Jak działają ataki za pomocą kodu QR (i jak zachować bezpieczeństwo)

Cyberbezpieczeństwo14 marca 2026 r·7 min czytania

Kody QR stały się wszechobecne – menu restauracji, parkometry, opakowania produktów, bilety na wydarzenia. Ich wygoda sprawiła, że zaufaliśmy im bezgranicznie. Ale właśnie to zaufanie wykorzystują cyberprzestępcy w rosnącej fali ataków wygaszanie(phishing QR).

Co to jest quishing?

Quishing łączy w sobie „QR” i „phishing”. Zamiast wysyłać Ci podejrzany link e-mail, napastnicy umieszczają złośliwe kody QR w świecie fizycznym lub w dokumentach cyfrowych. Po zeskanowaniu kody te przekierowują Cię do przekonujących fałszywych witryn internetowych zaprojektowanych w celu kradzieży Twoich danych uwierzytelniających, informacji finansowych lub instalowania złośliwego oprogramowania.

FBI zgłosiło A Wzrost o 300%. w przypadkach oszustw związanych z kodami QR w latach 2023–2025, przy czym w samych Stanach Zjednoczonych straty przekroczyły 150 mln dolarów.

5 rzeczywistych metod ataku za pomocą kodu QR

1. Naklejki na parkometry

Przestępcy umieszczają fałszywe naklejki z kodami QR na legalnych kodach płatności na parkometrach. Ofiary skanują kod, myśląc, że płacą za parking, ale w rzeczywistości wprowadzają dane swojej karty kredytowej na stronie phishingowej. Atak ten został udokumentowany w ponad 40 miastach USA.

2. Nakładki menu restauracji

W czasie pandemii menu QR stały się standardem. Atakujący wykorzystują to, umieszczając przezroczyste naklejki ze złośliwymi kodami QR nad namiotami stołów restauracyjnych. Fałszywy kod prowadzi do witryny imitującej menu, ale żądającej informacji o płatności lub instalacji aplikacji.

3. Fałszywe powiadomienia o dostawie paczek

Otrzymujesz kartkę w swojej skrzynce pocztowej: „Próbowaliśmy dostarczyć Twoją paczkę. Zeskanuj, aby przełożyć”. Kod QR prowadzi do strony phishingowej podszywającej się pod firmę kurierską i żądającej danych logowania oraz danych osobowych.

4. Kody QR do e-maili biznesowych

Atakujący osadzają kody QR w wiadomościach e-mail, ponieważ kody QR omijają większość filtrów zabezpieczających pocztę e-mail. Wiadomość e-mail może rzekomo pochodzić od pomocy technicznej IT z prośbą o „zeskanowanie konta w celu weryfikacji” – prowadząc do strony zbierania danych uwierzytelniających.

5. Kody QR publicznej sieci Wi-Fi

Fałszywe kody QR „Darmowe Wi-Fi” na lotniskach, w kawiarniach i hotelach mogą przekierować Cię do portalu przechwytującego, który instaluje profil konfiguracyjny na Twoim telefonie, umożliwiając ataki typu man-in-the-middle na cały Twój ruch.

🧪 Quiz dotyczący bezpieczeństwa QR

1. Na parkometrze znajdziesz kod QR. Co powinieneś zrobić najpierw?

Zeskanuj go i zapłać natychmiastSprawdź, czy jest to naklejka naklejona na oryginalny kodZrób zdjęcie i zeskanuj później

2. E-mail z kodem QR od „Wsparcia IT” z prośbą o weryfikację konta. Jakie jest najbezpieczniejsze działanie?

Zeskanuj kod QR telefonemPrześlij go współpracownikom do sprawdzeniaPrzejdź bezpośrednio do strony internetowej firmy bez skanowania

3. Po zeskanowaniu kodu QR telefon wyświetli podgląd adresu URL. Który adres URL jest podejrzany?

https://paypal.com/płatnośćhttps://paypa1-secure.com/verifyhttps://parking.cityname.gov/pay

Jak się chronić

Podgląd przed dotknięciem: Zawsze sprawdzaj adres URL wyświetlany na telefonie po zeskanowaniu. Poszukaj błędnie napisanych domen lub podejrzanych znaków.
Sprawdź, czy nie doszło do manipulacji: W przypadku kodów fizycznych szukaj naklejek umieszczonych na oryginale. Prawidłowe kody są zwykle drukowane bezpośrednio na powierzchni.
Użyj wbudowanej kamery: Natywna aplikacja aparatu w telefonie jest bezpieczniejsza niż aplikacje do skanowania kodów QR innych firm, które mogą mieć mniej zabezpieczeń.
Nigdy nie wprowadzaj danych uwierzytelniających: Jeśli kod QR prowadzi do strony logowania, zamknij go i przejdź do witryny ręcznie za pomocą przeglądarki.
Unikaj kodów QR Wi-Fi: Zamiast skanować kody QR dla Wi-Fi, poproś personel bezpośrednio o nazwę sieci i hasło.

Często zadawane pytania

Co to jest quishing?

Quishing to phishing za pomocą kodów QR. Atakujący zastępują legalne kody QR złośliwymi kodami, które przekierowują ofiary na fałszywe strony logowania lub powodują pobieranie złośliwego oprogramowania.

Czy zeskanowanie kodu QR może zainstalować złośliwe oprogramowanie?

W większości nowoczesnych telefonów wystarczy zeskanować kod QR, aby najpierw wyświetlić podgląd adresu URL. Jeśli jednak klikniesz łącze, może ono prowadzić do strony wykorzystującej luki w zabezpieczeniach przeglądarki lub nakłaniającej do pobrania złośliwej aplikacji.

Jak mogę sprawdzić, czy kod QR jest bezpieczny?

Korzystaj z wbudowanego aparatu w telefonie (nie z aplikacji innych firm), sprawdzaj podgląd adresu URL przed otwarciem, szukaj oznak manipulacji przy fizycznych kodach QR i nigdy nie skanuj kodów z niezaufanych źródeł.

Powiązane narzędzia

Generator haseł— twórz silne hasła do kont ujawnionych w wyniku phishingu QR
Anatomia ataku phishingowego