות מבוססות אימייל, כולל אלה המשתמשות בקודי QR לעקוף מסנני.

התקפות הנדסה חברתית — טכניקות המניפולציה הפסיכולוגית מאחורי quishing וכל ההונאות המודרניות.

FAQ

מהו quishing?

Quishing הוא דיוג קוד QR, הונאה שבה תוקפים מחליפים או יוצרים קודי QR מזויפים שמפנים קורבנות לאתרים זדוניים שתוכננו לגנוב אישורי כניסה, מידע תשלום, או להתקין תוכנות זדוניות במכשיריהם.

כיצד אוכל לדעת אם קוד QR הוא מזויף לפני סריקתו?

בדקו את הקוד פיזית: חפשו מדבקות שהוצמדו על קוד מקורי, נזק לחומר הסובב, או קודים שנראים מעט שונים בהשוואה לסמוכים. לאחר סריקה, תמיד בדקו את כתובת ה-URL המלאה של היעד בתצוגה המקדימה של אפליקציית המצלמה לפני הקשה על "פתח". אם כתובת ה-URL אינה תואמת בדיוק את דומיין העסק הצפוי, אל תמשיכו.

האם סריקת קוד QR יכולה להתקין תוכנות זדוניות בטלפון שלי?

סריקה פשוטה של קוד QR עם המצלמה אינה מתקינה תוכנות זדוניות, אבל פתיחת הקישור הנובע יכולה. אתרים זדוניים יכולים לנסות הורדות drive-by, דיוג אישורים, או לבקש ממכם להתקין אפליקציה מזויפת. שמרו על עדכון מערכת ההפעלה של הטלפון, הימנעו מאפשור התקנות אפליקציות ממקורות לא ידועים, והשתמשו בסורק QR עם בדיקת בטיחות כתובות URL מובנית.

אילו מיקומים נמצאים בסיכון הגבוה ביותר לקודי QR מזויפים?

מיקומים בסיכון גבוה כוללים מכשירי חניה, שולחנות ותפריטי מסעדות, תחנות תחבורה ציבורית, תוויות החזרת חבילות, לובי מלונות, ועלונים שהוצבו ברשות הרבים. כל מרחב פיזי ללא פיקוח שבו מישהו יכול להחליף קוד בין לילה ללא גילוי הוא יעד פוטנציאלי.

מה עלי לעשות אם כבר סרקתי והזנתי מידע באתר חשוד?

פעלו מיידית: שנו את כל הסיסמאות שהזנתם, צרו קשר עם הבנק שלכם אם מסרתם פרטי תשלום, הפעילו אימות דו-שלבי בחשבונות מושפעים, ועקבו אחר דוח האשראי שלכם. דווחו על האירוע ל-FTC בכתובת reportfraud.ftc.gov, ואם זה היה בנכס עסקי, הזהירו את העסק כדי שיוכל להחליף את הקוד הפגוע.