Oszustwa z kodami QR (quishing): Zagrożenie ukryte na widoku

Oszustwa z kodami QR, zwane quishingiem, gwałtownie rosną w 2026 roku. Dowiedz się, jak fałszywe kody QR kradną Twoje pieniądze i dane, gdzie oszuści je umieszczają oraz jak bezpiecznie skanować przed kliknięciem.

· Truvizy Research Team · 8 min read

TL;DR

Quishing to phishing za pomocą kodów QR: oszuści zastępują legalne kody QR na menu restauracyjnych, parkomatach, etykietach paczek i plakatach publicznych kodami, które przekierowują do stron wyłudzających dane. Ponieważ aparat Twojego telefonu wyświetla jedynie krótki podgląd adresu URL przed otwarciem strony, większość osób nigdy nie zauważa zamiany. Zawsze sprawdzaj docelowy adres URL przed otwarciem linku z kodu QR, używaj skanera QR z wbudowaną ochroną bezpieczeństwa, a w razie wątpliwości wpisz oficjalny adres strony ręcznie.

Wjeżdżasz na parking, skanujesz kod QR na kiosku płatniczym i wpisujesz dane karty kredytowej, aby zapłacić za miejsce. Transakcja wydaje się przebiegać pomyślnie. Tego samego wieczoru Twój bank dzwoni z informacją o trzech nieautoryzowanych transakcjach z zagranicy. Nikomu nie dałeś karty do ręki. Nie kliknąłeś żadnego podejrzanego e-maila. Jedyne, co zrobiłeś, to zeskanowanie kodu QR, i to wystarczyło. Witaj w świecie quishingu: najszybciej rosnącego oszustwa, o którym większość ludzi nigdy nie słyszała.

Kody QR zostały zaprojektowane dla wygody, skanuj i idź. Ale ta sama bezproblemowa obsługa, która sprawia, że są atrakcyjne dla firm, czyni je też niebezpiecznymi w rękach oszustów. W odróżnieniu od podejrzanego linku w e-mailu, nad którym można się zawahać, kod QR nie ujawnia niczego do chwili, gdy skierujesz na niego aparat. Gdy zobaczysz docelowy adres URL, wiele ofiar już kliknęło „otwórz”. Ta ułamkowa sekunda to właśnie to, co quishing wykorzystuje.

Czym jest quishing?

Quishing, zbitka słów „QR” i „phishing”, to praktyka osadzania złośliwych adresów URL w kodach QR w celu przekierowania ofiar na fałszywe strony internetowe. Oszustwo może przybierać różne formy: fizyczne zastępowanie legalnego kodu fałszywą naklejką w miejscach publicznych, wysyłanie kodów QR pocztą elektroniczną lub SMS-em, które omijają tradycyjne filtry spamu, lub tworzenie fałszywych dokumentów (faktur, zawiadomień o mandatach, powiadomień o paczkach) z wyróżnionymi fałszywymi kodami.

Centrum Skarg Przestępczości Internetowej FBI oznaczyło quishing jako pojawiające się zagrożenie priorytetowe w 2024 roku, a liczby tylko się pogorszyły od tamtej pory. Firmy zajmujące się cyberbezpieczeństwem odnotowały wzrost ataków phishingowych opartych na kodach QR o 587% między 2024 a 2025 rokiem. Technika ta stała się popularna wśród zorganizowanych grup przestępczych, ponieważ jest tania w wykonaniu, trudna do wykrycia na dużą skalę i specjalnie zaprojektowana do omijania narzędzi bezpieczeństwa poczty e-mail, które nie mogą odczytywać adresów URL osadzonych w obrazach.

Quishing jest częścią szerszej zmiany taktyk oszustw w kierunku ataków mobilnych. Jak udokumentowaliśmy w naszej analizie tego, jak AI przyspiesza wyrafinowanie oszustw, oszuści specjalnie celują w narzędzia i nawyki, które ludzie przyjęli w erze smartfonów, a kody QR są jednym z najszerzej stosowanych nawyków mobilnych ostatnich pięciu lat.

Jak działają oszustwa z kodami QR

Mechanika ataku quishingowego jest zwodniczo prosta. Atakujący generuje kod QR kodujący złośliwy adres URL, zazwyczaj sklonowaną wersję strony logowania banku, portalu płatniczego lub serwisu rządowego. Fałszywa strona jest zaprojektowana tak, by wyglądać identycznie jak legalna, przechwytując wszelkie dane logowania lub informacje płatnicze wpisane przez ofiarę.

W atakach fizycznych oszust drukuje fałszywy kod na naklejce i umieszcza ją na legalnym kodzie parkometru, stoliku w restauracji lub tablicy ogłoszeń. Podmiana zajmuje sekundy. Atakujący może następnie opuścić miejsce i zdalnie zbierać skradzione dane. Jedna dobrze umieszczona naklejka na ruchliwym parkometrze może przechwycić dane dziesiątek ofiar dziennie.

Diagram pokazujący, jak oszust zastępuje legalną naklejkę z kodem QR fałszywą na parkometrze
Diagram pokazujący, jak oszust zastępuje legalną naklejkę z kodem QR fałszywą na parkometrze

Quishing e-mailowy przebiega według innego scenariusza. Atakujący wysyłają wiadomości podszywające się pod banki, działy HR lub firmy kurierskie, twierdząc, że odbiorca musi zweryfikować konto lub śledzić przesyłkę, i dołączając kod QR do „zeskanowania telefonem dla dodatkowego bezpieczeństwa”. Ta instrukcja jest celowa: przeniesienie interakcji na urządzenie mobilne odciąga ofiarę od firmowego komputera z narzędziami zabezpieczającymi na prywatny telefon z mniejszą ochroną.

Na fałszywej stronie ofiara napotyka dopracowany formularz wyłudzający dane. Bardziej zaawansowane ataki wykorzystują techniki przekazywania w czasie rzeczywistym: gdy ofiara wpisuje nazwę użytkownika i hasło, atakujący jednocześnie wprowadza te dane na prawdziwej stronie, a następnie przekazuje ofierze monit o uwierzytelnienie dwuskładnikowe, całkowicie omijając zabezpieczenia 2FA.

Masz wątpliwości co do linku z kodu QR? Wklej adres URL do Truvizy, aby sprawdzić go pod kątem wskaźników phishingu, zanim wpiszesz jakiekolwiek dane.

Gdzie pojawiają się fałszywe kody QR

Parkomaty i kioski płatnicze należą do najczęściej atakowanych miejsc. Ofiary wpisują pełne dane karty kredytowej, spodziewając się zapłacić za parking, i w ten sposób przekazują swoje dane finansowe bezpośrednio oszustom. Oszustwo działa szczególnie dobrze, ponieważ płatność za parking bywa stresująca, kierowcy często się spieszą i nie przyglądają uważnie interfejsowi płatności.

Stoliki i menu restauracyjne stały się głównym wektorem ataku, gdy po pandemii rozpowszechniły się bezkontaktowe usługi gastronomiczne. Naklejka z fałszywym kodem QR umieszczona nad lub obok legalnego kodu może przekierować gości na fałszywe menu lub stronę płatności. W niektórych przypadkach fałszywa strona wyświetla nawet przekonujące menu, zanim przekieruje na formularz wyłudzający dane pod pretekstem przejścia na zamówienia online.

Etykiety zwrotu paczek stanowią szybko rosnącą kategorię ataków. Ofiary otrzymują paczki, czasem niechciane, czasem w ramach fałszywej kampanii nagrodowej, zawierające etykiety zwrotu z kodami QR. Zeskanowanie kodu rzekomo inicjuje zwrot, lecz w rzeczywistości prowadzi do fałszywego portalu sprzedawcy, który żąda danych karty kredytowej w celu „przetworzenia zwrotu pieniędzy”.

Komunikacja miejska i przystanki autobusowe niosą znaczne ryzyko, ponieważ oznakowanie jest zarządzane przez gminy o ograniczonych możliwościach monitorowania. Fałszywe kody na mapach komunikacyjnych, kioskach z biletami lub ekranach płatności za przejazd mogą pozostać niezauważone przez wiele dni przed usunięciem.

Ataki e-mailowe i dokumentowe celują w firmy tak samo jak w konsumentów. Fałszywe faktury z kodami QR do „bezpiecznej płatności”, fałszywe powiadomienia HR wymagające zeskanowania kodu w celu aktualizacji danych płacowych oraz fałszywe powiadomienia o dostarczeniu paczek to powszechne wektory ataków korporacyjnych. Jak omówiono w naszym przewodniku po wykrywaniu phishingowych e-maili, ataki e-mailowe stają się coraz bardziej wyrafinowane w używaniu elementów wizualnych do omijania automatycznego filtrowania.

Fałszywe ulotki charytatywne i zbiórki pieniędzy wykorzystują ludzką szczodrość. Po klęskach żywiołowych lub ważnych wydarzeniach medialnych fałszywe ulotki z kodami QR do darowizn pojawiają się na tablicach ogłoszeń, w supermarketach i w mediach społecznościowych. Kody prowadzą do przekonujących fałszywych stron płatności charytatywnych, które przechwytują darowizny i dane kart bez faktycznego przekazywania żadnych środków.

Dlaczego oszustwa z kodami QR są tak skuteczne

Skuteczność quishingu wynika z fundamentalnej rozbieżności w zaufaniu. Kody QR kojarzą się z wygodą i nowoczesnością, są umieszczane przez legalne firmy na oficjalnych materiałach. Przez lata użytkownicy nauczyli się ufać fizycznemu kontekstowi kodu QR bardziej niż przypadkowemu linkowi w e-mailu. Kod na stoliku restauracyjnym lub parkometrze niesie ze sobą dorozumiane poparcie samego miejsca.

Aplikacje aparatu stwarzają minimalne tarcia. Większość smartfonów automatycznie rozpoznaje kody QR i wyświetla mały podgląd adresu URL, który użytkownicy odruchowo ignorują bez czytania. Okno podglądu jest małe, adres URL często jest długi lub skrócony, a naturalna tendencja mózgu do rozpoznawania wzorców sprawia, że użytkownicy często widzą to, czego oczekują, a nie to, co faktycznie tam jest. Adres URL taki jak „secure-payment-parkingzone.com” jest odczytywany przez rozkojarzonych użytkowników jako „parking”, choć dla ostrożnego obserwatora sygnalizuje niebezpieczeństwo.

Podjeżdżasz do parkometru i skanujesz kod QR. Aparat Twojego telefonu pokazuje podgląd adresu URL: 'parking-pay-secure-city.com/pay'. Parkomat stoi w centrum dużego miasta. Co powinieneś zrobić?

  1. Otworzyć link natychmiast, skoro wspomina o mieście, musi być legalne
  2. Dokładnie sprawdzić adres URL: czy pasuje do oficjalnej strony parkingów Twojego miasta lub dostawcy np. easypark.pl?
  3. Odjechać bez płacenia, ryzyko nie jest warte zachodu
  4. Zeskanować ponownie i liczyć na lepszy wynik

Answer: Ogólnie brzmiące domeny, takie jak 'parking-pay-secure-city.com', to poważny sygnał ostrzegawczy. Oficjalny system parkingowy Twojego miasta będzie miał konkretną, dobrze znane domenę (np. easypark.pl, mobiparking.pl lub oficjalną witrynę urzędu miasta). Zawsze sprawdzaj, czy docelowy adres URL odpowiada oczekiwanej oficjalnej domenie, zanim wpiszesz jakiekolwiek dane płatnicze, lub skorzystaj z fizycznego czytnika kart, jeśli jest dostępny.

Kontekst mobilny pozbawia użytkowników wielu narzędzi bezpieczeństwa, które mają na komputerach stacjonarnych. Firmowa ochrona punktów końcowych, rozszerzenia przeglądarki oznaczające strony phishingowe i nawyk najeżdżania kursorem na linki w celu ich podglądu nie sprawdzają się na urządzeniach mobilnych. Na telefonie użytkownik jest w dużej mierze zdany na siebie.

Jak rozpoznać fałszywy kod QR

Sprawdź kod fizycznie. Szukaj naklejek umieszczonych na wydrukowanych materiałach. Fałszywe naklejki często mają nieco inny rodzaj papieru, lekkie przesunięcie względem otaczających elementów projektu lub widoczne krawędzie, gdzie naklejka nakłada się na wydrukowany tekst. Przesuń paznokciem po powierzchni, naklejka ułożona warstwowo zazwyczaj ma subtelną wystającą krawędź.

Przeczytaj pełny adres URL przed kliknięciem. Po zeskanowaniu kodu przez aparat pojawia się powiadomienie lub baner z podglądem. Zatrzymaj się przed kliknięciem i przeczytaj pełny adres URL. Sprawdź: czy oczekiwana nazwa firmy widnieje w domenie (a nie jako sufiks lub prefiks), czy jest to legalna domena najwyższego poziomu (.com,.gov,.pl, nie niezwykłe rozszerzenia jak.xyz lub.top) oraz czy nie ma dodatkowych słów takich jak „secure”, „login”, „verify” czy „payment” doklejonych do tego, co wygląda jak nazwa marki.

Bądź sceptyczny wobec pilności. Kody połączone z komunikatami takimi jak „Zeskanuj natychmiast”, „Oferta ograniczona czasowo” lub „Wymagane do uzyskania dostępu” są zaprojektowane tak, abyś działał przed przemyśleniem. Legalne firmy zazwyczaj nie używają pilnego, wywierającego presję języka w przypadku kodów QR do płatności.

Sprawdź w oficjalnych kanałach. Przed zeskanowaniem kodu QR z e-maila lub dokumentu, który twierdzi, że pochodzi od Twojego banku, działu HR lub firmy kurierskiej, sprawdź, czy ta organizacja faktycznie wysłała tę wiadomość, kontaktując się z nią bezpośrednio przez ich oficjalną stronę lub aplikację. Nigdy nie używaj danych kontaktowych podanych w tej samej wiadomości, która zawiera kod QR. Przy ocenie podejrzanych linków i treści z nieznanych źródeł narzędzie do skanowania Truvizy może pomóc ocenić ryzyko przed podjęciem jakichkolwiek działań.

Skorzystaj z alternatywy, gdy jest dostępna. Jeśli kod QR jest jedyną opcją płatności przy parkometrze lub kiosku, rozważ użycie fizycznego czytnika kart, zapłacenie przez dedykowaną oficjalną aplikację pobraną ze zweryfikowanego sklepu z aplikacjami lub znalezienie innej metody. Wygoda nigdy nie powinna przeważać nad bezpieczeństwem, gdy w grę wchodzą płatności lub dane osobowe.

Lista kontrolna bezpiecznego skanowania kodów QR, sprawdź adres URL, zbadaj fizyczny kod, używaj oficjalnych aplikacji
Lista kontrolna bezpiecznego skanowania kodów QR, sprawdź adres URL, zbadaj fizyczny kod, używaj oficjalnych aplikacji

Co zrobić, jeśli zostałeś oszukany

Jeśli zeskanowałeś kod, otworzyłeś link i wpisałeś dane, działaj szybko. Każda minuta zwłoki daje atakującemu więcej czasu na wykorzystanie Twoich danych.

Jeśli podałeś dane karty płatniczej: Natychmiast zadzwoń na linię antyfraudową swojego banku (używaj numeru z odwrocia karty, nie żadnego numeru z podejrzanej strony). Poproś o zablokowanie lub wymianę karty. Poproś bank o oznaczenie wszelkich transakcji od momentu podania danych.

Jeśli podałeś dane logowania: Natychmiast zmień hasło z osobnego, zaufanego urządzenia. Włącz uwierzytelnianie dwuskładnikowe, jeśli jeszcze nie jest aktywne. Sprawdź, czy na koncie nie ma nieznanych urządzeń lub sesji i usuń je. Jeśli używasz tego samego hasła w innych miejscach, zmień je również.

Złóż zastrzeżenie do BIK (Biuro Informacji Kredytowej) i rozważ alert w bazach KRD i ERIF, utrudni to oszustom otwieranie kont na Twoje dane. Jeśli uważasz, że doszło do kradzieży tożsamości, rozważ zamrożenie kredytu, które bezpłatnie uniemożliwia otwieranie nowych zobowiązań na Twoje dane. Nasz kompleksowy przewodnik po zapobieganiu kradzieży tożsamości szczegółowo omawia cały proces odzyskiwania danych.

Chroń się przed oszustwami z kodami QR i innymi zagrożeniami mobilnymi dzięki wykrywaniu oszustw opartemu na AI.

Jak chronić się na przyszłość

Najważniejszym nawykiem jest pauza przed kliknięciem. Cały mechanizm quishingu opiera się na fakcie, że skanowanie kodów QR wydaje się automatyczne i natychmiastowe. Przerwanie tej automatycznej reakcji, nawet na dwie sekundy, aby przeczytać adres URL, udaremnia atak. Przyjmij zasadę: najpierw sprawdź adres URL, potem otwórz.

Używaj dedykowanej aplikacji do skanowania kodów QR, która wykonuje kontrole bezpieczeństwa w czasie rzeczywistym na zdekodowanym adresie URL, zanim go wyświetli. Takie aplikacje, dostępne bezpłatnie od głównych dostawców zabezpieczeń, działają jak wbudowany w przepływ skanowania program sprawdzający adresy URL. Są mobilnym odpowiednikiem najeżdżania kursorem na link przed kliknięciem.

Regularnie aktualizuj system operacyjny i przeglądarkę telefonu. Poprawki bezpieczeństwa często zamykają luki, które ataki drive-by download wykorzystują podczas odwiedzania złośliwych stron. Niezaktualizowany telefon jest znacznie bardziej podatny na drugą fazę ataku quishingowego, nawet jeśli Twoje dane logowania pozostają bezpieczne.

Włącz uwierzytelnianie dwuskładnikowe za pomocą aplikacji uwierzytelniającej, nie SMS-a. Jak zauważyliśmy w naszym przewodniku po smishingu i oszustwach SMS, 2FA oparte na SMS-ach można przechwycić. Aplikacja uwierzytelniająca generuje kody lokalnie na Twoim urządzeniu, co znacznie utrudnia ataki przekazywania w czasie rzeczywistym.

Zgłaszaj podejrzane kody wszędzie tam, gdzie je napotkasz. Jeśli zauważysz naklejkę wyglądającą podejrzanie na publicznym kodzie QR, sfotografuj miejsce i zgłoś to firmie lub władzom lokalnym. Usunięcie złośliwej naklejki w ciągu kilku godzin może ochronić dziesiątki innych potencjalnych ofiar.

Key Takeaways

Kody QR nie znikną, i podobnie nie znikną oszuści, którzy je wykorzystują. W miarę jak płatności bezgotówkowe, cyfrowe menu i usługi mobilne stają się coraz bardziej zakorzenione w codziennym życiu, quishing będzie coraz bardziej wyrafinowany i powszechny. Antidotum jest świadomość: wiedza, że każdy fizyczny kod QR może zostać podmieniony, każdy kod w e-mailu może prowadzić gdziekolwiek, a dwie sekundy potrzebne do przeczytania adresu URL przed kliknięciem mogą uchronić Cię przed bardzo kosztowną lekcją.

Plany ochrony Truvizy zawierają narzędzia do analizy podejrzanych adresów URL i linków, wklej adres URL odkodowany z dowolnego kodu QR do Truvizy przed jego otwarciem i uzyskaj natychmiastową ocenę jego legalności opartą na AI. W środowisku zagrożeń, w którym oszuści ukrywają złośliwe linki w obrazach, posiadanie narzędzia sprawdzającego rzeczywisty cel nie jest już opcjonalne, jest niezbędne.

Smishing: dlaczego ta wiadomość od Twojego banku to prawdopodobnie oszustwo — Phishing SMS-owy, który stosuje tę samą psychologiczną taktykę co quishing.

Wykrywanie phishingowych e-maili — Jak rozpoznawać ataki e-mailowe, w tym te wykorzystujące kody QR do omijania filtrów.

Ataki socjotechniczne — Techniki psychologicznej manipulacji stojące za quishingiem i wszystkimi współczesnymi oszustwami.

FAQ

Czym jest quishing?

Quishing to phishing za pomocą kodów QR, oszustwo, w którym atakujący zastępują lub tworzą fałszywe kody QR, przekierowujące ofiary na złośliwe strony zaprojektowane w celu kradzieży danych logowania, informacji płatniczych lub instalacji złośliwego oprogramowania na urządzeniu.

Jak rozpoznać fałszywy kod QR przed zeskanowaniem?

Sprawdź kod fizycznie: szukaj naklejek umieszczonych na oryginalnym kodzie, uszkodzeń otaczającego materiału lub kodów wyglądających nieco inaczej niż te w pobliżu. Po zeskanowaniu zawsze sprawdź pełny adres URL w podglądzie aparatu przed kliknięciem „otwórz”. Jeśli adres URL nie odpowiada dokładnie oczekiwanej domenie firmy, nie kontynuuj.

Czy zeskanowanie kodu QR może zainstalować złośliwe oprogramowanie na moim telefonie?

Samo zeskanowanie kodu QR aparatem nie instaluje złośliwego oprogramowania, jednak otwarcie wynikowego linku już może. Złośliwe strony mogą próbować pobierać pliki bez zgody użytkownika, wyłudzać dane logowania lub nakłaniać do zainstalowania fałszywej aplikacji. Regularnie aktualizuj system operacyjny telefonu, unikaj instalowania aplikacji z nieznanych źródeł i używaj skanera QR z wbudowaną weryfikacją bezpieczeństwa adresów URL.

Które miejsca są najbardziej narażone na fałszywe kody QR?

Miejsca wysokiego ryzyka to parkomaty, stoliki i menu restauracyjne, przystanki komunikacji miejskiej, etykiety zwrotu paczek, hale hotelowe i ulotki wklejane w miejscach publicznych. Każde niemonitorowane miejsce fizyczne, w którym ktoś mógłby podmienić kod w nocy bez wykrycia, jest potencjalnym celem.

Co zrobić, jeśli już zeskanowałem kod i podałem dane na podejrzanej stronie?

Działaj natychmiast: zmień wszelkie hasła, które podałeś, skontaktuj się z bankiem, jeśli podałeś dane płatnicze, włącz uwierzytelnianie dwuskładnikowe na dotkniętych kontach i monitoruj swój raport kredytowy. Zgłoś incydent do CERT Polska pod adresem cert.pl lub złóż doniesienie na policję. Jeśli kod znajdował się na terenie firmy, poinformuj ją, aby mogła wymienić skompromitowany kod.