Slyšeli jste už někdy o „quishingu“?

Každodenní život soukromých osob a firem se v posledních letech zásadně změnil. Bezkontaktní platby, digitální jídelní lístky, sledování zásilek nebo dvoufaktorová autentizace – QR kódy jsou dnes všudypřítomné. To, co začalo jako praktická technologie, se však stále více stává portálem pro kyberkriminalitu. Takzvané podvody s QR kódy – také nazývané „quishing“ (QR + phishing) – patří k rostoucím kybernetickým hrozbám naší doby.

Na rozdíl od klasických phishingových e-mailů podvody s QR kódy často obcházejí technické ochranné mechanismy, protože škodlivý odkaz není přímo viditelný. Uživatelé naskenují QR kód pomocí smartphonu a jsou nepozorovaně přesměrováni na falešné webové stránky, které například získávají přihlašovací údaje, platební informace nebo důvěrné přístupové údaje k firmám. Obzvláště zákeřné je, že manipulované QR kódy jsou často umístěny na veřejných místech – například na parkovacích automatech, nabíjecích stanicích nebo plakátech – nebo jsou vloženy do obchodních e-mailů. QR kódy jsou často nalepeny na veřejných místech tak, že vypadají jako pravé, a vedou na téměř identické zlovolné klony webových stránek.

Nebezpečí

QR kódy jsou již neodmyslitelnou součástí každodenního života – umožňují rychlý přístup k informacím, zjednodušují platební procesy a podporují provozní procesy. Právě tato snadná manipulace je však činí stále atraktivnějšími pro kyberzločince. Vznikají nové formy podvodů, při nichž jsou QR kódy cíleně využívány k oklamání. Soukromé osoby i podniky tak čelí rostoucím bezpečnostním výzvám, které vyžadují zvýšenou míru sensibilizace a ochranných opatření.

Pro soukromé osoby:

  • Phishingové útoky: přesměrování na falešné přihlašovací stránky (např. bankovnictví, sociální média, parkovací služby) za účelem získání citlivých údajů.
  • Krádež identity: zneužití odcizených osobních údajů zadáním osobních údajů na falešných webových stránkách.
  • Finanční podvody: Nezaznamenané schválení plateb nebo přesměrování na falešné platební stránky.
  • Instalace malwaru: Stažení škodlivých aplikací nebo programů do smartphonu.
  • Pasti v podobě předplatného: Automatická registrace k placeným službám.

Pro firmy:

  • Krádež přístupových údajů: Kompromitace e-mailových účtů, cloudových služeb nebo interních systémů.
  • Malware: Vložení škodlivého softwaru prostřednictvím zmanipulovaných QR kódů
  • Business E-Mail Compromise (BEC): Oklamání zaměstnanců za účelem schválení plateb.
  • Porušení ochrany osobních údajů: Ztráta citlivých údajů o zákaznících nebo zaměstnancích (riziko GDPR).
  • Poškození reputace: Ztráta důvěry u zákazníků a obchodních partnerů.
  • Výpadky výroby a provozu: Poruchy způsobené kompromitovanými IT systémy.
  • Manipulace s platebními informacemi: Výměna bankovních údajů na fakturách nebo formulářích.
  • Obcházení bezpečnostních filtrů: QR kódy obsahují odkazy, které jsou pro klasické spamové filtry obtížně rozpoznatelné.

Pozor! Zvláštní problém

  • QR kódy nezobrazují přímo cílovou URL adresu – uživatelé rozpoznají nebezpečí až příliš pozdě.
  • Smartphony jsou často hůře zabezpečené než firemní počítače.
  • Manipulované kódy mohou být fyzicky přelepeny nebo digitálně vloženy do e-mailů.

Naše tipy

Pro soukromé osoby:

  • Zkontrolujte zdroj: Skenujte QR kódy pouze z důvěryhodných zdrojů. U samolepek ve veřejném prostoru dávejte pozor na přelepení nebo manipulaci.
  • Zkontrolujte URL: Po naskenování pečlivě zkontrolujte zobrazenou webovou adresu, než zadáte data. Věnujte pozornost pravopisným chybám nebo neobvyklým doménám.
  • Nezadávejte citlivá data: Nikdy nezadávejte přístupové údaje, bankovní informace, MFA kódy nebo TAN kódy přes neznámé stránky.
  • Používejte oficiální aplikace: Místo QR kódů raději použijte přímo známou aplikaci nebo ručně zadanou webovou stránku.
  • Chraňte smartphony: Pravidelně aktualizujte operační systém a aplikace a používejte bezpečnostní software.
  • Buďte opatrní, když na vás tlačí čas: Pokusy o podvod často pracují s naléhavostí („okamžitě jednat“). Zůstaňte v klidu a vše si ověřte.
  • Používejte bezpečné skenovací aplikace: Specializované skenovací aplikace, jako je Google Lens nebo Microsoft Lens, mohou nabídnout další ochranné mechanismy tím, že zobrazují odkazy transparentněji nebo je před otevřením zkontrolují.

Pro firmy:

  • Školení zaměstnanců: Pravidelné zvyšování povědomí o hrozbách phishingu a QR kódů.
  • Definujte bezpečnostní zásady: Jasné pokyny pro zacházení s QR kódy v e-mailech, na fakturách nebo v reklamních materiálech.
  • Technická ochranná opatření: Používejte správu mobilních zařízení (MDM), webové filtry a vícefaktorové ověřování.
  • Rozšíření řešení pro zabezpečení e-mailů: Používání systémů, které dokážou analyzovat i vložené QR kódy.
  • Princip dvou očí při platbách: Zejména v případě změn bankovních údajů nebo platebních požadavků.
  • Zavedení řízení incidentů: Jasné procesy pro hlášení podezřelých incidentů.
  • Zabezpečení vlastních QR kódů: Pravidelně kontrolujte QR kódy na oficiálních materiálech a prověřujte, zda nebyly zmanipulovány.

Závěr

Jeden sken – a jsme připojeni, rychle, prakticky a kdekoli. QR kód je v konečném důsledku skrytý odkaz. Kdo jej skenuje, měl by s ním zacházet se stejnou opatrností jako s neznámým odkazem v e-mailu. Digitální pohodlí vyžaduje také odpovědnost. Vědomé zacházení s novými technologiemi již dnes není volitelným doplňkem, ale základním předpokladem pro bezpečnost v každodenním životě i v pracovním prostředí. Kybernetická bezpečnost nezačíná u složitých IT systémů, ale u každodenních rozhodnutí. Kdo bere rizika vážně, zpochybňuje procesy a aktivně se věnuje prevenci, posiluje nejen svou vlastní bezpečnost, ale také důvěru v budoucnost.