Kody QR miały rozwiązać proste problemy świata analogowego. Zamiast przepisywać adres URL czy szukać formularza, wystarczyło unieść telefon, zeskanować piktogram i gotowe. Ten sam atut — szybkość i bezrefleksyjność — sprawił jednak, iż stały się one poręcznym narzędziem dla cyberprzestępców. Zjawisko doczekało się już własnej nazwy: quishing, czyli phishing z wykorzystaniem kodów QR.
Skala przyrostu robi wrażenie i nie jest to wrażenie przyjemne: w latach 2021–2024 liczba ataków opartych na QR-ach wzrosła o 900 proc. według danych Check Point Software. To konsekwencja połączenia technologicznej luki z nawykami użytkowników.
Mechanizm jest prosty, a przez to tak niebezpieczny. W zwykłym phishingu wiele osób staje się czujna na widok podejrzanego linku. W wiadomości widać domenę, można ją na chłodno przeczytać, porównać, zignorować. Kod QR jest obrazkiem. Dla skrzynek mailowych i filtrów antyspamowych to grafika, której treści nie analizują w locie — nie ma „tekstu” do prześwietlenia. Dla użytkownika to znak, iż „ktoś” ułatwił proces: „tylko zeskanuj”. Tymczasem prawdziwa treść linku odsłania się dopiero po akcji. To wystarczy, by wiele osób zeskanowało odruchowo, zwłaszcza jeżeli towarzyszy temu komunikat o pilnej płatności, odbiorze nagrody czy groźbie naliczenia mandatu.
Qushing rośnie w siłę. Internet wychodzi na ulicę
Z badań zleconych przez serwis ChronPESEL.pl i Krajowy Rejestr Długów wynika, iż Polacy wciąż częściej kojarzą wyłudzenia z e-mailami i SMS-ami. Aż 47 proc. badanych deklaruje, iż zetknęło się z próbą wyłudzenia danych w wiadomości e-mail, a 40 proc. w SMS-ie. Jednocześnie 83 proc. zapewnia, iż nie otwiera podejrzanych linków i załączników. Co istotne, ten odruch jest silniej deklarowany przez kobiety (85 proc.) niż przez mężczyzn (80 proc.). Problem w tym, iż kod QR nie wygląda jak link i właśnie dlatego obchodzi część naszych obronnych nawyków. To, co oswaja – graficzna forma, wrażenie „oficjalności”, brak widocznej treści – równocześnie ułatwia oszustwo.
Co gorsza, praktyki tego typu nie ograniczają się wyłącznie do cyfrowych skrzynek. Quishing coraz częściej wychodzi na ulicę. Zgłaszano przypadki fałszywych naklejek z QR-ami na parkomatach we Wrocławiu. Wszystko wyglądało jak oficjalna metoda płatności: układ graficzny, sformułowania, kontekst, ale po zeskanowaniu użytkownik trafiał na stronę służącą do wyłudzania danych karty. To działa, bo sytuacja tworzy fałszywe poczucie bezpieczeństwa: parkomat to urządzenie miejskie, naklejka pasuje, pośpiech w tle jest realny, bo przecież „trzeba zapłacić i iść dalej”.
Podobnie jest z kartkami zostawianymi za wycieraczkami samochodów łudząco przypominającymi mandaty, które są opatrzone logotypami policji lub Krajowej Administracji Skarbowej. W druku znajduje się piktogram, a po jego zeskanowaniu ofiara trafia na stronę „płatności”, tyle iż fałszywą. Równie niepokojące są tabliczki z kodami w lasach, m.in. w rejonie Wałbrzycha. Leśnicy apelują, by ich nie skanować, bo mogą prowadzić do złośliwych stron albo formularzy do wyłudzania danych. To ważne przypomnienie, iż internet nie kończy się na ekranie – oszustwa przenikają do przestrzeni publicznej, gdzie ufamy kontekstowi i scenografii zauważalnie bardziej.
Czytaj też: Nano banana – najlepszy model AI do edycji grafiki. To Google
Quishing – jaki jest schemat oszustwa? Na czym polega oszustwo z kodem QR?
W części przypadków scenariusz zaczyna się niewinnie w cyfrowych kanałach, ale dotyczy codziennych czynności, które rozszczelniają czujność. Oszuści podszywają się pod firmy kurierskie, platformy sprzedażowe i instytucje państwowe. W ruch idą nazwy, które znamy i kojarzymy: Allegro, OLX, operatorzy paczek. Wiadomość brzmi rzeczowo: „potwierdź odbiór środków”, „dopłać drobną kwotę”, „ureguluj mandat”. Po drugiej stronie czeka pozornie poprawna strona logowania lub płatności. W momencie, w którym wpisujesz dane, de facto oddajesz je w niepowołane ręce. To pułapka rozstawiona na założenia: przecież „przed chwilą coś wystawiałem”, „czekam na paczkę”, „mogłem coś przeoczyć”. Ten psychologiczny lewar, czyli pośpiech i oswojenie, robi resztę roboty.
Warto przytoczyć ostrzeżenie, które pada wprost.
– Z pozoru niewinny kod QR może być początkiem bardzo poważnych kłopotów – mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Po zeskanowaniu piktogramu przestępcy są w stanie przejąć dane logowania do bankowości, numer karty płatniczej i inne wrażliwe informacje. Konsekwencje wykraczają daleko poza „jednorazową stratę” – można utracić pieniądze z konta oraz narazić się na kradzież tożsamości, w tym PESEL-u, a choćby próby zaciągnięcia kredytu lub pożyczki na czyjeś nazwisko. Brzmi jak czarny scenariusz, ale to właśnie takie scenariusze quishing próbuje uruchamiać.
Dlaczego systemy, które obiecują nam bezpieczeństwo, mają z tym problem? Bo filtr antyspamowy widzi obraz, nie link. W odróżnieniu od treści tekstowej, w której można analizować strukturę URL-a, reputację domeny i inne sygnały, tu jest tylko grafika. Paradoksalnie właśnie estetyczna „niewinność” kodu QR pomaga przestępcom go przemycać zarówno w e-mailach i SMS-ach, jak i w PDF-ach czy na plakatach. Po stronie użytkownika działa analogiczny mechanizm: nie czyta się tego, czego nie widać, a pierwszy kontakt ze stroną następuje już po zeskanowaniu.
Czytaj też: Podwyżka ceny bez zgody klienta? Netflix na celowniku UOKiK
Czy kody QR są więc… bezpieczne? Jak się chronić?
Czy wszystko to, o czym piszę, oznacza, iż trzeba przestać korzystać z kodów QR? Nie, ale trzeba nauczyć się traktować je tak samo poważnie jak każdy link. Fundamentem jest ograniczone zaufanie i moment na weryfikację, zanim otworzy się cokolwiek. Jeśli po zeskanowaniu widzisz adres, który budzi wątpliwości, masz wrażenie, iż domena brzmi „prawie jak oficjalna”, ale jednak różni się literówką, dodatkowym znakiem czy nietypowym rozszerzeniem – przerwij i sprawdź.
Kluczowe jest też źródło samego piktogramu. Kody QR w przestrzeni publicznej, naklejane na urządzeniach, przyczepiane do kartek, dystrybuowane ulotkami czy rozsyłane przez nieznanych nadawców, powinny uruchamiać domyślne „nie klikam”, dopóki nie zweryfikuję u źródła. Zwróć uwagę na to, co dzieje się zaraz po zeskanowaniu: jeżeli strona natychmiast prosi o wrażliwe dane – loginy do bankowości, numer karty czy PESEL – to nie jest „okazja”, tylko próba wyłudzenia.
Jednym z rozsądnych kroków jest odszyfrowanie treści kodu, zanim się ją otworzy. Da się to zrobić na spokojnie i bez ryzyka. Wystarczy zrobić zdjęcie piktogramu lub zrzut ekranu, a następnie użyć jednego z darmowych narzędzi dostępnych online, takich jak Online Barcode Reader czy QRStuff Decoder. Te serwisy potrafią wyświetlić pełny adres URL zakodowany w grafice bez automatycznego przekierowania. Dopiero widząc, co jest w środku, można podjąć decyzję. jeżeli domena jest adekwatna i zgodna z tym, czego oczekujesz, a okoliczności są bezpieczne, działaj dalej. o ile choć przez chwilę masz wątpliwość, nic nie tracisz, kończąc w tym miejscu.
Wyłudzenia z kodami QR mogą dotknąć każdego!
Nie ma tu miejsca na zgadywanie i życzeniowe myślenie, iż „mnie to nie dotyczy”. Liczby z badań sugerują coś przeciwnego: kontakt z wyłudzeniami jest powszechny, a przestrzeń, w której działają oszuści, niezwykle szeroka. W e-mailu i SMS-ie łatwo dziś „przykryć” niepokojący element logotypem i słownictwem znanej marki. W offlinie wystarczy naklejka na adekwatnym urządzeniu albo kartka w miejscu, które intuicyjnie kojarzymy z „oficjalnością”.
Tymczasem to właśnie te miejsca wymagają szczególnej asertywności. o ile masz zapłacić za parkowanie, skorzystaj z oficjalnej aplikacji lub manualnie wpisz adres, który znasz. Przyszła wiadomość o paczce? Wejdź bezpośrednio do panelu firmy, z której usług faktycznie korzystasz, zamiast skanować to, co ktoś ci podsunął. o ile ktoś „w imieniu urzędu” prosi o natychmiastową płatność przez kod, skontaktuj się z instytucją innym kanałem.
Quishing działa, bo uderza w pośpiech i przewidywalność naszych rytuałów. Odpowiedzią nie musi być panika – wystarczy nawyk krótkiej pauzy, chwili na weryfikację i traktowanie piktogramu nie jak magicznej krótkiej drogi, ale jak opakowanego linku, przy którym obowiązują te same zasady bezpieczeństwa. W świecie, gdzie obrazek bywa wygodniejszy niż tekst, rozsądek musi wykonać dodatkową pracę. To praca opłacalna: chroni pieniądze na koncie, dane wrażliwe i twój PESEL, który dla kogoś innego może być biletem do kredytu na twoje nazwisko.
Uważaj na quishing i nie daj się okraść!
Na koniec warto dodać, skąd wiemy, iż ta ostrożność nie jest paranoją. Wzrost o 900 procent w trzy lata to nie marginalny incydent, ale poważny trend. Deklaracje o nieotwieraniu podejrzanych linków pokazują, iż nauczyliśmy się wielu internetowych odruchów obronnych. Quishing działa właśnie dlatego, iż próbuje je ominąć i przenieść grę na inne boisko. To od nas zależy, czy damy się wybić z rytmu. Paradoksalnie wystarczy jedno proste pytanie zadane przed skanem, czy na pewno wiem, dokąd mnie to zaprowadzi. jeżeli odpowiedź nie jest jednoznaczna, najlepszym ruchem bywa brak ruchu. W cyberbezpieczeństwie to często najrozsądniejsza decyzja.
Źródło zdjęcia tytułowego: Freepik
