Co je to QR kód?
QR kód je jen nosič dat — často URL — a uživatel ho obvykle nečte, jen „naskenuje“. To z něj dělá ideální nástroj pro sociální inženýrství: vidíš „sleva/parkování/menu/QR platba“ → naskenuješ → spustí se akce, kterou nečekáš.
QR kód může obsahovat různá data včetně například kontaktu, URL adresy, telefonního čísla a dalších.
Typy útoků přes QR kódy
1. Phishing (quishing) — falešné weby
- QR vede na URL, která vypadá jako banka/IT portál/doručovací služba, ale je falešná.
- Cíl: ukrást přihlašovací údaje, OTP nebo donutit k platbě.
- Příklad: QR → https://pay-bank.example-login[.]com/login (vizuálně podobné, ale jiná doména).
2. Malware download / drive-by download
- QR otevře URL, která stáhne APK (Android) nebo jiný škodlivý soubor. Na Androidu může vyzvat k povolení instalace z „neznámých zdrojů“.
- Cíl: nainstalovat spyware, trojana nebo ransomware.
3. Falešná platba / kryptoscams
- QR obsahuje adresu peněženky (Bitcoin/ETH/USDT). Útočník ji vystaví místo skutečné adresy.
- Cíl: okrást člověka provedením platby na jinou adresu.
4. Wi-Fi credential injection (malicious Wi-Fi QR)
- QR obsahuje Wi-Fi konfiguraci (WIFI:T:WPA;S:SSID;P:heslo;;). Telefon se může nabízet připojit.
- Cíl: přesměrovat uživatele na kompromitovanou síť s MITM (Man-In-The-Middle).
5. Deep links / intent abuse (tel:, sms:, mailto:, app deep link)
- QR spustí tel:+420… (automatické volání), sms:+… (otevře zprávu), mailto: nebo aplikační intent (otevře aplikaci s parametry).
- Cíl: spustit nechtěné akce, odeslat SMS, vyvolat opakované náklady, spustit zranitelnou aplikaci.
6. vCard / contact injection
- QR obsahuje kontakt (BEGIN:VCARD …); po uložení může obsahovat škodlivé odkazy nebo čísla.
- Cíl: zavést nová čísla, automatické volání nebo phishing.
7. Data/HTML payload (data URI)
- QR obsahuje data:text/html;base64,… nebo javascript: data, které může spustit obsah přímo v prohlížeči.
- Cíl: vykreslit škodlivý kód bez externího serveru.
8. Přelepení nálepky s původním QR kódem
- Útočník přilepí vlastní QR přes originální (např. na reklamě, menu v restauraci).
- Cíl: využít důvěry v fyzické umístění pro zisku kliknutí.
- Časté například u parkovacích automatů
9. OAuth / consent phishing
- QR vede na stránku, která vyžádá přihlášení a udělení oprávnění (OAuth) — útočník získá přístup místo hesla.
- Cíl: přístup k mailům, cloudům, dokumentům.
Jak poznat podezřelý QR před naskenováním / po naskenování
- Na místě: QR přelepené, nalepené přes originál; neočekávaně umístěné v ulici; špatně vytištěné.
- Po naskenování (ale před potvrzením akce): scanner by měl zobrazit celou URL / text — zkontroluj:
- doménu (ne jen text), HTTPS a certifikát (pro URL).
- pochybné top-level domény, překlepy (paypa1.com), IDN homografy (písmena z cyrilice).
- u Wi-Fi: ověř SSID a heslo — proč by to měl být veřejný hotspot, které neznáš?
- u plateb: adresa peněženky zkontroluj ručně, ideálně pomocí známého QR (ne jen vizuální kontrola).
- u APK: mobil by tě měl varovat — nikdy nestahuj APK z neznámého zdroje.
