Co je to QR kód?
QR kód (Quick Response) představuje dvourozměrný čárový kód schopný uložit informace do malé čtvercové mřížky složené z černých a bílých bodů. Při skenování kamerou telefonu kód aplikace rozpozná a převede zpět na data — nejčastěji textový obsah, webové adresy či platební údaje. Díky zabudované kontrole chyb lze kód přečíst i při částečném poškození nebo znečištění.
Praktické využití zahrnuje rychlé otevření webových stránek, provedení plateb, stažení aplikací nebo zobrazení restauračního menu. Základní funkcí je zjednodušit přenos informací — místo opisování dlouhých adres stačí namířit telefon a jedním dotykem se dostat k obsahu.
Jak mohou být zneužity QR kódy?
Nebezpečí nespočívá v samotných kódech, ale v tom, že uživatel „nevidí, co přesně kód obsahuje, dokud ho naskenuje". Kód funguje jako obálka na údaje — může obsahovat legitimní adresu, ale také vést na podvodnou stránku, škodlivý soubor nebo pokyn k nebezpečnému chování.
Útočníci to zneužívají proto, že lidé mají sklon QR kódům důvěřovat a skenují je automaticky bez zvažování.
Běžné scénáře zneužití
Nahrazení legitimního kódu — Útočníci přelepí původní QR kódy na parkovacích automatech, vývěskách, v restauracích nebo na veřejných místech. Uživatel očekává běžnou funkci, ale místo toho se dostane na falešnou stránku, která se pokouší získat přihlašovací údaje, platební kartu či osobní informace.
QR Phishing (Quishing) — Tento typ útoku obchází klasickou obezřetnost vůči e-mailům a SMS zprávám.
Automatizované akce — QR kód může vést na stránku, jež automaticky spustí stažení škodlivé aplikace, přesměrování na falešný platební formulář nebo využití chyb v prohlížeči.
Mobilní zařízení jsou obzvláště zranitelná, protože uživatelé mají bezpečnostní prvky méně přísné než na počítačích a hůře rozpoznají podezřelé detaily (neobvyklé adresy, chybějící zabezpečení webu).
Psychologické riziko
QR kód působí „technicky" a oficiálně. Často se vyskytuje v kontextech, kde ho lidé neočekávají zpochybňovat — na stolech restaurací, na dveřích úřadů či v hromadné dopravě. Útočníci tak profitují z důvěry, spěchu a rutiny.
Proč mají útočníci rádi QR kódy?
- Uživatelé jsou při QR kódech výrazně méně obezřetní než u e-mailů
- Kódy často působí „oficiálně" — v muzeích, na úřadech, parkovacích automatech, nabíjecích stanicích
- Útoky nejsou zaměřeny na konkrétní osobu, ale na rozsáhlý okruh uživatelů (často jednotlivě malé částky, ale v hromadném objemu)
Při skenování zkontrolujte cílový odkaz. Zvažte použití specializovaných čteček QR kódů, které zobrazí URL adresu dříve, než se na stránce ocitnete.
Konkrétní zneužití v praxi
Praktické bezpečnostní tipy
- Pokud je to možné, zvolte alternativu — Použijte aplikaci, přímý přístup na automat či jiné bezpečnější metody místo QR kódů.
- Kontrolujte obsah kódu — Před skenováním si ujasněte, co kód obsahuje a zda se vám to zdá relevantní.
- Ověřujte při platbách — Pokud QR kód vede na platební bránu, ověřte, zda je brána skutečně od prodávajícího.
- Používejte pokročilé čtečky — Vyberte si čtečku, která URL adresu předem ukáže, ne výchozí aplikaci Fotoaparát.
- Pamatujte na zmatenost — I když vidíte celý odkaz, nemusí být jasné, zda je legitimní. Například rozlišit mezi prg.eu, praha.eu a prague.eu není snadné.
- Zvažujte kontext — I ve spěchu v cizím městě si dejte pozor, co skenujete.
Závěr
QR kódy samy o sobě nejsou zásadně nebezpečné, ale jejich snadnost a důvěryhodnost, kterou jim lidé přisuzují, je dělá atraktivním nástrojem pro podvodníky. Klíčem k bezpečnosti je kombinace technických opatření (sofistikované čtečky, kontrola adres) a zdravého skepticismu. Ověřování a obezřetnost při skenování neznámých kódů — zejména na veřejných místech — by měly být standardní praktiky v našem digitálním životě.
Chcete proškolit zaměstnance?
QR podvody jsou jen jedním z mnoha témat, která pokrývám v rámci školení kyberbezpečnosti. Připravím trénink na míru vaší firmě.
Bezplatná konzultace