Przestępcy wykorzystują kody QR do oszustw. Jak się przed tym chronić?

Kody QR, które miały ułatwiać życie, stały się nową bronią cyberprzestępców. Od fałszywych SMS-ów o paczkach po podrobione naklejki na parkomatach – oszuści wykorzystują piktogramy do kradzieży danych osobowych i pieniędzy. Według danych Check Point Software, ataki phishingowe z użyciem kodów QR, zwane quishingiem, wzrosły w latach 2021–2024 aż o 900 proc. Jak Polacy mogą się przed tym uchronić?

Quishing: Nowa twarz cyberoszustw

Quishing, czyli phishing z wykorzystaniem kodów QR, to jedno z najszybciej rosnących zagrożeń w cyberprzestrzeni. Cyberprzestępcy umieszczają fałszywe kody QR w wiadomościach e-mail, SMS-ach, na ulotkach czy nawet w przestrzeni publicznej, jak parkomaty czy tabliczki w lasach. Z badania przeprowadzonego na zlecenie ChronPESEL.pl i Krajowego Rejestru Długów wynika, że 47 proc. Polaków spotkało się z próbą wyłudzenia danych przez e-mail, a 40 proc. przez SMS. Niestety, kody QR omijają filtry antyspamowe, ponieważ dla systemów pocztowych są jedynie grafiką, co czyni je trudnymi do wykrycia.

Polacy są coraz bardziej świadomi zagrożeń w sieci – aż 83 proc. deklaruje, że nie otwiera podejrzanych linków i załączników. Kobiety (85 proc.) są w tym ostrożniejsze niż mężczyźni (80 proc.). Jednak kody QR wprowadzają nowy poziom ryzyka, ponieważ ich zawartość nie jest widoczna przed zeskanowaniem. To sprawia, że nawet czujni użytkownicy mogą paść ofiarą oszustwa.

Jak działają oszuści?

Metoda quishingu jest prosta, ale skuteczna. Cyberprzestępcy podszywają się pod znane marki, takie jak Allegro czy OLX, lub instytucje państwowe, wysyłając wiadomości z kodami QR. Przykładowo, SMS o rzekomym odbiorze paczki czy potwierdzeniu płatności za sprzedaż zawiera kod, który kieruje na fałszywą stronę logowania lub formularz płatności. Po zeskanowaniu użytkownik nieświadomie podaje dane logowania, numer karty czy PESEL, które trafiają w ręce oszustów.

Z pozoru niewinny kod QR może być początkiem bardzo poważnych kłopotów. Po zeskanowaniu przez nas piktogramu oszuści są w stanie przejąć dane logowania do bankowości internetowej, numer karty płatniczej czy inne wrażliwe informacje. W efekcie możemy nie tylko stracić wszystkie pieniądze z konta, ale też narazić się na ryzyko kradzieży danych osobowych, w tym PESEL-u, wraz z próbami zaciągnięcia kredytu lub pożyczki na nasze nazwisko.

– ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Parkomaty i fałszywe mandaty

Quishing nie ogranicza się do internetu. We Wrocławiu odnotowano przypadki fałszywych naklejek z kodami QR na parkomatach, które wyglądały jak oficjalne metody płatności, a w rzeczywistości kierowały na strony wyłudzające dane kart. Podobne oszustwa pojawiły się w formie kartek za wycieraczkami samochodów, przypominających mandaty z logotypami policji lub Krajowej Administracji Skarbowej. W Wałbrzychu leśnicy ostrzegają przed kodami QR na tabliczkach w lasach, które mogą prowadzić do złośliwych stron.

Te przykłady pokazują, jak cyberprzestępcy wykorzystują zaufanie do instytucji publicznych i codziennych sytuacji. Kod QR na parkomacie czy ulotce wydaje się wiarygodny, a impulsywne skanowanie może prowadzić do poważnych konsekwencji, takich jak kradzież danych czy pieniędzy.

Jak się chronić przed quishingiem?

Kluczowe w ochronie przed quishingiem jest ograniczone zaufanie. Kod QR, w przeciwieństwie do linku, nie zdradza od razu, dokąd prowadzi. Dlatego przed zeskanowaniem warto sprawdzić jego zawartość. Można to zrobić, wykonując zrzut ekranu i korzystając z darmowych narzędzi online, takich jak Online Barcode Reader czy QRStuff Decoder, które wyświetlają adres URL zakodowany w piktogramie.

Do kodów QR, podobnie jak do podejrzanych linków, trzeba mieć ograniczone zaufanie. Jeśli adres odnośnika do strony jest nietypowy, skrócony, zawiera literówki lub wygląda inaczej niż oficjalna domena znanej firmy czy instytucji państwowej, to powinien być to dla nas sygnał ostrzegawczy. Nie należy też skanować przypadkowych piktogramów umieszczonych w miejscach publicznych, na plakatach, ulotkach czy w mailach od niezweryfikowanych nadawców. Pod żadnym pozorem nie można również podawać danych logowania, PESEL-u czy numeru karty płatniczej po zeskanowaniu kodu QR z nieznanego źródła.

– przestrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Eksperci zalecają także korzystanie z dedykowanych aplikacji, takich jak Trend Micro QR Scanner czy Avira QR Scanner, które pozwalają zweryfikować adres URL przed jego otwarciem. Unikanie standardowych skanerów wbudowanych w smartfony to kolejny krok w kierunku bezpieczeństwa.

Jak rozpoznać fałszywy kod QR?

Fałszywy kod QR można rozpoznać, sprawdzając adres URL, do którego prowadzi, za pomocą narzędzi online, takich jak Online Barcode Reader, lub aplikacji, jak Trend Micro QR Scanner. Unikaj skanowania kodów z nieznanych źródeł, zwłaszcza w miejscach publicznych.