Jak útoky pomocí QR kódu fungují (a jak zůstat v bezpečí)

Q: Jak zjistím, zda je QR kód bezpečný?

Používejte vestavěný fotoaparát telefonu (ne aplikace třetích stran), před otevřením zkontrolujte náhled adresy URL, hledejte známky manipulace s fyzickými QR kódy a nikdy neskenujte kódy z nedůvěryhodných zdrojů.

Kybernetická bezpečnost14. března 2026·7 min čtení

QR kódy se staly všudypřítomnými – jídelní lístky restaurací, parkovací automaty, obaly produktů, vstupenky na akce. Jejich pohodlí nás přimělo jim bezmezně věřit. Ale právě této důvěry kyberzločinci využívají v rostoucí vlně útoků s názvem quishing (QR phishing).

Co je to Quishing?

Quishing kombinuje „QR“ a „phishing“. Místo toho, aby vám útočníci poslali podezřelý e-mailový odkaz, umístí škodlivé QR kódy do fyzického světa nebo do digitálních dokumentů. Po naskenování vás tyto kódy přesměrují na přesvědčivé falešné webové stránky navržené ke krádeži vašich přihlašovacích údajů, finančních informací nebo instalaci malwaru.

FBI oznámila 300% nárůst v případech podvodů s QR kódem mezi lety 2023 a 2025, přičemž ztráty přesahovaly 150 milionů dolarů jen v USA.

5 Metody útoku pomocí QR kódu v reálném světě

1. Samolepky parkovacích hodin

Zločinci umístí falešné nálepky s QR kódy na legitimní platební kódy na parkovacích automatech. Oběti skenují kód a myslí si, že platí za parkování, ale ve skutečnosti zadávají údaje o své kreditní kartě na phishingovém webu. Tento útok byl zdokumentován ve více než 40 městech USA.

2. Překryvy menu restaurace

Během pandemie se QR menu stala standardem. Útočníci toho využívají umístěním průhledných nálepek se škodlivými QR kódy na stany u stolu v restauraci. Falešný kód vede na stránku, která napodobuje menu, ale vyžaduje platební údaje nebo instalaci aplikace.

3. Oznámení o doručení falešných balíků

Do vaší poštovní schránky obdržíte kartu: "Pokusili jsme se doručit váš balíček. Naskenujte a změňte termín." QR kód vede na phishingovou stránku vydávající se za doručovací službu, která vyžaduje vaše přihlašovací údaje a osobní údaje.

4. QR kódy firemního e-mailu

Útočníci vkládají QR kódy do e-mailů, protože QR kódy obcházejí většinu e-mailových bezpečnostních filtrů. E-mail může tvrdit, že pochází od podpory IT, která vás žádá, abyste „naskenovali a ověřili svůj účet“ – což vede ke stránce pro získávání pověření.

5. QR kódy veřejné Wi-Fi

Falešné QR kódy „bezplatná Wi-Fi“ na letištích, v kavárnách nebo hotelech vás mohou přesměrovat na kaptivní portál, který do vašeho telefonu nainstaluje konfigurační profil a umožní útoky typu man-in-the-middle na veškerý váš provoz.

🧪 QR bezpečnostní kvíz

1. QR kód najdete na parkovacím automatu. Co byste měli udělat jako první?

Naskenujte jej a ihned zaplaťteZkontrolujte, zda se jedná o nálepku umístěnou přes originál kódVyfoťte a naskenujte později

2. E-mail s QR kódem od „IT podpory“ vás požádá o ověření vašeho účtu. Jaká je nejbezpečnější akce?

Naskenujte QR kód pomocí telefonuPředejte jej kolegům checkPřejděte přímo na webové stránky společnosti bez skenování

__PG

3. Po naskenování QR kódu váš telefon zobrazí náhled URL. Která adresa URL je podezřelá?

https://paypal.com/payment__PG____PG____PG__https://paypa1-secure.com/verify__PG____PG____PG__https://parking.cityname.gov/pay__PG____PG____PG____PG____PG__

Jak se chránit

Náhled před klepnutím: Po skenování vždy zkontrolujte adresu URL, kterou váš telefon zobrazuje. Hledejte chybně napsané domény nebo podezřelé znaky.
Zkontrolujte neoprávněnou manipulaci: Na fyzických kódech vyhledejte nálepky umístěné přes originál. Legitimní kódy se obvykle tisknou přímo na povrch.
Používejte vestavěnou kameru: Nativní aplikace fotoaparátu ve vašem telefonu je bezpečnější než aplikace pro skenování QR kódů třetích stran, které mohou mít méně bezpečnostních ochran.
Nikdy nezadávejte přihlašovací údaje: Pokud QR kód vede na přihlašovací stránku, zavřete ji a přejděte na web ručně prostřednictvím prohlížeče.
Vyhněte se QR kódům Wi-Fi: Namísto skenování QR kódů pro Wi-Fi se zeptejte přímo personálu na název sítě a heslo.

FAQ

Co je to quishing?

Quishing je phishing prostřednictvím QR kódů. Útočníci nahrazují legitimní QR kódy škodlivými, které přesměrovávají oběti na falešné přihlašovací stránky nebo spouštějí stahování malwaru.

Lze skenováním QR kódu nainstalovat malware?

Na většině moderních telefonů stačí naskenovat QR kód a nejprve se zobrazí náhled adresy URL. Pokud však klepnete na odkaz, může to vést na stránku, která využívá zranitelnosti prohlížeče nebo vás přiměje ke stažení škodlivé aplikace.

Jak zjistím, zda je QR kód bezpečný?

Používejte vestavěný fotoaparát telefonu (nikoli aplikace třetích stran), před otevřením zkontrolujte náhled adresy URL, hledejte známky manipulace s fyzickými QR kódy a nikdy neskenujte kódy z nedůvěryhodných zdrojů.

Související nástroje

Generátor hesel – vytvořte silná hesla pro účty vystavené prostřednictvím QR phishingu
Anatomie phishingového útoku