Az adathalászat QR-kódokon keresztül történő adathalászat. A támadók a törvényes QR-kódokat rosszindulatúakkal helyettesítik, amelyek hamis bejelentkezési oldalakra irányítják át az áldozatokat, vagy rosszindulatú programok letöltését indítják el.

Honnan tudhatom, hogy a QR-kód biztonságos-e?

Használja telefonja beépített kameráját (ne harmadik féltől származó alkalmazásokat), ellenőrizze az URL előnézetét a megnyitás előtt, keresse a fizikai QR-kódok manipulálására utaló jeleket, és soha ne olvasson be nem megbízható forrásból származó kódokat.

← Vissza a Bloghoz

Hogyan működnek a QR-kódos támadások (és hogyan maradjunk biztonságban)

Q: A QR-kód beolvasása telepíthet rosszindulatú programokat?

A legtöbb modern telefonon egy QR-kód beolvasása először egy URL-előnézetet jelenít meg. Ha azonban megérinti a hivatkozást, az olyan oldalra vezethet, amely kihasználja a böngésző sebezhetőségeit, vagy rosszindulatú alkalmazás letöltésére csalja ki.

Kiberbiztonság2026. március 14·7 perc olvasás

A QR-kódok mindenütt elterjedtek – éttermi menük, parkolóórák, termékcsomagolások, rendezvényjegyek. Kényelme miatt implicit módon megbíztunk bennük. De pontosan ezt a bizalmat használják ki a kiberbűnözők a quishing (QR adathalászat) nevű növekvő támadási hullám során.

Mi az a Quishing?

A Quishing a „QR” és az „adathalászat” kifejezéseket egyesíti. Ahelyett, hogy gyanús e-mail linket küldenének, a támadók rosszindulatú QR-kódokat helyeznek el a fizikai világban vagy a digitális dokumentumokban. Beolvasáskor ezek a kódok meggyőző hamis webhelyekre irányítják át, amelyek célja a hitelesítő adatok, pénzügyi információk ellopása vagy rosszindulatú programok telepítése.

Az FBI 2023 és 2025 között 300%-os növekedésről számolt be a QR-kódos csalási ügyekben, a veszteségek pedig meghaladták a 150 millió dollárt csak az Egyesült Államokban.

5 Valós QR-kódos támadási módszerek

1. Parkolóóra matricák

A bűnözők hamis QR-kódos matricákat helyeznek el a törvényes fizetési kódok fölé a parkolóórákon. Az áldozatok beolvassák a kódot, és azt gondolják, hogy fizetnek a parkolásért, de valójában egy adathalász oldalon adják meg hitelkártyaadataikat. Ezt a támadást több mint 40 amerikai városban dokumentálták.

2. Éttermi menü fedvényei

A járvány idején a QR-menük szabványossá váltak. A támadók ezt úgy használják ki, hogy átlátszó matricákat helyeznek el rosszindulatú QR-kóddal az éttermi asztalsátrak fölé. A hamis kód egy menüt utánzó webhelyre vezet, de fizetési információkat vagy alkalmazástelepítést kér.

3. Hamis csomagkézbesítési értesítések

Egy kártyát kap a postaládájába: "Megpróbáltuk kiszállítani a csomagját. Szkennelje át az ütemezéshez." A QR-kód egy kézbesítési szolgáltatást kiadó adathalász oldalra vezet, amely kéri az Ön bejelentkezési adatait és személyes adatait.

4. Üzleti e-mail QR-kódok

A támadók QR-kódokat ágyaznak be az e-mailekbe, mert a QR-kódok megkerülik a legtöbb e-mail biztonsági szűrőt. Előfordulhat, hogy az e-mail az informatikai ügyfélszolgálattól érkezett, és arra kéri Önt, hogy „vizsgálja le a fiókját” – ez egy hitelesítő adatgyűjtési oldalra vezet.

5. Nyilvános Wi-Fi QR-kódok

A repülőtereken, kávézókban vagy szállodákban található hamis „ingyenes Wi-Fi” QR-kódok átirányíthatják Önt egy kötött portálra, amely konfigurációs profilt telepít a telefonjára, lehetővé téve a középső támadásokat a teljes forgalom ellen.

🧪 QR biztonsági kvíz

1. A parkolóórán találsz egy QR-kódot. Mit kell tennie először?

Szkennelje be, és fizessen azonnalEllenőrizze, hogy az eredeti matrica fölött van-e elhelyezve codeFotó készítése és beolvasás később

2. Az „IT-támogatás” QR-kóddal küldött e-mailben kéri, hogy igazolja fiókját. Mi a legbiztonságosabb művelet?

Szkennelje be a QR-kódot a telefonjávalTovábbítsa kollégáinak checkUgrás közvetlenül a cég webhelyére szkennelés nélkül

__PG_PG

3. A QR-kód beolvasása után a telefon megjeleníti az URL előnézetét. Melyik URL gyanús?

https://paypal.com/payment__PG____PG____PG__https://paypa1-secure.com/verify__PG____PG____PG__https://parking.cityname.gov/pay__PG____PG____PG____PG____PG__

Hogyan védheti meg magát?

Előnézet megérintése előtt: Mindig ellenőrizze a telefon által megjelenített URL-t a beolvasás után. Keressen hibásan elírt domaineket vagy gyanús karaktereket.
Ellenőrizze, hogy nem történt-e manipuláció: Fizikai kódokon keresse az eredetire elhelyezett matricákat. A törvényes kódokat általában közvetlenül a felületre nyomtatják.
Használja a beépített kamerát: A telefon natív kameraalkalmazása biztonságosabb, mint a harmadik féltől származó QR-szkenner-alkalmazások, amelyek kevesebb biztonsági védelemmel rendelkeznek.
Soha ne adjon meg hitelesítő adatokat: Ha egy QR-kód egy bejelentkezési oldalra vezet, zárja be, és navigáljon a webhelyre manuálisan a böngészőn keresztül.
Kerülje a QR-Wi-Fi-kódokat: Ahelyett, hogy QR-kódokat olvasna be Wi-Fi-hálózathoz, kérje meg közvetlenül a személyzettől a hálózat nevét és jelszavát.

GYIK

Mi az a quishing?

A Quishing QR-kódokon keresztül végzett adathalászat. A támadók a törvényes QR-kódokat rosszindulatú kódokra cserélik, amelyek hamis bejelentkezési oldalakra irányítják át az áldozatokat, vagy rosszindulatú programok letöltését indítják el.

A QR-kód beolvasása telepíthet rosszindulatú programot?

A legtöbb modern telefonon egyszerűen egy QR-kód beolvasásakor először megjelenik az URL előnézete. Ha azonban rákoppint a hivatkozásra, az olyan oldalra vezethet, amely kihasználja a böngésző sebezhetőségét, vagy rosszindulatú alkalmazás letöltésére csalja ki Önt.

Honnan tudhatom meg, hogy a QR-kód biztonságos-e?

Használja telefonja beépített kameráját (nem harmadik féltől származó alkalmazásokat), megnyitás előtt ellenőrizze az URL előnézetét, keresse a fizikai QR-kódok manipulálására utaló jeleket, és soha ne olvasson be nem megbízható forrásból származó kódokat.

Kapcsolódó eszközök

Jelszógenerátor – hozzon létre erős jelszavakat a QR-adathalászattal kitett fiókokhoz
Az adathalász támadás anatómiája