QRishing. Dávejte pozor na QR kódy, čím dál víc jich je falešných
foto: Redakce Deníku Vektor, vygenerováno pomocí AI (ChatGPT 5.2) /Ilustrační obrázek
Naskenujete QR kód, vyplníte údaje nebo zaplatíte – ale jste na jiné stránce než myslíte a vaše data nebo peníze právě odešly podvodníkům.
QR kódy se v Česku staly standardním rozhraním – nejen pro platby, ale i pro přístup ke službám. Stačí naskenovat kód na faktuře nebo v parkovacím automatu a bankovní aplikace připraví platbu. Stejně běžně ale QR otevírá jídelní lístek, sledování zásilky nebo formulář. Právě tato rutina, kdy jeden formát spouští jak finanční transakci, tak přístup k obsahu, vytváří prostor pro nový typ útoku: QRishing.
Policie i bezpečnostní instituce v Evropě upozorňují na případy, kdy útočníci přelepují legitimní QR kódy vlastními nálepkami. Uživatel naskenuje kód, ale místo oficiální služby se dostane na podvržený web. Ten buď vyžádá přihlašovací údaje, nebo rovnou simuluje platební bránu.
Psali jsme
V Indii chystají změnu v regulaci finančního systému. Odpovědnost za podvodné platby ponesou banky na obou stranách transakce.
Mechanismus útoku je jednoduchý a levný. Distribuce probíhá buď zmíněným přelepením QR kódu na parkovacím automatu, vývěsce nebo dopise – nebo digitálně, například v PDF faktuře. Je to opravdu zákeřný útok, protože QR kód obchází běžné kontrolní mechanismy: uživatel nevidí předem adresu, na níž QR kód vede, často pracuje mimo prohlížeč – a hlavně, rozhodnutí probíhá v řádu sekund. QR kódům se obecně věří. To je rozdíl oproti třeba odkazů v mailu, kde už každý ví, má být obezřetný. U QR kódů jsou uživatelé zvyklí na postup „naskenovat – otevřít – bez přemýšlení potvrdit“. Výsledek je, že QRishing má vyšší úspěšnost než tradiční kyberútoky.
Aktuální zprávy o dramatickém nárůstu QRishingu sice přicházejí ze Španělska, ale je jen otázka času, než útočníci obrátí svou pozornost i na Česko. U nás jsou totiž QR platby ještě rozšířenější než ve Španělsku.
Česko je ráj QR kódů
V Česku QR kódy fungují jako přímé rozhraní k bankovní platbě. Standard „QR platba“ je integrovaný ve většině bankovních aplikací a běžně se používá v e-shopech, na fakturách i ve veřejných službách jako alternativa k platebním kartám. Ve Španělsku platby probíhají spíš přes telefonní číslo a QR kódy zůstávají spíše doplňkem – typicky pro menu v restauracích, marketing nebo turistické informace. QR tam vede častěji k obsahu než k transakci.
Tento rozdíl má přímý dopad na fungování útoků. V Česku QR kód často znamená platbu, takže podvržené stránky cílí na okamžité transakce. Ve Španělsku vede QR častěji na obsah, proto útoky míří spíš na přihlašovací údaje než na peníze.
Psali jsme
V září 2025 bylo 14 procent účtenek, které zaměstnanci předložili firmám k proplacení, padělaných; rok předtím to přitom byla nula. Tvrdí to jedna…
V českém prostředí tak má jeden útok vyšší finanční dopad. Stačí upravit QR kód na frekventovaném místě a přesměrovat uživatele na falešnou platební stránku. Tyto jednoduché podvody ale rychle ztrácejí účinnost. Jakmile je banky a uživatelé rozpoznají, útočníci mění taktiku. Místo zjevně falešných stránek zapadají do legitimního procesu – vloží „ověřovací“ krok nebo upraví jen část toku.
Současně roste význam sběru přístupových údajů. QR kód může vést na podvržené přihlášení do banky, e-mailu, doručovací služby a podobně. Útočník pak nezíská jednorázovou platbu, ale opakovatelný přístup. Objevují se i scénáře s instalací aplikace a získáním kontroly nad telefonem.
Jak se před QRishingem chránit
Základní obrana spočívá v tom, odolat pokušení provést „QR akci“ bezmyšlenkovitě. Po naskenování QR kódu je třeba vždy zobrazit a přečíst cílovou adresu – a zkrácené nebo nesrozumitelné adresy vůbec neotevírat. U plateb je třeba porovnat zobrazený název příjemce s tím, co v dané situaci člověk očekává.
U fyzických QR kódů je dobře aspoň zběžně kontrolovat, zda nejde o přelepku nebo poškozený štítek. A u citlivých úkonů raději přejít na službu ručně (např. zadáním adresy). Citlivým úkonem je přitom nejen převod větší částky, ale hlavně platební data a přihlašovací údaje.
V telefonu je třeba nechat zapnuté bezpečnostní funkce a neinstalovat aplikace mimo oficiální obchody.
Firmám je možné doporučit pravidelně kontrolovat své QR kódy v terénu – a vést o provedených kontrolách záznamy. Podvodů totiž bude nevyhnutelně přibývat a být schopen prokázat proaktivní snahu ochránit zákazníky se může u případného sporu o odškodnění hodit.