Prawdziwe zagrożenie kodów QR: zachowaj czujność

Prawdopodobnie w tym miesiącu zeskanowałeś dziesiątki kodów QR bez zastanowienia – w restauracji, przy parkometrze, a może przy terminalu płatniczym przy kasie. To właśnie to automatyczne zaufanie wykorzystują obecnie oszuści, a statystyki są trudne do zignorowania.

Liczba przypadków phishingu z wykorzystaniem kodów QR – znanego lepiej jako „quishing" – wzrosła o 587% w latach 2022–2023, a w 2025 r. odnotowano kolejny skok o 25%, w wyniku czego ponad 26 milionów Amerykanów zostało przekierowanych w ten sposób na złośliwe strony internetowe. A oto niepokojąca informacja: tylko 39% konsumentów potrafi niezawodnie rozpoznać zainfekowane kody QR, zanim będzie za późno, co oznacza, że zdecydowana większość skanuje je całkowicie na ślepo.

Co więc się właściwie dzieje, w jaki sposób atakujący to robią i co można z tym zrobić? Przyjrzyjmy się temu bliżej.

Czym jest quishing – i dlaczego jest tak skuteczny

Quishing (QR + phishing) to praktyka polegająca na ukrywaniu niebezpiecznych linków w kodach QR w celu przekierowania użytkowników na fałszywe strony internetowe, kradzieży danych logowania lub zainstalowania złośliwego oprogramowania. Można to traktować jako klasyczny atak na kod QR – ale w formie, której ludzkie oko po prostu nie jest w stanie odczytać.

To jest główny problem z bezpieczeństwem kodów QR: w przeciwieństwie do zwykłego linku w e-mailu, nad którym można najechać kursorem i wyświetlić podgląd, kod QR nie ujawnia niczego, dopóki przeglądarka nie załaduje strony docelowej. Nie ma błędnie wpisanej domeny, której można by się ociągnąć, ani podejrzanego tekstu linku, który można by zauważyć. Niebezpieczeństwo związane z kodami QR jest z założenia niewidoczne – i właśnie to sprawia, że quishing jest tak skuteczny w porównaniu z tradycyjnymi oszustwami.

To właśnie dlatego kody QR pojawiły się w 22% wszystkich ataków phishingowych w latach 2024–2025. Omijają one większość automatycznych filtrów poczty elektronicznej, ponieważ narzędzia zabezpieczające nie potrafią odczytać adresu URL zakodowanego w obrazie.

Czy skanując kod QR, można paść ofiarą ataku hakerskiego?

Zrozumienie pełnego obrazu zagrożeń związanych z kodami QR pomoże Ci rozpoznać zagrożenia, zanim staniesz się ofiarą. Oto najczęstsze schematy ataków w 2025 roku.

Sztuczka z fałszywą naklejką

Najbardziej rozpowszechnioną metodą fizyczną jest umieszczanie fałszywych naklejek z kodami QR bezpośrednio na prawdziwych kodach – na parkometrach, stołach w restauracjach, znakach komunikacyjnych lub ekspozycjach sklepowych. Myślisz, że otwierasz link mapy lub płacisz w terminalu płatniczym. W rzeczywistości dane Twojej karty trafiają prosto do fałszywego portalu oszusta. Szybka kontrola fizyczna – sprawdzenie, czy kod leży płasko, czy wygląda na naklejony – może całkowicie uchronić Cię przed tym zagrożeniem.

Ataki typu „quishing" za pośrednictwem poczty elektronicznej i narzędzi biurowych

Ponieważ ludzie zazwyczaj skanują kody QR za pomocą telefonów, osadzone w nich adresy URL omijają narzędzia zabezpieczające na komputerach stacjonarnych, takie jak zapory sieciowe i blokery adresów URL. To sprawia, że hakowanie za pomocą kodów QR wysyłanych pocztą elektroniczną jest szczególnie skuteczne. Wiadomość wygląda tak, jakby pochodziła od firmy Microsoft, Twojego banku lub działu IT Twojej firmy – jest opatrzona logo i ma profesjonalny wygląd.

Aż 27% tych ataków typu quishing wykorzystuje fałszywe alerty dotyczące uwierzytelniania wieloskładnikowego: „Twoja sesja wygasła – zeskanuj, aby ponownie się zweryfikować". Ta pilność ma na celu powstrzymanie Cię przed zastanowieniem się.

Kody QR ukryte w dokumentach i poczcie tradycyjnej

Jest to jedno z częściej pomijanych zagrożeń związanych ze skanowaniem kodów QR: tylko w połowie 2024 r. wykryto pół miliona wiadomości phishingowych z kodami QR osadzonymi w załącznikach PDF. Dokument wygląda na autentyczny – faktura, zestawienie świadczeń, zawiadomienie o dostawie – a kod QR w środku wydaje się być wygodnym skrótem. FTC odnotowała również gwałtowny wzrost liczby oszustw związanych z pocztą tradycyjną, w których linki do złośliwego oprogramowania w kodach QR są drukowane na fałszywych listach przewozowych lub rachunkach za media.

Kampanie quishingowe oparte na sztucznej inteligencji

Najnowsza i najbardziej niepokojąca ewolucja zagrożeń cyberbezpieczeństwa związanych z quishingiem dotyczy generowanych przez sztuczną inteligencję stron phishingowych, które są niemal nie do odróżnienia od prawdziwych. Atakujący mogą teraz w ciągu kilku minut stworzyć przekonującą fałszywą stronę rezerwacji lub logowania do serwisu PayPal, dostosowaną do konkretnego celu, z realistycznym brandingiem i spersonalizowanym tekstem. To znacznie utrudniło zapobieganie oszustwom związanym z kodami QR zarówno osobom prywatnym, jak i organizacjom.

Jednak zagrożenie wykracza daleko poza fałszywe strony logowania. Sztuczna inteligencja jest obecnie wykorzystywana na każdym etapie procesu ataku – od wyboru celu, przez dostarczenie wiadomości, aż po unikanie wykrycia.

Hiperpersonalizowane wabiki. Tradycyjny phishing opierał się na ogólnych przynętach – „Twoje konto zostało zawieszone". Kampanie oparte na sztucznej inteligencji czerpią z publicznie dostępnych danych: Twojego pracodawcy, miasta, ostatnich zakupów. W rezultacie powstaje oszustwo z wykorzystaniem kodu QR, które sprawia wrażenie, jakby zostało napisane specjalnie dla Ciebie, bo w pewnym sensie tak właśnie jest. Fałszywa faktura od znanego dostawcy. Awizo o „nieudanej dostawie" z Twoim prawdziwym adresem. To właśnie ten poziom szczegółowości sprawia, że współczesny phishing typu quishing jest tak trudny do zignorowania na pierwszy rzut oka.
Wzmocnienie głosowe i deepfake. W atakach o większej wartości – zazwyczaj skierowanych do pracowników działu finansowego lub kadr – przed złośliwym kodem QR pojawiają się teraz generowane przez AI połączenia głosowe lub wiadomości wideo typu deepfake. Połączenie buduje zaufanie („Cześć, tu dział IT – wkrótce otrzymasz kod weryfikacyjny"), a kod QR pojawia się chwilę później w e-mailu lub SMS. Zanim ofiara go zeskanuje, jest już przygotowana do współpracy.
Zautomatyzowana infrastruktura na dużą skalę. To, co kiedyś wymagało wiedzy technicznej – fałszywe domeny, certyfikaty SSL, strony internetowe wyglądające jak prawdziwe – można teraz generować i zmieniać automatycznie. Atakujący uruchamiają jednocześnie setki krótkotrwałych stron phishingowych, zmieniając domeny na tyle szybko, by wyprzedzać listy blokowanych adresów. Dlatego tradycyjne narzędzia bezpieczeństwa oparte na adresach URL mają trudności: zanim domena zostanie oznaczona, jest już zastąpiona.
Unikanie wykrycia wbudowane w projekt. Modele AI wyszkolone na wzorcach wykrywania zagrożeń mogą teraz generować kody QR i strony docelowe specjalnie zaprojektowane tak, aby uniknąć uruchomienia filtrów. Naśladują one strukturę wizualną legalnych stron z dużą wiernością – mają odpowiednią grubość czcionki, autentycznie wyglądające pola formularzy oraz realistyczne komunikaty o błędach w przypadku wprowadzenia nieprawidłowych danych logowania (klasyczna sztuczka służąca do zebrania wielu prób haseł).

Praktyczne konsekwencje są oczywiste: wizualne i kontekstowe wskazówki, które kiedyś pomagały ludziom rozpoznać oszustwo, stają się niewiarygodne. Sceptycyzm wobec źródła – a nie tylko wyglądu – jest teraz ważniejszym filtrem.

Kto jest najczęściej atakowany?

Zagrożenia związane z kodami QR nie są rozłożone równomiernie. Niektóre branże są narażone na znacznie większe ryzyko ze względu na charakter wykorzystania kodów QR oraz wartość danych, którymi się zajmują.

Branża	Dlaczego jest narażona	Typowy wektor ataku
Finanse i bankowość	Dane uwierzytelniające o dużej wartości, dane dotyczące płatności	Fałszywe strony logowania do aplikacji bankowych, sfałszowane portale PayPal / Venmo służące do zbierania danych uwierzytelniających
Opieka zdrowotna	Wrażliwe dane pacjentów, starsze systemy	Fałszywe formularze pacjentów wysyłane pocztą elektroniczną, kody QR na drukowanych dokumentach rejestracyjnych
Edukacja	Duża baza użytkowników, niska świadomość bezpieczeństwa	Fałszywe portale logowania do sieci Wi-Fi na terenie kampusu, kody QR w materiałach szkoleniowych w formacie PDF
Handel detaliczny i e-commerce	Przetwarzanie płatności, duży ruch	Oszustwa z naklejkami na legalnych terminalach płatniczych, fałszywe kody rabatowe lub lojalnościowe
Restauracje i turystyka	Częste wykorzystanie kodów QR, umieszczanie w miejscach publicznych	Zastąpienie kodów QR w menu fałszywymi stronami zamówień, fałszywe portale Wi-Fi w holach
Rząd	Wykorzystywanie zaufania publicznego	Fałszywe formularze zezwoleń, sfałszowane portale płatności podatkowych naśladujące oficjalne strony internetowe
Logistyka	Pilna dostawa paczek	Fałszywe linki do śledzenia przesyłek wysyłane SMS-em, kody QR na podrobionych potwierdzeniach dostawy
Nieruchomości	Transakcje o wysokiej wartości	Fałszywe strony z ofertami nieruchomości, fałszywe formularze podpisywania dokumentów, kradzież danych uwierzytelniających

Pracownicy handlu detalicznego mają najwyższy wskaźnik pomyłek w wykrywaniu złośliwych działań związanych z kodami QR, podczas gdy finanse, produkcja i opieka zdrowotna należą niezmiennie do sektorów najczęściej atakowanych. Warto zauważyć, że problemy związane z bezpieczeństwem kodów QR w służbie zdrowia niosą ze sobą szczególnie poważne konsekwencje – zagrożone są dane pacjentów, dane ubezpieczeniowe oraz systemy wewnętrzne.

Utwórz
kod QR teraz!

Umieść link do kodu QR, dodaj nazwę swojego kodu QR, wybierz kategorię treści i wygeneruj!

Wygeneruj kod QR

Jak zapobiegać quishingowi: najlepsze praktyki dotyczące bezpieczeństwa kodów QR

Oto praktyczne wskazówki dotyczące bezpieczeństwa – niezależnie od tego, czy jesteś użytkownikiem indywidualnym, właścicielem biznes, czy osobą odpowiedzialną za materiały marketingowe zawierające kody QR.

1. Zawsze sprawdzaj adres URL przed otwarciem

Większość nowoczesnych smartfonów wyświetla link docelowy natychmiast po zeskanowaniu, zanim przeglądarka cokolwiek załaduje. Ten dziesięciosekundowy nawyk jest podstawą bezpieczeństwa kodów QR – nie pomijaj go.

Sprawdzając adres URL, zwróć uwagę na:

HTTPS vs HTTP – brak szyfrowania to natychmiastowy sygnał ostrzegawczy;
Skrócone linki – bit.ly, tinyurl i podobne serwisy ukrywają prawdziwy adres docelowy;
Błędnie wpisane domeny – „paypa1.com" lub „arnazon.com" to klasyczne sztuczki;
Niepowiązane domeny – kod QR restauracji kierujący do domeny, która nie ma żadnego związku z tym lokalem;
Łańcuchy przekierowań – wiele przeskoków przed dotarciem do rzeczywistej strony często sygnalizuje wektor ataku za pomocą kodu QR.

Używaj bezpiecznej aplikacji do skanowania kodów QR – nie tylko domyślnego aparatu w telefonie. Odpowiedni program do sprawdzania bezpieczeństwa kodów QR oznaczy znane złośliwe domeny przed otwarciem czegokolwiek, zapewniając Ci prawdziwą warstwę ochrony, a nie tylko wygodę.

2. Sprawdzaj fizycznie kody QR w miejscach publicznych

Wykrywanie manipulacji jest realnym problemem w miejscach o dużym natężeniu ruchu. Zanim zeskanujesz coś w miejscu publicznym, przyjrzyj się uważnie: czy kod przylega płasko do powierzchni, czy wygląda na lekko uniesiony? Czy krawędzie są równe, czy wygląda to na naklejkę przyklejoną na czymś innym?

Jest to szczególnie ważne w przypadku parkometrów, stacji tranzytowych i wszędzie tam, gdzie w grę wchodzi bezpieczeństwo płatności za pomocą kodów QR – czyli właśnie w miejscach, na które oszuści najczęściej polują, ponieważ pośpiech i rozproszenie uwagi działają na ich korzyść.

3. Nigdy nie skanuj kodów QR z nieoczekiwanych wiadomości e-mail

To właśnie w tym obszarze phishing QR wyrządza największe szkody. Legalne firmy – banki, dostawcy oprogramowania, działy kadr – nie proszą o skanowanie kodu QR w celu weryfikacji tożsamości lub zresetowania hasła za pośrednictwem wiadomości e-mail. Jeśli otrzymasz taką wiadomość, przejdź bezpośrednio na oficjalną stronę internetową firmy, wpisując adres ręcznie.

Nigdy nie skanuj kodu QR z obrazka lub załącznika PDF, którego się nie spodziewałeś, niezależnie od tego, jak oficjalnie wygląda. Dotyczy to również wiadomości przekazywanych dalej w WhatsApp i SMS-ów – hakerzy wykorzystujący kody QR wykroczyli już daleko poza e-maile.

4. Korzystaj z odpowiedniego narzędzia do sprawdzania bezpieczeństwa kodów QR

Nie wszystkie aplikacje do skanowania oferują ten sam poziom ochrony. Podstawowy aparat po prostu odczytuje wzór – najbezpieczniejszy skaner kodów QR aktywnie porównuje adres URL docelowy z bazami danych zagrożeń w czasie rzeczywistym. Szukaj aplikacji, które wyraźnie oferują funkcje bezpieczeństwa czytnika kodów QR: podgląd adresu URL, wykrywanie złośliwego oprogramowania i sprawdzanie reputacji domeny.

Weryfikowanie kodów QR przed podjęciem jakichkolwiek działań to najskuteczniejszy nawyk, jaki możesz sobie wyrobić. Jeśli aplikacja nie pokazuje linku przed jego otwarciem, poszukaj takiej, która to robi.

5. Czy kody QR są bezpieczne? Sygnały ostrzegawcze, których nie należy ignorować

Zwracaj uwagę na te sygnały ostrzegawcze niezależnie od kontekstu – niezależnie od tego, czy skanujesz kod QR dla strony w mediach społecznościowych, sieci Wi-Fi, kontaktu vCard czy linku do płatności:

Sformułowania budzące strach lub poczucie pilności dołączone do kodu („Zeskanuj teraz lub stracisz dostęp");
Kody otrzymane w niechcianych wiadomościach SMS, e-mailach lub WhatsApp;
Załączników kody QR z PDF lub obrazów od nieznanych nadawców;
Kody z prośbą o zainstalowanie nieznanej aplikacji ze sklepów z aplikacjami;
Linki płatnicze, które przechodzą przez wiele przekierowań przed dotarciem do kasy;
Każdy kod obiecujący darmowy dostęp do Spotify, YouTube lub treści premium.

6. Zeskanowałeś już coś podejrzanego? Działaj natychmiast

Błędy się zdarzają – oto jak ograniczyć szkody. Natychmiast odłącz się od Wi-Fi i danych komórkowych, aby odciąć komunikację z serwerem atakującego. Uruchom skanowanie za pomocą zaufanej aplikacji zabezpieczającej telefon. Zmień wszystkie hasła wprowadzone po skanowaniu, traktując priorytetowo konta finansowe i służbowe. Sprawdź historię instalacji w sklepach z aplikacjami pod kątem nieznanych pozycji, cofnij nieznane uprawnienia i natychmiast skontaktuj się z bankiem, jeśli dotyczyło to jakichkolwiek danych płatniczych.

Dla firm: jak zadbać o wiarygodność kodów QR

Jeśli Twoja organizacja wykorzystuje kody QR w marketingowych kampaniach, procesach e-commerce, ofertach nieruchomości, formularzach rejestracyjnych w służbie zdrowia lub menu restauracji – zabezpieczenie kodów QR jest częścią Twojej odpowiedzialności wobec użytkowników.

Skuteczne zabezpieczenia kodów QR dla firm obejmują stosowanie stylizowanych kodów z logo i kolorami marki (które trudniej jest przekonująco sfałszować), jasne informowanie użytkowników o tym, czego mogą się spodziewać po zeskanowaniu, oraz rutynowe sprawdzanie kodów dostępnych publicznie pod kątem śladów manipulacji.

Poza tym istotny jest wybór bezpiecznego generatora kodów QR. Najbezpieczniejszy generator kodów QR sprawdza docelowy adres URL już w momencie tworzenia kodu – blokując złośliwe linki, spam i niedozwolone treści, zanim kod trafi do użytku. Me-QR właśnie tak działa: każdy dynamiczny kod QR wygenerowany za pośrednictwem tej usługi jest automatycznie sprawdzany pod kątem złośliwego oprogramowania, treści phishingowych i naruszeń zasad, dzięki czemu ani Ty, ani Twoi klienci nie jesteście narażeni na zagrożenia związane z bezpieczeństwem kodów QR wynikające z Twoich własnych materiałów.

Bądź czujny, skanuj mądrze

Zagrożenia związane z używaniem kodów QR nie wynikają z samej technologii – dotyczą one tego, dokąd prowadzi kod i czy zadajesz sobie trud, aby to sprawdzić. Dbanie o bezpieczeństwo nie polega na unikaniu kodów QR – chodzi o to, aby wiedzieć, na co zwrócić uwagę przed zeskanowaniem.

Sprawdź adres URL. Sprawdź fizyczny kod. Użyj skanera zabezpieczeń QR, który zrobi to za Ciebie. Oszuści stojący za tymi atakami na kody QR liczą na to, że ludzie działają na autopilocie. I statystycznie mają rację – 61% osób nadal skanuje kody bez sprawdzania, dokąd prowadzą. Ta liczba to faktyczna luka w zabezpieczeniach. Wyeliminuj ją, a zrobisz już więcej niż większość.