QR-kód-csalások (Quishing): A szabad szemmel láthatatlan fenyegetés

A QR-kód-csalások, más nevükön quishing, 2026-ban rohamosan terjednek. Ismerd meg, hogyan lopják el a hamis QR-kódok a pénzedet és adataidat, hova helyezik őket a csalók, és hogyan szkennelje biztonságosan, mielőtt rányomna.

· Truvizy Research Team · 8 min read

TL;DR

A quishing QR-kódos adathalászat: a csalók éttermek menüjén, parkolóórákon, csomag-visszaküldési címkéken és nyilvános plakátokon törvényes QR-kódokat cserélnek le olyanokra, amelyek hitelesítési adatokat lopó weboldalakra irányítanak át. Mivel a telefon kamerája csak egy apró URL-előnézetet mutat a megnyitás előtt, a legtöbb ember nem veszi észre a cserét. Mindig ellenőrizd a cél URL-t mielőtt megnyitsz egy QR-kódos linket, használj beépített biztonsági ellenőrzéssel rendelkező QR-szkenner alkalmazást, és kétség esetén gépeld be kézzel a hivatalos webcímet.

Beállsz egy parkolóházba, beszkenneled a QR-kódot a fizetési kioszkra, és megadod a hitelkártyadat a helyért való fizetéshez. A tranzakció sikeresnek tűnik. Aznap este a bankod hív külföldi három csalárd terhelés miatt. Nem adtad oda a kártyádat senkinek. Nem kattintottál gyanús e-mailre. Csak beszkenneltél egy QR-kódot, és ez elegendő volt. Üdvözlünk a quishing világában: a leggyorsabban növekvő átverésben, amelyről a legtöbb ember soha nem hallott.

A QR-kódokat kényelemre tervezték, szkennel és menj. Azonban ugyanaz a súrlódásmentes élmény, amely vonzóvá teszi őket a vállalkozások számára, a csalók kezében veszélyessé is teszi azokat. Egy gyanús e-mail-linkkel ellentétben, amelyre egérrel rámutatva megtekintheted az előnézetet, a QR-kód addig nem árul el semmit, amíg már a kamerádat nem szegezted rá. Mire látod a cél URL-t, sok áldozat már a 'megnyitás'-ra koppintott. Ez a töredék másodperces rés az, amit a quishing kihasznál.

Mi az a quishing?

A quishing, a „QR” és a „phishing” (adathalászat) szavak összevonása, az a gyakorlat, amelynek során rosszindulatú URL-eket ágyaznak QR-kódokba, hogy az áldozatokat csalárd weboldalakra irányítsák át. Az átverés több formát ölthet: nyilvános terekben fizikailag cserélik ki a törvényes kódot hamis matricával, e-mailben vagy SMS-ben küldenek QR-kódokat, amelyek megkerülik a hagyományos spamszűrőket, vagy hamis dokumentumokat (számlákat, parkolási bírságokat, csomag-értesítőket) hoznak létre, amelyeken prominensen szerepelnek a csalárd kódok.

Az FBI Internetes Bűncselekményeket Kezelő Panaszközpontja 2024-ben kiemelt, feltörekvő fenyegetésként jelölte meg a quishing-et, és az adatok azóta csak romlottak. A kiberbiztonsági cégek 587%-os növekedést dokumentáltak a QR-kódalapú adathalász támadásokban 2024 és 2025 között. A technika azért vált népszerűvé a szervezett csalócsoportok körében, mert olcsón megvalósítható, nagy léptékben nehéz észlelni, és kifejezetten olyan e-mail-biztonsági eszközök megkerülésére tervezték, amelyek nem tudják leolvasni a képekbe ágyazott URL-eket.

A quishing egy szélesebb váltás részét képezi az átverési taktikákban a mobileszközökre összpontosító támadások felé. Ahogy dokumentáltuk az AI által az átverések kifinomultságának gyorsítása elemzésünkben, a csalók kifejezetten azokat az eszközöket és szokásokat célozzák meg, amelyeket az emberek az okostelefon-korszakban vettek fel, a QR-kódok pedig az elmúlt öt év legelterjedtebb mobiltechnológiai szokásai közé tartoznak.

Hogyan működnek a QR-kód-csalások

Egy quishing-támadás mechanikája megtévesztően egyszerű. A támadó rosszindulatú URL-t kódoló QR-kódot generál, jellemzően egy banki bejelentkező oldal, fizetési portál vagy kormányzati szolgáltatás klónozott változatát. A hamis oldalt úgy tervezik, hogy azonosnak tűnjön a törvényes oldallal, rögzítve az áldozat által megadott hitelesítési adatokat vagy fizetési információkat.

Fizikai támadásoknál a csaló kinyomtatja a hamis kódot egy matricára, és elhelyezi azt a parkolóóra, éttermi asztalmatrica vagy közösségi hirdetőtábla törvényes kódja fölé. A csere másodperceket vesz igénybe. A támadó elhagyhatja a területet, és távolról gyűjthetia lopott adatokat. Egy forgalmas parkolóórán jól elhelyezett matrica naponta tucatnyi áldozatot ejthet.

Ábra, amely bemutatja, hogyan cseréli le a csaló a parkolóórán lévő törvényes QR-kód-matricát egy hamis matricára
Ábra, amely bemutatja, hogyan cseréli le a csaló a parkolóórán lévő törvényes QR-kód-matricát egy hamis matricára

Az e-mail-alapú quishing más forgatókönyvet követ. A támadók bankokat, HR-osztályokat vagy csomagszállítókat megszemélyesítő üzeneteket küldenek, azt állítva, hogy a címzettnek ellenőriznie kell a fiókját vagy nyomon kell követnie a szállítást, és mellékelnek egy QR-kódot a „telefon kamerájával az extra biztonságért”. Ez az utasítás szándékos: az interakció mobileszközre való átvitele a célpontot eltávolítja a biztonsági eszközökkel felszerelt vállalati számítógéptől, és egy kevesebb védelemmel rendelkező személyes telefonra viszi.

A hamis oldalon az áldozat egy csiszolt hitelesítési adatokat gyűjtő formával találja szembe magát. A fejlettebb támadások valós idejű közvetítési technikákat alkalmaznak: ahogy az áldozat megadja a felhasználónevét és jelszavát, a támadó ezeket a hitelesítési adatokat egyidejűleg bedugja a valódi weboldalba, majd visszaközvetíti a kétlépéses hitelesítési kérést az áldozatnak, teljesen megkerülve a 2FA-védelmet.

Bizonytalan vagy egy QR-kódból kapott linkkel kapcsolatban? Mielőtt bármilyen adatot megadsz, illeszd be az URL-t a Truvizy-ba, hogy ellenőrizd adathalász-mutatók szempontjából.

Hol jelennek meg a hamis QR-kódok

A parkolóórák és fizetési kioszkák az USA-ban a legtöbbet célzott helyszínek közé tartoznak. A Texasi Közlekedési Hivatal 2024-ben dokumentált tucatnyi hamis QR-kód-matricát nagyvárosok parkolóóráin. Az áldozatok teljes hitelkártyaadatokat adtak meg a parkolásért való fizetés reményében, ehelyett azonban egyenesen a csalóknak adták át pénzügyi adataikat. Az átverés különösen jól működik, mert a parkolásért való fizetés stresszes, az autósok gyakran sietnek, és nem vizsgálják alaposan a fizetési felületet.

Az éttermi asztalmatricák és menük a pandémia utáni érintés nélküli étkezés elterjedésével jelentős vektorrá váltak. Egy törvényes kód fölé vagy mellé helyezett hamis QR-kóddal ellátott matrica átirányíthatja az étkezőket egy hamis menüre vagy fizetési oldalra. Néhány esetben a hamis oldal még meggyőző menüt is mutat, mielőtt egy hitelesítési adatokat gyűjtő formára irányítana, amely azt állítja, hogy az étterem online rendelésre váltott.

A csomagvisszaküldési címkék gyorsan növekvő támadási kategóriát képviselnek. Az áldozatok csomagokat kapnak, néha kéretlenül, néha hamis nyereményjáték-kampány részeként, QR-kódokat tartalmazó visszaküldési címkékkel. A kód beszkennelése állítólag visszaküldést indít, de valójában egy hamis kiskereskedői portálhoz vezet, amely hitelkártya-adatokat kér a „visszatérítés feldolgozásához”.

A tömegközlekedési megállók és buszmegállók jelentős kockázatot hordoznak, mivel a jelzéseket korlátozott ellenőrzési kapacitással rendelkező önkormányzatok kezelik. A tranzit-térképeken, jegyautomatákon vagy díjfizetési képernyőkön lévő hamis kódok napokig észrevétlenül maradhatnak eltávolításuk előtt. Az Egyesült Királyságban a Transport for London 2025-ben százakat távolított el a pályaudvarokról.

Az e-mail- és dokumentumalapú támadások a fogyasztókkal egyenlő mértékben célozzák a vállalkozásokat. A „biztonságos fizetés” QR-kódját tartalmazó hamis számlák, az alkalmazottakat a bérszámfejtési adataik frissítéséhez kódot szkennelni kérő hamis HR-értesítések és a hamis csomagkézbesítési értesítések mind gyakori vállalati támadási vektorok. Ahogy a adathalász e-mailek felismerési útmutatójában tárgyaljuk, az e-mail-alapú támadások egyre kifinomultabb vizuális elemeket alkalmaznak az automatikus szűrés megkerülésére.

A hamis jótékonysági és adománygyűjtési szórólapok a nagylelkűséget aknázzák ki. Természeti katasztrófák vagy nagy hírű események után QR-kódos adományos szórólapok jelennek meg közösségi hirdetőtáblákon, szupermarketekben és a közösségi médiában. A kódok meggyőző hamis jótékonysági fizetési oldalakhoz kapcsolódnak, amelyek valódi adomány nélkül gyűjtik be az adományokat és a kártyaadatokat.

Miért olyan hatékonyak a QR-csalások

A quishing hatékonysága egy alapvető bizalmi egyensúlyzavarból ered. A QR-kódok a kényelemmel és a modernitással társulnak, törvényes vállalkozások helyezik el azokat hivatalos anyagokon. Az embereket az évek alatt arra tanították, hogy jobban bízzanak egy QR-kód fizikai kontextusában, mint egy véletlenszerű e-mail-linkben. Egy éttermi asztalon vagy parkolóórán lévő kód a helyszíntől magától kap hallgatólagos jóváhagyást.

A kamera alkalmazások minimális súrlódást okoznak. A legtöbb okostelefon automatikusan felismeri a QR-kódokat, és kis URL-előnézetet mutat, amelyet a felhasználók ösztönösen olvasatlanul elutasítanak. Az előnézeti ablak kicsi, az URL gyakran hosszú vagy rövidített, és az agy természetes mintafelismerési hajlama azt jelenti, hogy a felhasználók gyakran azt látják, amit elvárnak, nem azt, ami valójában ott van. Egy ilyen URL, mint a „secure-payment-parkingzone.com”, egy figyelmetlen felhasználónak „parkolást” olvasódik, még ha egy óvatosnak veszélyt jelez is.

Megérkezel egy parkolóórához, és beszkenneled a QR-kódot. A telefon kamerája egy előnézeti URL-t mutat: 'parking-pay-secure-city.com/pay'. Az óra egy nagy amerikai városban van. Mit teszel?

  1. Azonnal megnyitod a linket, megemlíti a várost, tehát törvényesnek kell lennie
  2. Gondosan ellenőrzöd az URL-t: megfelel-e a városod hivatalos parkolásfizetési domainjének?
  3. Felhívod az önkormányzatot megerősítésért
  4. Inkább a fizikai kártyatartót használod

Answer: Az általánosnak tűnő domainok, mint a 'parking-pay-secure-city.com', nagy veszélyjelzők. A városod hivatalos parkolási rendszere egy meghatározott, jól ismert domainnel rendelkezik (pl. paybyphone.com vagy a városod hivatalos.gov weboldala). Mindig ellenőrizd, hogy a cél URL megfelel-e a várt hivatalos domainnek, mielőtt bármilyen fizetési adatot megadsz, vagy ha elérhető, használd a fizikai kártyatartót.

A mobil kontextus eltávolítja az asztali számítógépeken meglévő biztonsági eszközök nagy részét is. A vállalati végpontok védelme, az adathalász oldalakat jelölő böngészőbővítmények és a linkek előnézetes rámutatásának szokása nem fordítható le mobilra. Telefonon a felhasználó nagyrészt egyedül van.

Hogyan ismerjük fel a hamis QR-kódot

Vizsgáld meg a kódot fizikailag. Keress nyomtatott anyagok tetejére ragasztott matricákat. A hamis matricákon gyakran kissé eltérő papíranyag, enyhe elcsúszás a környező dizájnelemekhez képest, vagy látható szélék láthatók ott, ahol a matrica a nyomtatott szöveget fedi. Húzd végig a körömödet a felületen, egy rétegzett matricának általában alig érezhető emelt széle lesz.

Koppintás előtt olvasd el a teljes URL-t. Miután a kamera beszkennelte a kódot, előnézeti értesítés vagy banner jelenik meg. Koppintás előtt állj meg, és olvasd el a teljes URL-t. Figyelj a következőkre: a várt vállalkozás neve a domainben (nem utótag vagy előtag), törvényes felső szintű domain (.com,.gov,.org, nem szokatlan kiterjesztések, mint a.xyz vagy.top), és az „secure”, „login”, „verify” vagy „payment” szavak hiánya egy márkanévnek tűnő dologhoz toldva.

Légy szkeptikus a sürgetéssel szemben. Az „Azonnal szkennelje be”, „Korlátozott idejű ajánlat” vagy „Hozzáféréshez szükséges” felirattal kísért kódokat arra tervezték, hogy cselekvésre késztesenek gondolkodás előtt. A törvényes vállalkozások általában nem alkalmaznak sürgető, nagy nyomású nyelvezetet a QR-fizetési kódok körül.

Keresztreferáld a hivatalos csatornákkal. Mielőtt beszkenneled a QR-kódot egy e-mailből vagy dokumentumból, amely azt állítja, hogy a bankodtól, a HR-osztálytól vagy egy szállítótól van, ellenőrizd, hogy a szervezet valóban küldte-e a kommunikációt hivatalos weboldalukon vagy alkalmazásukon keresztül felvett közvetlen kapcsolattal. Soha ne használd az ugyanabban az üzenetben megadott elérhetőséget, amely a QR-kódot tartalmazza. A gyanús linkek és ismeretlen forrásokból származó tartalom értékeléséhez a Truvizy szkennelő eszköze segíthet felmérni a kockázatot minden lépés megtétele előtt.

Használd az alternatívát, ha elérhető. Ha a QR-kód az egyetlen fizetési lehetőség egy parkolóórán vagy kioszkban, fontold meg a fizikai kártyabehelyező használatát, egy ellenőrzött alkalmazásboltból letöltött dedikált hivatalos alkalmazáson keresztüli fizetést, vagy más módszer keresését. A kényelem soha nem kerekedhet a biztonság fölé fizetési vagy személyes adatok megadásakor.

Ellenőrzőlista a QR-kódok biztonságos beszkenneléshez, URL ellenőrzése, fizikai kód vizsgálata, hivatalos alkalmazások használata
Ellenőrzőlista a QR-kódok biztonságos beszkenneléshez, URL ellenőrzése, fizikai kód vizsgálata, hivatalos alkalmazások használata

Mit tegyünk, ha átvertek minket

Ha beszkenneltél egy kódot, megnyitottad a linket, és megadtál adatokat, cselekedj gyorsan. Minden percnyi késedelem több időt ad a támadónak az adataid felhasználásához.

Ha megadtad a fizetési kártya adatait: Azonnal hívd a bankod csalásellenes vonalát (használd a kártyád hátulján lévő számot, ne a gyanús oldalon lévő számot). Kérj kártyazárolást vagy csere kártyát. Kérd a bankot, hogy jelöljön meg minden terhelést az adatmegadás pillanatától.

Ha megadtad a bejelentkezési adataidat: Azonnal változtasd meg a jelszavadat egy különálló, megbízható eszközről. Engedélyezd a kétlépéses hitelesítést, ha még nem aktív. Ellenőrizd, hogy nincs-e ismeretlen eszköz vagy munkamenet bejelentkezve a fiókba, és távolítsd el azokat. Ha ugyanazt a jelszót máshol is használod, változtasd meg ott is.

Helyezz el csalásra figyelmeztető jelzést a hitelnyilvántartásodban a három nagy iroda egyikénél (Equifax, Experian, TransUnion), ez automatikusan értesíti a másik kettőt is. Ha úgy véled, hogy a személyazonosságod kompromittálódott, fontold meg a hitelbefagyasztást, amely ingyenes és megakadályozza, hogy a te neveden új számlákat nyissanak. Az személyazonosság-lopás megelőzéséről szóló átfogó útmutatónk részletesen bemutatja a teljes helyreállítási folyamatot.

Védd meg magad QR-kód-csalásoktól és más mobil fenyegetésektől mesterséges intelligencián alapuló csalásfelismeréssel.

Hogyan védd meg magad a jövőben

A legfontosabb szokás: koppintás előtt állj meg. A quishing teljes felépítése arra támaszkodik, hogy a QR-szkennelés automatikusnak és azonnalinak érződik. Ez az automatikus reakció megszakítása, akár két másodpercre az URL elolvasásához, megzavarja a támadást. Tedd ezt szabállyá: először az URL-előnézet, aztán a megnyitás.

Használj dedikált QR-szkenner alkalmazást, amely valós idejű biztonsági ellenőrzéseket végez a dekódolt URL-en, mielőtt megmutatná azt neked. Ezek az alkalmazások, amelyek ingyenesen elérhetők a nagy biztonsági gyártóktól, egy URL-ellenőrzőként működnek, amely be van építve a szkenner munkafolyamatodba. Ezek a mobilegyenértékei a kattintás előtti linkrámutatásnak.

Tartsd naprakészen a telefon operációs rendszerét és böngészőjét. A biztonsági javítások gyakran zárják be azokat a sérülékenységeket, amelyeket a drive-by letöltések kihasználnak, amikor egy rosszindulatú oldalt felkeresnek. Egy javítatlan telefon lényegesen sérülékenyebb egy quishing-támadás második szakaszával szemben, még ha a hitelesítési adataid biztonságban is maradnak.

Engedélyezd a kétlépéses hitelesítést hitelesítő alkalmazással, ne SMS-sel. Ahogy a smishing és szöveges üzenet-átverésekről szóló útmutatónkban megjegyeztük, az SMS-alapú 2FA elfogható. A hitelesítő alkalmazás kódokat generál helyben az eszközödön, ami lényegesen nehezebbé teszi a valós idejű közvetítéses támadásokat.

Jelents minden gyanús kódot, ahol megtalálod. Ha gyanús matricát veszel észre egy nyilvános QR-kódon, fényképezd le a helyszínt, és jelentsd a vállalkozásnak vagy a helyi hatóságoknak. Egy rosszindulatú matrica néhány órán belüli eltávolítása tucatnyi más potenciális áldozatot védhet meg.

Key Takeaways

A QR-kódok nem tűnnek el, és a kihasználó csalók sem. Ahogy az érintésmentes fizetések, a digitális menük és a mobileszköz-orientált szolgáltatások egyre jobban beépülnek a mindennapi életbe, a quishing egyre kifinomultabb és elterjedtebb lesz. Az ellenszer a tudatosság: annak ismerete, hogy bármely fizikai QR-kód cserélhető, az e-mailekben lévő bármely kód bárhová hivatkozhat, és a koppintás előtti URL-olvasásra fordított két másodperc lehet az a két másodperc, amely megkímél egy nagyon drága tanulságtól.

A Truvizy védelmi csomagjai gyanús URL-ek és linkek elemzéséhez szükséges eszközöket tartalmaznak, illeszd be a QR-kódból dekódolt URL-t a Truvizy-ba, mielőtt megnyitnád, és azonnali mesterséges intelligencián alapuló értékelést kapsz annak legitimitásáról. Egy olyan fenyegetettségi környezetben, ahol a csalók képeken belül rejtik el a rosszindulatú linkeket, a tényleges célt ellenőrző eszköz már nem opcionális, elengedhetetlen.

Smishing: Miért valószínűleg átverés a bankodtól kapott SMS — Szöveges adathalászat, amely ugyanolyan pszichológiai forgatókönyvet oszt meg, mint a quishing.

Adathalász e-mail felismerése — Hogyan azonosíthatók az e-mail-alapú támadások, beleértve azokat is, amelyek QR-kódokat használnak szűrők megkerülésére.

Szociális mérnöki támadások — A quishing és minden modern átverés mögött álló pszichológiai manipulációs technikák.

FAQ

Mi az a quishing?

A quishing QR-kódos adathalászat, egy átverés, amelyben a támadók hamis QR-kódokat cserélnek ki vagy hoznak létre, amelyek az áldozatokat rosszindulatú weboldalakra irányítják át, céljuk a bejelentkezési adatok, fizetési információk ellopása, vagy kártevők telepítése az eszközre.

Hogyan tudhatom meg, hogy egy QR-kód hamis-e, mielőtt beszkennelem?

Vizsgáld meg fizikailag a kódot: keress az eredeti kód fölé ragasztott matricákat, a környező anyag sérüléseit, vagy kódokat, amelyek kissé eltérnek a közeliekhez képest. Szkennelés után mindig ellenőrizd a teljes cél URL-t a kamera alkalmazás előnézetében, mielőtt a 'megnyitás' gombra koppintanál. Ha az URL nem egyezik pontosan a várt vállalati domainnel, ne folytasd.

QR-kód szkennelése telepíthet kártevőt a telefonomra?

Pusztán egy QR-kód kamerával való beszkennelése nem telepít kártevőt, de a kapott link megnyitása igen. A rosszindulatú oldalak drive-by letöltésekkel, hitelesítési adatok adathalászatával próbálkozhatnak, vagy hamis alkalmazás telepítésére kérhetnek. Tartsd frissítve a telefon operációs rendszerét, kerüld az ismeretlen forrásokból való alkalmazástelepítést, és használj beépített URL-biztonsági ellenőrzéssel rendelkező QR-szkenner alkalmazást.

Mely helyszíneken a legnagyobb a hamis QR-kódok kockázata?

Nagy kockázatú helyszínek: parkolóórák, éttermi asztalok és menük, tömegközlekedési megállók, csomag-visszaküldési címkék, szállodai előcsarnokok és nyilvánosan kifüggesztett szórólapok. Minden felügyelet nélküli fizikai tér, ahol valaki az éjszaka folyamán cserélhet kódot észrevétlenül, potenciális célpont.

Mit tegyek, ha már beszkenneltem és megadtam adataimat egy gyanús oldalon?

Azonnal cselekedj: változtasd meg a megadott jelszavakat, vedd fel a kapcsolatot a bankoddal, ha megadtad a fizetési adataidat, engedélyezd a kétlépéses hitelesítést az érintett fiókokon, és kövesd a hiteljelentésedet. Jelents az FTC-nek a reportfraud.ftc.gov oldalon, és ha vállalati tulajdonon volt, figyelmeztesd a vállalkozást, hogy cserélhessék le a kompromittált kódot.