Co je to QR kód?
QR kód (Quick Response) je dvourozměrný čárový kód, který dokáže uložit informace do malé čtvercové mřížky z černých a bílých bodů. Funguje tak, že kamera telefonu kód naskenuje, software rozpozná jeho strukturu a přeloží ji zpět na data – nejčastěji text, webovou adresu nebo platební údaje. Díky vestavěné kontrole chyb lze QR kód přečíst i tehdy, když je částečně poškozený nebo špinavý.
Nejčastěji se QR kódy používají k rychlému otevření webové stránky, zaplacení platby, stažení aplikace nebo zobrazení menu v restauraci. Smyslem QR kódu je zjednodušit a zrychlit přenos informací – místo přepisování dlouhé adresy stačí namířit telefon a jedním klepnutím se dostat k obsahu.
Jak mohou být zneužity QR kódy?
Z pohledu kyberbezpečnosti nejsou QR kódy samy o sobě nebezpečné, problém je v tom, že uživatel nevidí, co přesně kód obsahuje, dokud ho naskenuje. QR kód je jen „obal“ na data – může v něm být běžná webová adresa, ale také odkaz na podvodnou stránku, škodlivý soubor nebo akce, která uživatele navede k nebezpečnému chování. Útočníci toho zneužívají hlavně proto, že lidé mají tendenci QR kódům důvěřovat a skenují je automaticky, bez přemýšlení.
Velmi častý scénář je nahrazení nebo přelepení legitimního QR kódu – například u parkovacích automatů, na vývěskách, v restauracích nebo na veřejných místech. Uživatel očekává platbu nebo informace, ale místo toho se dostane na falešnou stránku, která vypadá důvěryhodně a snaží se z něj vylákat přihlašovací údaje, platební kartu nebo osobní data. Tento typ útoku se označuje jako QR phishing (někdy také quishing) a je nebezpečný právě tím, že obchází klasickou ostražitost vůči e-mailům či SMS.
Dalším rizikem je, že QR kód může vést na stránku, která automaticky spustí další akci – například stažení škodlivé aplikace, přesměrování na falešný platební formulář nebo pokus o zneužití chyb v prohlížeči. U mobilních zařízení je problém umocněn tím, že uživatelé často nemají bezpečnostní prvky tak přísně nastavené jako na počítači a hůře rozpoznají podezřelé detaily (divná adresa, chybějící zabezpečení webu apod.).
Zneužití QR kódů je nebezpečné i z psychologického hlediska. QR kód působí „technicky“ a oficiálně, často je umístěn v kontextu, kde ho lidé neočekávají zpochybňovat – na stole v restauraci, na dveřích úřadu nebo v MHD. Útočníci tak těží z důvěry, spěchu a rutiny. Základní obranou je proto jednoduché pravidlo: QR kód není automaticky bezpečný jen proto, že vypadá nenápadně. Před potvrzením akce je vždy dobré zkontrolovat adresu, zamyslet se nad tím, zda dává smysl, a být obezřetný zejména u plateb a přihlašování.
Proč mají útočníci rádi QR kódy?
- Uživatelé jsou při QR kódech daleko méně ostražití než při e-mailech
- QR kódy působí často "oficiálně" například v muzeu, na úřadě, na parkovacím automatu, nabíjecí stanici
- Útok pomocí QR kódu neslouží k útoku na konkrétního uživatele ale na velké množství uživatelů (často se může jednat o jednotkově malé částky třeba za parkovné ale ve velkém objemu)
Při scanování QR kódu kontrolujte odkaz na který QR kód odkazuje. Případně používejte specializované čtečky QR kódu, kde cílovou adresu uvidíte celou ještě dříve než se na ní dostanete.
Konkrétní zneužití QR kódů v minulosti
Kyberzločinci často využívají quishing – phishing přes QR kódy – tím, že umístí škodlivé nebo falešné QR kódy na místa, kde lidé běžně skenují kódy pro legitimní účely. Například v Irsku byly na parkovacích automatech nalezeny falešné QR kódy nalepené přes originální, které při skenování přesměrovaly uživatele na podvodné stránky a měly za cíl získat údaje o platební kartě nebo jiné osobní informace. Místní úřady v hrabství Wicklow varovaly veřejnost, aby tyto QR kódy nepoužívali bez ověření legitimní stránky provozovatele parkování. Podobné případy se objevily i v Německu, kde ve městě Celle útočníci přelepili legitimní QR kód na parkovacím automatu svým vlastním, což vedlo k neoprávněným finančním transakcím uživatele.
Další typický příklad je podvodná QR phishingová kampaň z roku 2022 v Číně, kdy byly e-maily odesílány jménem Ministerstva financí a vybízely příjemce, aby naskenovali přiložený QR kód pro žádost o vládní grant. Po naskenování byli uživatelé přesměrováni na falešné webové stránky, kde měli zadat citlivé údaje, které pak útočníci zneužili. Další případy zahrnují falešné QR kódy na parkovacích lístcích v Oaklandu v USA, které vedly k podvodným stránkám s požadavkem na platbu pokuty, čímž několik lidí přišlo o desítky dolarů.
V praxi se také stává, že podvodníci jednoduše nahrazují legitimní obchodní QR kódy svými vlastními, aby přesměrovali platby přímo na svůj účet – což se přihodilo v Mumbaí (Indie), kde mladý podvodník v létě 2025 nalepoval své QR kódy přes ty původní u malých stánků, čajoven a obchodů a odkláněl tak peníze zákazníků do svého účtu.
Tyto příklady ukazují, že QR kódy mohou být zneužity k phishingu, krádeži platebních dat, přesměrování plateb i šíření škodlivých stránek, protože uživatel často nevidí, kam kód vede, dokud jej nenasnímá. Kyberbezpečnostní experti proto doporučují být velmi obezřetný při skenování neznámých QR kódů, kontrolovat adresu cílové stránky a tam, kde to jde, používat zabezpečení (např. oficiální aplikace) místo okamžitého přesměrování přes QR kód.
Závěr
Pokud je to možné využijte jiný způsob – aplikace, parkovací automat. Kontrolovat informace, které jsou v QR kódu obsažené. Pokud QR kód přesměrovává na nějakou platební bránu, zvažte jestli chcete zadávat platební údaje a jestli dokážete v telefonu rozpoznat to, že je platební brána skutečně obchodníka.
Používejte sofistikovanější čtečky QR kódů – ne jen defaultní aplikaci v telefonu obsaženou například v aplikaci fotoaparát – ta často neukáže kompletní odkaz.
Pamatujte i na tom, že v rámci odkazu může dojít k nějaké záměně. Jak například rozpoznáte jestli je oficiální parkovací aplikace v Praze na odkazu prg.eu, praha.eu nebo prague.eu? Čili to, že odkaz uvidíte celý ještě neznamená že budete vědět že budete přesměrováni na legitimní stránku.
I když kód scanujete někde v rychlosti se zmrzlými prsty v zahraničí v cizím městě, myslete na to, že se nemusí jednat jen o nevinnou nálepku s černobýlími čtverečky.
