Dłonie trzymające smartfon z wyświetlonym kodem QR.

Quishing: jak kradną Twoje dane przez kody QR? Zobacz, jak rozpoznać fałszywy kod.

PrzezJulia Gierasimiuk

Kody QR otaczają nas dziś ze wszystkich stron – znajdziemy je na plakatach, paczkach kurierskich, w restauracyjnym menu czy na biletach. Skanujemy je niemal odruchowo, ciesząc się ogromną wygodą i oszczędnością czasu. Niestety, ta sama technologia, która ułatwia nam codzienne funkcjonowanie, stała się potężnym narzędziem w rękach cyberprzestępców. Mowa o zjawisku zwanym quishingiem, czyli oszustwie polegającym na przemycaniu złośliwych linków pod postacią czarno-białej szachownicy. Zobacz, jak działa ten mechanizm i dlaczego tak łatwo wpadamy w pułapkę.

Czym jest quishing i dlaczego nie można ufać obcym QR?

Słowo quishing (lub qrishing) to zjawisko będące połączeniem kodów QR oraz tradycyjnego phishingu. Podobnie jak w przypadku złośliwych wiadomości e-mail, celem przestępców jest nakłonienie ofiary do odwiedzenia fałszywej strony internetowej i wyłudzenie poufnych danych, takich jak loginy do banku, czy też zainstalowanie złośliwego oprogramowania na urządzeniu.

Dlaczego jednak tak łatwo dajemy się na to nabrać? Wynika to z faktu, że podczas licznych szkoleń z zakresu cyberbezpieczeństwa nauczyliśmy się przede wszystkim nie ufać podejrzanym linkom w tekstach wiadomości, przez co sam akt zeskanowania obrazka nie budzi w nas złych skojarzeń i nie włącza czerwonej lampki. Ponadto, kody QR zyskały na popularności w trakcie pandemii COVID-19, stając się powszechnym, a zarazem bezpiecznym zdrowotnie i naturalnym sposobem na dostęp do informacji czy usług.

Quishing – jak działa mechanizm oszustwa?

Największym niebezpieczeństwem związanym z kodami QR jest to, że gołym okiem nie jesteśmy w stanie rozpoznać, dokąd nas one zaprowadzą. Widzimy jedynie kwadratowy obraz z czarno-białymi wzorami, który po cichu skrywa w sobie zakodowany adres URL lub gotową akcję do wykonania na telefonie. Choć większość współczesnych aparatów w smartfonach po zeskanowaniu wyświetla użytkownikowi docelowy link, często z wygody klikamy w niego całkowicie automatycznie i bez głębszego zastanowienia.

Kobieta robi zdjęcie kodowi QR z plakatu.
Kody QR otaczają nas wszędzie i zazwyczaj nie wzbudzają w nas podejrzeń. A może powinny?
Zdjęcie: Julio Lopez, pexels.com

Aby jeszcze bardziej utrudnić weryfikację, oszuści potrafią budować strukturę matrioszki. Zamiast bezpośredniego linku do złośliwej witryny, w kodzie QR nierzadko zaszyty jest adres z serwisu skracającego linki (takiego jak bit.ly czy tinyurl). W takiej sytuacji nawet świadomy użytkownik nie ma szans przed kliknięciem zweryfikować, co faktycznie kryje się za tym odnośnikiem. Pamiętajmy również, że oszustwa te celują w użytkowników smartfonów – a na stosunkowo małym ekranie telefonu przeglądarki wyświetlają znacznie mniej szczegółów, co doskonale ułatwia przestępcom uwiarygodnienie fałszywych stron.

Dlaczego kody QR omijają filtry antyspamowe?

Quishing stał się ogromnym problemem m.in. w cyberbezpieczeństwie firmowym, ponieważ kody QR znakomicie omijają klasyczne zabezpieczenia poczty elektronicznej. Tradycyjne filtry antyspamowe świetnie radzą sobie z wyłapywaniem podejrzanych tekstowych adresów URL w treści maila i odrzucają je bezpośrednio do kosza. Jednak kod QR jest traktowany przez te systemy po prostu jako zwykły obrazek. Przestępcy wykorzystują ten fakt, dodatkowo maskując kody, np. ukrywając je w załącznikach PDF.

Smartfon na którym leży karteczka do zalogowania się, która jest nabita na haczyk.
Quishing to kolejna forma wyłudzania ważnych danych osobowych.
Zdjęcie: blueleafsecurity.net

Naszą czujność systematycznie usypiają także odpowiednio dobrane chwyty socjotechniczne. Oszuści wymuszają na nas pilne podjęcie działania w sytuacjach, które brzmią niezwykle wiarygodnie – wysyłają wiadomości z kodem QR, prosząc np. o zeskanowanie go w celu włączenia koniecznej weryfikacji dwuetapowej (2FA) wymuszonej przez działy bezpieczeństwa, powołując się na rzekomą niedopłatę do paczki kurierskiej lub oferując darmowe nagrody w grach online. Użytkownicy, pod presją czasu i w roztargnieniu, odruchowo wykonują te operacje, nieświadomie oddając w ten sposób swoje dane w ręce cyberprzestępców.

Najczęstsze scenariusze ataków – gdzie możesz trafić na złośliwy kod QR?

Kluczem do sukcesu cyberprzestępców jest umieszczanie złośliwych kodów QR w miejscach i kontekstach, w których naturalnie się ich spodziewamy. Wykorzystują nasze codzienne nawyki, roztargnienie oraz zaufanie do instytucji, by w ułamku sekundy nakłonić nas do zeskanowania fałszywej szachownicy. Oto najpopularniejsze i najbardziej niebezpieczne scenariusze, na które musisz uważać.

Karta z kodami QR do płatności za zamówienie.
Zastanów się kilka razy zanim zeskanujesz kod QR w celu zapłaty, ponieważ możesz za to słono zapłacić.
Zdjęcie: flickr.com

Fałszywe naklejki na parkomatach i wezwania do zapłaty za wycieraczką

Jedną z najbardziej bezczelnych metod oszustów jest ingerencja w fizyczną przestrzeń miejską. Przestępcy naklejają własne kody QR na parkomatach (takie sytuacje miały miejsce m.in. w Katowicach czy Krakowie), sugerując, że ich zeskanowanie pozwoli na szybkie i wygodne opłacenie postoju. Co gorsza, często zaklejają oni oryginalne kody usługodawców. Po zeskanowaniu ofiara trafia na łudząco podobną do prawdziwej stronę płatności, gdzie podaje dane swojej karty, które wpadają prosto w ręce złodziei.

Innym wariantem tego ataku są fałszywe mandaty wkładane za wycieraczki samochodów (proceder ten odnotowano m.in. w Warszawie). Dokumenty te wyglądają niezwykle oficjalnie, często są opatrzone logotypami Policji, Straży Miejskiej lub Krajowej Administracji Skarbowej. Informacja na kartce sugeruje, że aby dowiedzieć się, za co wystawiono mandat i uniknąć wyższej kary poprzez szybką wpłatę, należy zeskanować kod QR, który kieruje prosto do fałszywej bramki płatności.

Ataki na firmy: maile wymuszające konfigurację uwierzytelniania dwuetapowego

Quishing stał się potężną bronią wycelowaną w korporacje i pracowników biurowych (m.in. z branży energetycznej, ubezpieczeniowej czy finansowej). Pracownicy otrzymują wiadomości e-mail, w których znajduje się plik PNG z kodem QR oraz informacja, że w ramach nowych procedur bezpieczeństwa konieczne jest natychmiastowe włączenie uwierzytelniania dwuetapowego (2FA).

Ten scenariusz jest dla przestępców idealny: pracownicy są dziś szkoleni, by nie klikać w podejrzane linki, a konfiguracja 2FA faktycznie wymaga zwykle użycia smartfona. Zeskanowanie kodu prowadzi na fałszywą stronę logowania, która wykrada firmowe poświadczenia. Oszuści stosują przy tym zaawansowane techniki maskowania – potrafią na przykład przepuścić złośliwy link przez legalne domeny (np. Bing.com z ukrytym przekierowaniem w formacie Base64), aby zmylić zarówno filtry antyspamowe, jak i czujność użytkowników.

Fałszywe awizo i wiadomości o niedopłacie za paczkę kurierską

Zagrożenie może czyhać również w tradycyjnej skrzynce na listy. Doskonałym przykładem jest głośny atak z Francji, gdzie oszuści wrzucali do skrzynek fałszywe awiza do złudzenia przypominające te z narodowej poczty La Poste. Umieszczony na awizie kod QR kierował ofiarę na stronę z prośbą o podanie danych karty bankowej w celu „opłacenia ponownej próby doręczenia”. Cyberprzestępcy wykorzystali tam lukę „open redirect” na prawdziwej stronie poczty, co sprawiało, że początek linku wyglądał całkowicie legalnie.

Znanym wariantem w świecie cyfrowym są wiadomości e-mail z logo firmy spedycyjnej, w których zamiast tradycyjnego linku umieszcza się kod QR. Komunikat najczęściej informuje o rzekomym problemie z doręczeniem i konieczności pilnej dopłaty drobnej kwoty (np. złotówki) do przesyłki.

Kody w grach i próby przejęcia kont w komunikatorach (Signal, WhatsApp)

Skanowanie kodów QR służy często do wygodnego parowania aplikacji mobilnych z ich wersjami na komputer (np. w komunikatorach Signal czy WhatsApp). Przestępcy wykorzystują ten mechanizm do przejmowania kont. Jeśli zmanipulują ofiarę i nakłonią ją do zeskanowania spreparowanego kodu QR ze swojego własnego ekranu logowania, zyskują pełny dostęp do jej skrzynki odbiorczej. Pozwala to nie tylko na czytanie i wysyłanie wiadomości w imieniu ofiary, ale w niektórych przypadkach również na przechwytywanie jednorazowych kodów SMS, które dają dostęp do banku czy innych usług.

Na tego typu ataki szczególnie narażone są dzieci i młodzież grająca w gry online (np. poprzez komunikator Discord). Oszuści kuszą młodych graczy wirtualnymi prezentami – darmowymi skórkami do postaci, walutą w grze, czy kartami podarunkowymi (Netflix, Steam) w zamian za szybkie zeskanowanie „promocyjnego” kodu. W ten sposób kradną konta, kupują cyfrowe dobra za pieniądze z podpiętych kart rodziców, a nawet pozyskują bazę kontaktów dziecka do dalszych ataków (np. metodą na BLIKa).

Zasady bezpieczeństwa: jak rozpoznać fałszywy kod QR i chronić swoje dane?

Rozwój cyberprzestępczości nie oznacza, że musimy całkowicie zrezygnować z wygody, jaką dają kody QR. Traktuj je jednak dokładnie tak samo jak nieznane linki w wiadomościach e-mail – z dużą dozą podejrzliwości. Wdrożenie zaledwie kilku prostych nawyków pozwoli Ci skutecznie chronić swoje finanse i dane osobowe.

Grafika, na ciemnym tle dłonie trzymają tablet, wokół są technologiczna=e rysunki i napis "security" i kłódka.
Obecnie musimy dbać o swoje bezpieczeństwo mocniej niż kiedykolwiek.
Zdjęcie: reithandassociates.com

Docelowy adres URL i skracacze linków

Większość współczesnych aplikacji aparatów w smartfonach posiada wbudowaną funkcję podglądu – po nakierowaniu obiektywu na kod, na ekranie wyświetla się adres strony, do której on prowadzi. Zanim w niego klikniesz, uważnie przeczytaj domenę. Jeśli adres wygląda podejrzanie, nie znasz go, lub zawiera literówki, natychmiast zrezygnuj z przejścia dalej.

Szczególną czujność zachowaj w sytuacji, gdy kod QR kryje w sobie tzw. skracacz linków (np. adresy zaczynające się od bit.ly, cutt.ly czy tinyurl). Przestępcy uwielbiają używać tej metody, ponieważ całkowicie maskuje ona prawdziwy, docelowy adres URL, uniemożliwiając Ci weryfikację witryny przed jej załadowaniem. Jeśli nie masz absolutnej pewności co do źródła takiego kodu, najlepiej w ogóle go nie skanuj.

Fałszywe naklejki z kodem QR

Gdy skanujesz kody w przestrzeni publicznej – na parkomatach, przystankach, drzwiach restauracji czy plakatach – zawsze najpierw przyjrzyj się im fizycznie. Oszuści bardzo często drukują własne, złośliwe szachownice na papierze samoprzylepnym i naklejają je bezpośrednio na oryginalne kody legalnych usługodawców.

Jeśli zauważysz, że kod QR jest naklejony na inną naklejkę, wyraźnie odstaje, lub zmienia swój wygląd w zależności od kąta patrzenia, potraktuj to jako próbę oszustwa i nie skanuj go. Warto również zgłosić taką anomalię odpowiednim służbom lub obsłudze danego obiektu.

Dlaczego warto korzystać z jednorazowych wirtualnych kart płatniczych?

Zdarzają się sytuacje, w których zeskanowanie kodu QR do realizacji płatności wydaje się niezbędne i wygodne (np. przy zamawianiu jedzenia w restauracji). W takich momentach doskonałym buforem bezpieczeństwa są jednorazowe, wirtualne karty płatnicze, które oferuje dziś większość nowoczesnych banków.

Zamiast podawać dane swojej głównej karty debetowej lub kredytowej, generujesz w aplikacji bankowej kartę wirtualną i zasilasz ją dokładnie taką kwotą, jaka jest potrzebna do opłacenia rachunku. W najgorszym scenariuszu – nawet jeśli strona okaże się perfekcyjnie przygotowanym oszustwem – stracisz wyłącznie tę niewielką, przelaną wcześniej sumę. Przestępcy nie zyskają dostępu do Twoich głównych oszczędności, a dane jednorazowej karty staną się dla nich bezużyteczne.

Niebezpieczeństwo logowania się do banku po zeskanowaniu kodu

Złotą i najważniejszą zasadą w walce z quishingiem jest całkowity zakaz podawania danych logowania do bankowości elektronicznej na stronach, do których trafiliśmy za pośrednictwem kodu QR. Każda prośba o podanie loginu, hasła czy kodu autoryzacyjnego SMS w takim kontekście powinna natychmiast zapalić w Twojej głowie czerwoną lampkę.

Jeśli musisz dokonać płatności za usługę, o której poinformował Cię kod (lub np. rzekome awizo pocztowe), po prostu zamknij przeglądarkę. Następnie samodzielnie otwórz oficjalną, zainstalowaną wcześniej aplikację swojego banku lub zaloguj się na konto z poziomu komputera, ręcznie wpisując adres zaufanej witryny bankowej. To jedyny sposób, by zyskać pewność, że Twoje poufne dane nie trafiają wprost w ręce złodziei.

Podsumowanie: wygoda wymaga ostrożności

Technologia kodów QR, choć niezwykle wygodna i powszechna, stała się potężnym narzędziem w rękach cyberprzestępców. Zjawisko quishingu udowadnia, że oszuści potrafią mistrzowsko wykorzystywać nasze zaufanie, automatyczne odruchy oraz pośpiech. Cel jest zawsze ten sam: kradzież Twoich poufnych danych lub pieniędzy.

Aby skutecznie chronić się przed tymi zagrożeniami, musisz zacząć traktować kody QR z taką samą ostrożnością, jak podejrzane linki w wiadomościach e-mail. Eksperci do spraw cyberbezpieczeństwa (w tym m.in. CERT Polska czy FBI) oficjalnie ostrzegają przed tą formą oszustw. Pamiętaj, że na ataki szczególnie narażone są dzieci i młodzież, np. podczas prób wyłudzeń na popularnych komunikatorach i w grach online.

Podziel się tym artykułem z rodziną i znajomymi. Niech też zadbają o swoje bezpieczeństwo!

Tekst powstał na podstawie:

M. Maj, QRishing – trudniej go wykryć i rzadziej się przed nim ostrzega, https://niebezpiecznik.pl/post/qrishing-trudniej-go-wykryc-i-rzadziej-sie-przed-nim-ostrzega/, [dostęp: 05.03.2026].
Sekurak, Dostajesz awizo, zawierające kod QR prowadzący do… prawdziwej strony. A nie czekaj – do fałszywej! Ciekawy phishing we Francji, https://sekurak.pl/dostajesz-awizo-zawierajace-kod-qr-prowadzacy-do-prawdziwej-strony-a-nie-czekaj-do-falszywej-ciekawy-phishing-we-francji, [dostęp: 05.03.2026].
Portal Gov.pl, Quishing – oszustwo z wykorzystaniem kodów QR, https://www.gov.pl/web/baza-wiedzy/quishing—oszustwo-z-wykorzystaniem-kodow-qr, [dostęp: 05.03.2026].
M. Chrobok, Nie ufaj kodom QR! Tłumaczę dlaczego., https://www.youtube.com/watch?v=k_A9Ai7EdD0, [dostęp: 05.03.2026].

Studiuję nowe technologie i ich wpływ na nasze codzienne życie. Interesuję się cyberbezpieczeństwem, śledzę aktualne zagrożenia w sieci i sposoby ochrony danych. W wolnym czasie gram w gry, traktując je nie tylko jako rozrywkę, ale też pole do rozwoju umiejętności i kreatywności.

Podobne wpisy