Înșelătoriile cu Coduri QR (Quishing): Amenințarea Ascunsă la Vedere
Înșelătoriile cu coduri QR, numite quishing, sunt în creștere explozivă în 2026. Află cum codurile QR false îți fură banii și datele, unde le plasează escrocii și cum să scanezi în siguranță înainte să atingi ecranul.
· Truvizy Research Team · 8 min read
TL;DR
Quishing-ul este phishing prin cod QR: escrocii înlocuiesc coduri QR legitime de pe meniuri de restaurant, parcometre, etichete de colete și afișe publice cu coduri care redirecționează către site-uri care fură credențiale. Deoarece camera telefonului tău previzualizează doar un URL minuscul înainte să-l deschizi, majoritatea oamenilor nu observă niciodată schimbul. Verifică întotdeauna URL-ul de destinație înainte să deschizi orice link de cod QR, folosește un scanner QR cu verificări de siguranță integrate și, dacă ești în dubiu, tastează manual adresa web oficială.
Intri într-un parking, scanezi codul QR de pe chioșcul de plată și introduci cardul de credit pentru a plăti locul. Tranzacția pare să fi mers. Mai târziu în acea seară, banca ta sună cu privire la trei plăți frauduloase din străinătate. Nu ai dat cardul nimănui. Nu ai dat clic pe niciun e-mail suspect. Tot ce ai făcut a fost să scanezi un cod QR, și asta a fost suficient. Bine ai venit la quishing: înșelătoria cu cea mai rapidă creștere de care cei mai mulți oameni nu au auzit niciodată.
Codurile QR au fost concepute pentru comoditate, scanează și mergi. Dar aceeași experiență fără fricțiune care le face atrăgătoare pentru afaceri le face și periculoase în mâinile escrocilor. Spre deosebire de un link suspect dintr-un e-mail peste care poți trece cursorul pentru a previzualiza, un cod QR nu dezvăluie nimic până după ce ai îndreptat deja camera spre el. Până când vezi URL-ul de destinație, mulți victime au apăsat deja „deschide”. Acel decalaj de fracțiune de secundă este exact ceea ce exploatează quishing-ul.
Ce Este Quishing-ul?
Quishing-ul, un cuvânt-portmanteau din „QR” și „phishing”, este practica de a încorpora URL-uri malițioase în coduri QR pentru a redirecționa victimele către site-uri frauduloase. Înșelătoria poate lua mai multe forme: înlocuirea fizică a unui cod legitim cu un autocolant fals în spații publice, trimiterea de coduri QR prin e-mail sau SMS care ocolesc filtrele tradiționale de spam sau crearea de documente false (facturi, citații de parcare, notificări de colete) care prezintă proeminent coduri frauduloase.
Centrul de Reclamații pentru Crime pe Internet al FBI a semnalat quishing-ul ca o amenințare prioritară emergentă în 2024, iar cifrele s-au agravat de atunci. Firmele de securitate cibernetică au documentat o creștere de 587% a atacurilor de phishing bazate pe cod QR între 2024 și 2025. Tehnica a devenit populară în rândul grupurilor de fraudă organizată deoarece este ieftină de executat, greu de detectat la scară și special concepută pentru a ocoli instrumentele de securitate e-mail care nu pot citi URL-uri incluse în imagini.
Quishing-ul face parte dintr-o schimbare mai amplă a tacticilor de înșelătorie spre atacuri mobile-first. Așa cum am documentat în analiza noastră despre cum IA accelerează sofisticarea înșelătoriilor, fraudatorii vizează specific instrumentele și obiceiurile pe care oamenii le-au adoptat în era smartphone-ului, iar codurile QR sunt unul dintre cele mai adoptate obiceiuri mobile din ultimii cinci ani.
Cum Funcționează Înșelătoriile cu Coduri QR
Mecanica unui atac de quishing este înșelător de simplă. Un atacator generează un cod QR care codifică un URL malițios, de obicei o versiune clonată a unei pagini de autentificare bancară, portal de plată sau serviciu guvernamental. Pagina falsă este concepută să arate identic cu cea legitimă, capturând orice credențiale sau informații de plată pe care le introduce victima.
În atacurile fizice, escrocul tipărește codul fraudulos pe un autocolant și îl plasează peste codul legitim de pe un parcomet, o masă de restaurant sau un panou de afișaj public. Schimbul durează secunde. Atacatorul poate apoi să părăsească zona și să colecteze date furate de la distanță. Un singur autocolant bine plasat pe un parcomet aglomerat poate captura zeci de victime pe zi.

Quishing-ul prin e-mail urmează un scenariu diferit. Atacatorii trimit mesaje impersonând bănci, departamente de HR sau companii de curierat, susținând că destinatarul trebuie să-și verifice contul sau să urmărească o livrare, și incluzând un cod QR pentru „a-l scana cu telefonul pentru securitate suplimentară”. Această instrucțiune este deliberată: mutarea interacțiunii pe un dispozitiv mobil îndepărtează victima de computerul corporativ cu instrumentele sale de securitate și o plasează pe un telefon personal cu mai puține protecții.
Odată pe pagina falsă, victima se confruntă cu un formular elaborat de colectare a credențialelor. Atacurile mai avansate folosesc tehnici de releu în timp real: pe măsură ce victima introduce numele de utilizator și parola, atacatorul introduce acele credențiale pe site-ul real simultan, retransmițând apoi promptul de autentificare în doi factori înapoi victimei, ocolind complet protecțiile 2FA.
Nesigur în privința unui link de la un cod QR? Lipește URL-ul în Truvizy pentru a verifica indicatorii de phishing înainte să introduci orice informație.
Unde Apar Coduri QR False
Parcometrele și chioșcurile de plată se numără printre cele mai vizate locații din SUA. Departamentul de Transport din Texas a documentat zeci de autocolante cu coduri QR false pe parcometare din marile orașe în 2024. Victimele au introdus detalii complete ale cardului de credit așteptând să plătească parcarea și în schimb au predat datele lor financiare direct escrocilor. Înșelătoria funcționează mai ales bine deoarece plata parcării este stresantă, șoferii sunt adesea grăbiți și nu examinează îndeaproape interfața de plată.
Suporturile de masă și meniurile restaurantelor au devenit un vector important pe măsură ce serviciile contactless s-au răspândit post-pandemie. Un autocolant cu un cod QR fraudulos plasat deasupra sau lângă unul legitim poate redirecționa clienții spre un meniu sau o pagină de plată falsă. În unele cazuri, pagina falsă afișează chiar un meniu convingător înainte să redirecționeze spre un formular de colectare a credențialelor pretinzând că restaurantul a trecut la comenzile online.
Etichetele de returnare a coletelor reprezintă o categorie de atac în creștere rapidă. Victimele primesc colete, uneori nesolicitate, uneori ca parte a unei campanii false de premii, conținând etichete de returnare cu coduri QR. Scanarea codului ar trebui să inițieze o returnare, dar duce în schimb la un portal fals de retailer care solicită informații de card de credit pentru „procesarea rambursării”.
Transportul public și stațiile de autobuz prezintă un risc semnificativ deoarece semnalizarea este gestionată de municipalități cu capacitate limitată de monitorizare. Codurile frauduloase de pe hărțile de tranzit, chioșcurile de bileterie sau ecranele de plată a tarifelor pot trece neobservate zile întregi înainte de a fi îndepărtate. În Marea Britanie, Transport for London a eliminat sute de coduri QR frauduloase din stații în 2025.
Atacurile prin e-mail și documente vizează companiile la fel de mult ca și consumatorii. Facturi false conținând coduri QR pentru „plată securizată”, notificări HR frauduloase care cer angajaților să scaneze un cod pentru a actualiza informațiile de salarizare și notificări false de livrare de colete sunt toate vectori comuni de atac la nivel enterprise. Așa cum am discutat în ghidul nostru privind detectarea e-mailurilor de phishing, atacurile prin e-mail devin mai sofisticate în utilizarea elementelor vizuale pentru a evita filtrarea automată.
Flyerele false de caritate și strângere de fonduri exploatează generozitatea. După dezastre naturale sau evenimente majore de știri, flyere frauduloase cu coduri QR de donație apar pe panouri comunitare, în supermarketuri și pe rețelele sociale. Codurile duc la pagini de plată false convingătoare ale unor organizații caritabile care captează donații și detalii ale cardului fără să facă vreodată o donație reală.
De Ce Sunt Atât de Eficiente Înșelătoriile cu QR
Eficacitatea quishing-ului provine dintr-o nepotrivire fundamentală a încrederii. Codurile QR sunt asociate cu comoditatea și modernitatea, sunt plasate de afaceri legitime pe materiale oficiale. Oamenii au fost instruiți prin ani de utilizare să aibă mai multă încredere în contextul fizic al unui cod QR decât într-un link aleatoriu de e-mail. Un cod de pe o masă de restaurant sau de pe un parcomet poartă un endors implicit din partea locației în sine.
Aplicațiile de cameră oferă fricțiune minimă. Cele mai multe smartphone-uri recunosc automat codurile QR și afișează o mică previzualizare a URL-ului pe care utilizatorii o dispensează instinctiv fără să citească. Fereastra de previzualizare este mică, URL-ul este adesea lung sau scurtat, iar tendința naturală a creierului de a recunoaște tipare înseamnă că utilizatorii văd frecvent ce se așteaptă mai degrabă decât ce este de fapt acolo. Un URL precum „secure-payment-parkingzone.com” se citește ca „parcare” pentru un utilizator distras, chiar dacă semnalează pericol pentru unul atent.
Ajungi la un parcomet și scanezi codul QR. Camera telefonului tău arată un URL de previzualizare: 'parking-pay-secure-city.com/pay'. Parcometrul se află într-un mare oraș. Ce ar trebui să faci?
- Deschizi linkul imediat, menționează orașul deci trebuie să fie legitim
- Verifici URL-ul cu atenție: se potrivește cu domeniul oficial al orașului tău?
- Ignori previzualizarea și continui, pare suficient de oficial
- Plătești cu numerar pentru a evita complet problema
Answer: Domeniile cu sunete generice precum 'parking-pay-secure-city.com' sunt un semnal major de alarmă. Sistemul oficial de parcare al orașului tău va avea un domeniu specific, bine cunoscut (de ex., paybyphone.com sau site-ul oficial.gov al orașului tău). Verifică întotdeauna că URL-ul de destinație corespunde domeniului oficial așteptat înainte să introduci orice informație de plată, sau folosește slotul de card fizic dacă este disponibil.
Contextul mobil elimină de asemenea multe instrumente de securitate pe care oamenii le au pe computerele desktop. Protecția endpoint corporativă, extensiile de browser care semnalează site-uri de phishing și obiceiul de a trece cursorul peste linkuri pentru a le previzualiza nu se transpun pe mobil. Pe un telefon, utilizatorul este în mare parte pe cont propriu.
Cum Să Identifici un Cod QR Fals
Inspectează codul fizic. Caută autocolante plasate deasupra materialelor tipărite. Autocolantele false au adesea hârtie ușor diferită, ușoară dezaliniere față de elementele de design înconjurătoare sau margini vizibile unde autocolantul se suprapune cu textul tipărit. Trece unghia de-a lungul suprafeței, un autocolant în straturi va avea de obicei o margine ușor ridicată.
Citește URL-ul complet înainte să atingi. După ce camera scanează un cod, apare o notificare sau un banner de previzualizare. Oprește-te înainte să atingi și citește URL-ul complet. Caută: numele de afacere așteptat în domeniu (nu ca sufix sau prefix), un domeniu de nivel superior legitim (.com,.gov,.org, nu extensii neobișnuite precum.xyz sau.top) și absența cuvintelor extra precum „secure”, „login”, „verify” sau „payment” adăugate la ceea ce pare a fi un nume de marcă.
Fii sceptic față de urgență. Codurile asociate cu limbaj precum „Scaneaza imediat”, „Ofertă cu durată limitată” sau „Necesar pentru acces” sunt concepute să te facă să acționezi înainte să gândești. Companiile legitime nu folosesc de obicei limbaj urgent și de înaltă presiune în jurul codurilor de plată QR.
Verifică prin canale oficiale. Înainte să scanezi un cod QR dintr-un e-mail sau document care pretinde a fi de la banca ta, departamentul HR sau un curier, verifică dacă acea organizație a trimis de fapt comunicarea contactând-o direct prin site-ul sau aplicația oficială. Nu folosi niciodată informațiile de contact furnizate în același mesaj care conține codul QR. Pentru evaluarea linkurilor suspecte și a conținutului din surse necunoscute, instrumentul de scanare Truvizy te poate ajuta să evaluezi riscul înainte de orice acțiune.
Folosește alternativa când este disponibilă. Dacă un cod QR este singura opțiune de plată la un parcomet sau chioșc, ia în considerare folosirea slotului de card fizic, plata prin intermediul unei aplicații oficiale dedicate descărcată dintr-un magazin de aplicații verificat sau găsirea unei alte metode. Comoditatea nu trebuie niciodată să depășească securitatea când sunt implicate plăți sau informații personale.

Ce Să Faci Dacă Ai Fost Înșelat
Dacă ai scanat un cod, ai deschis linkul și ai introdus informații, acționează rapid. Fiecare minut de întârziere oferă atacatorului mai mult timp să-ți folosească datele.
Dacă ai introdus detalii ale cardului de plată: Sună imediat la linia de fraudă a băncii tale (folosește numărul de pe spatele cardului tău, nu orice număr de pe site-ul suspect). Solicită înghețarea sau înlocuirea cardului. Cere băncii să semnaleze orice plăți din momentul în care ai introdus informațiile.
Dacă ai introdus date de autentificare: Schimbă imediat parola de pe un dispozitiv separat, de încredere. Activează autentificarea în doi factori dacă nu este deja activă. Verifică dacă există dispozitive sau sesiuni nerecunoscute conectate la cont și îndepărtează-le. Dacă folosești aceeași parolă și în altă parte, schimb-o și acolo.
Plasează o alertă de fraudă în dosarul tău de credit la unul dintre cele trei birouri majore (Equifax, Experian, TransUnion), aceasta notifică automat celelalte două. Dacă crezi că identitatea ta a fost compromisă, ia în considerare o înghețare a creditului, care este gratuită și împiedică deschiderea de noi conturi în numele tău. Ghidul nostru cuprinzător despre prevenirea furtului de identitate acoperă procesul complet de recuperare în detaliu.
Protejează-te de înșelătoriile cu coduri QR și alte amenințări mobile cu detectare a fraudei alimentată de IA.
Cum Să Te Protejezi pe Viitor
Cel mai important obicei este pauza înainte să atingi. Întregul design al quishing-ului se bazează pe faptul că scanarea QR pare automată și instantanee. Ruperea acelui răspuns automat, chiar și pentru două secunde pentru a citi URL-ul, perturbă atacul. Fă-ți o regulă: previzualizare URL mai întâi, deschidere după.
Folosește o aplicație dedicată de scanare QR care efectuează verificări de securitate în timp real pe URL-ul decodat înainte să ți-l prezinte. Aceste aplicații, disponibile gratuit de la principalii furnizori de securitate, funcționează ca un verificator de URL integrat în fluxul de scanare. Sunt echivalentul mobil al trecerii cursorului peste un link înainte să dai clic.
Păstrează actualizate sistemul de operare și browserul telefonului. Patch-urile de securitate închid frecvent vulnerabilitățile pe care atacurile de descărcare automată le exploatează la vizitarea unui site malițios. Un telefon fără patch-uri este semnificativ mai vulnerabil la a doua etapă a unui atac de quishing, chiar dacă credențialele tale rămân sigure.
Activează autentificarea în doi factori folosind o aplicație de autentificare, nu SMS. Așa cum am menționat în ghidul nostru despre smishing și înșelătoriile prin SMS, 2FA bazat pe SMS poate fi interceptat. O aplicație de autentificare generează coduri local pe dispozitivul tău, făcând atacurile de releu în timp real semnificativ mai dificile.
Raportează codurile suspecte oriunde le găsești. Dacă observi un autocolant care pare suspect pe un cod QR public, fotografiază locația și raportează-o la afacere sau la autoritățile locale. Îndepărtarea unui autocolant malițios în câteva ore poate proteja zeci de alte victime potențiale.
Key Takeaways
- Citește întotdeauna URL-ul complet de destinație în previzualizarea camerei înainte să atingi orice link de cod QR, mai ales la parcometare, restaurante și stații de transport.
- Autocolantele cu cod QR false pot apărea peste coduri legitime și sunt aproape imposibil de detectat fără inspecție fizică pentru marginile suprapuse.
- Codurile QR din e-mailuri ocolesc majoritatea filtrelor corporative de phishing, tratează-le cu același scepticism pe care l-ai aplica oricărui link de e-mail.
- Dacă ai introdus detalii de plată sau de autentificare pe un site suspect, contactează banca imediat și schimbă parolele afectate de pe un dispozitiv separat.
Codurile QR nu vor dispărea, și nici escrocii care le exploatează. Pe măsură ce plățile contactless, meniurile digitale și serviciile mobile-first devin mai integrate în viața de zi cu zi, quishing-ul va deveni mai sofisticat și mai răspândit. Antidotul este conștientizarea: să știi că orice cod QR fizic poate fi înlocuit, că orice cod dintr-un e-mail poate duce oriunde și că cele două secunde necesare pentru a citi un URL înainte să atingi ar putea fi cele două secunde care te salvează de o lecție foarte costisitoare.
Planurile de protecție Truvizy includ instrumente pentru analizarea URL-urilor și linkurilor suspecte, lipește un URL decodat din orice cod QR în Truvizy înainte să-l deschizi și obții o evaluare instantanee alimentată de IA a legitimității sale. Într-un peisaj de amenințări unde escrocii ascund linkuri malițioase în imagini, a avea un instrument care verifică destinația reală nu mai este opțional, este esențial.
Smishing: De Ce Acel SMS de la Banca Ta Este Probabil o Înșelătorie — Phishing bazat pe text care împărtășește același scenariu psihologic cu quishing-ul.
Detectarea E-mailurilor de Phishing — Cum să identifici atacurile bazate pe e-mail, inclusiv cele care folosesc coduri QR pentru a ocoli filtrele.
Atacuri de Inginerie Socială — Tehnicile de manipulare psihologică din spatele quishing-ului și al tuturor înșelătoriilor moderne.
FAQ
Ce este quishing-ul?
Quishing-ul este phishing prin cod QR, o înșelătorie în care atacatorii înlocuiesc sau creează coduri QR false care redirecționează victimele către site-uri web malițioase concepute să fure date de autentificare, informații de plată sau să instaleze malware pe dispozitiv.
Cum pot să-mi dau seama dacă un cod QR este fals înainte să-l scanez?
Inspectează codul fizic: caută autocolante plasate peste un cod original, deteriorarea materialului înconjurător sau coduri care par ușor diferite față de cele din vecinătate. După scanare, verifică întotdeauna URL-ul complet de destinație în previzualizarea aplicației de cameră înainte să atingi „deschide”. Dacă URL-ul nu corespunde exact domeniului așteptat al afacerii, nu continua.
Poate scanarea unui cod QR instala malware pe telefonul meu?
Simpla scanare a unui cod QR cu camera nu instalează malware, dar deschiderea linkului rezultat poate. Site-urile malițioase pot încerca descărcări automate, phishing de credențiale sau să te îndemne să instalezi o aplicație falsă. Păstrează actualizat sistemul de operare al telefonului, evită permisiunea pentru instalări de aplicații din surse necunoscute și folosește un scanner QR cu verificare de securitate URL integrată.
Care locații prezintă cel mai mare risc de coduri QR false?
Locațiile cu risc ridicat includ parcometre, mese și meniuri de restaurant, stații de transport public, etichete de returnare a coletelor, holuri de hotel și flyere afișate în locuri publice. Orice spațiu fizic nemonitorizat unde cineva ar putea înlocui un cod peste noapte fără să fie detectat este o țintă potențială.
Ce ar trebui să fac dacă am scanat deja și am introdus informații pe un site suspect?
Acționează imediat: schimbă orice parolă pe care ai introdus-o, contactează banca dacă ai furnizat detalii de plată, activează autentificarea în doi factori pe conturile afectate și monitorizează-ți raportul de credit. Raportează incidentul autorităților competente și, dacă a fost pe proprietatea unei afaceri, alertează acea afacere să poată înlocui codul compromis.