To już nie są czasy, gdy fałszywe linki były jedynym zagrożeniem w sieci. Cyberprzestępcy znaleźli nową, alarmująco skuteczną broń, która omija zabezpieczenia i uderza tam, gdzie najmniej się jej spodziewasz – kody QR. Zjawisko to, nazwane „quishingiem”, rozprzestrzenia się w zastraszającym tempie. Dane firmy Check Point Software są bezlitosne: w latach 2021-2024 ataki phishingowe oparte o kody QR wzrosły o oszałamiające 900 procent! To oznacza, że zagrożenie jest dziewięciokrotnie większe niż zaledwie trzy lata temu, a 2025 rok przynosi kolejne, niepokojące rekordy.
Co gorsza, ta nowa forma oszustwa działa nie tylko online, ale także w realnym świecie, w miejscach, które uważaliśmy za bezpieczne. Fałszywe piktogramy pojawiają się w wiadomościach e-mail, SMS-ach, załącznikach PDF, ale także na parkomatach, a nawet tabliczkach przy szlakach turystycznych. Polacy, choć coraz bardziej świadomi zagrożeń online – 83 procent deklaruje, że nie otwiera podejrzanych linków (badanie ChronPESEL.pl i KRD z początku 2025 roku) – są bezbronni wobec quishingu. Dlaczego? Bo systemy antyspamowe często traktują kody QR jako nieszkodliwą grafikę, nie analizując ich zawartości. To sprawia, że jesteśmy o krok od utraty danych i pieniędzy, zanim w ogóle zorientujemy się, że coś jest nie tak.
Quishing: Cichy Zabójca Twoich Danych. Dlaczego jest tak skuteczny?
Wzrost liczby ataków o 900% w ciągu trzech lat to dowód na to, jak szybko cyberprzestępcy adaptują się do nowych technologii i ludzkich nawyków. Skuteczność quishingu wynika z jego prostoty i podstępności. Zamiast tradycyjnego linku, oszuści wysyłają kod QR, który po zeskanowaniu prowadzi do fałszywej strony logowania banku, formularza płatności lub portalu sprzedażowego. Podszywają się pod znane marki i instytucje, takie jak firmy kurierskie, popularne platformy sprzedażowe (np. Allegro, OLX) czy nawet instytucje państwowe.
Typowy scenariusz? Otrzymujesz SMS-a lub e-maila z informacją o rzekomej paczce do odebrania, wygranej nagrodzie lub mandacie do zapłaty. Wiadomość jest krótka, zwięzła i zawiera kod QR, który ma być „szybkim” sposobem na rozwiązanie problemu. Wiele osób, działając pod presją czasu lub z ciekawości, skanuje kod bez zastanowienia. Niestety, dla 47 procent Polaków e-mail, a dla 40 procent SMS, to najczęstsze kanały prób wyłudzenia danych. Quishing wykorzystuje tę tendencję, dodając nowy, trudniejszy do wykrycia element. Kod QR, jako obraz, bez problemu przechodzi przez filtry antyspamowe, które tradycyjne linki by zatrzymały, docierając prosto do Twojej skrzynki odbiorczej.
Oszustwo Wykracza Poza Sieć. QR kody na ulicach i w lasach.
Zagrożenie quishingiem nie ogranicza się wyłącznie do sfery cyfrowej. Coraz częściej oszuści przenoszą swoje działania do świata rzeczywistego, wykorzystując naszą ufność i pośpiech. Przykładem są doniesienia z Wrocławia, gdzie na parkomatach pojawiały się fałszywe naklejki z kodami QR. Wyglądały one jak oficjalna metoda płatności, ale w rzeczywistości prowadziły do stron wyłudzających dane kart płatniczych. Podobnie było z kierowcami, którzy znajdowali za wycieraczkami samochodów kartki łudząco przypominające mandaty, opatrzone logotypami policji lub Krajowej Administracji Skarbowej. Po zeskanowaniu kodu QR z takiej „mandatowej” kartki, ofiary trafiały na fałszywą stronę płatności.
To jednak nie wszystko. Nawet w miejscach, gdzie szukamy spokoju i natury, czyhają pułapki. W lasach, m.in. w rejonie Wałbrzycha, leśnicy oficjalnie apelują, aby nie skanować tabliczek z piktogramami, które mogą prowadzić do złośliwych stron lub służyć do wyłudzania danych. Jak ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl: „Z pozoru niewinny kod QR może być początkiem bardzo poważnych kłopotów. Po zeskanowaniu przez nas piktogramu oszuści są w stanie przejąć dane logowania do bankowości internetowej, numer karty płatniczej czy inne wrażliwe informacje. W efekcie możemy nie tylko stracić wszystkie pieniądze z konta, ale też narazić się na ryzyko kradzieży danych osobowych, w tym PESEL-u, wraz z próbami zaciągnięcia kredytu lub pożyczki na nasze nazwisko.” To realne zagrożenie, które może mieć katastrofalne skutki finansowe i prawne.
Sprawdź, Zanim Zeskanujesz! Jak chronić się przed pułapką?
Kluczem do ochrony przed quishingiem jest świadomość i ostrożność. Główny problem polega na tym, że nie widzisz, co skanujesz. W przeciwieństwie do linku, zawartość kodu QR jest ukryta, dopóki go nie zeskanujesz. Dlatego tak ważne jest, aby przyjmować zasadę ograniczonego zaufania do każdego kodu QR, zwłaszcza gdy wiadomość sugeruje pilną potrzebę działania. Oto konkretne kroki, które możesz podjąć:
- Weryfikuj źródło: Zawsze upewnij się, że nadawca wiadomości z kodem QR jest wiarygodny. Jeśli masz wątpliwości, skontaktuj się z firmą lub instytucją inną drogą (np. telefonicznie, przez oficjalną stronę internetową).
- Sprawdź adres URL przed otwarciem: Zamiast skanować kod bezpośrednio aparatem w telefonie, zrób mu zdjęcie lub zrzut ekranu. Następnie użyj darmowych serwisów online, takich jak Online Barcode Reader czy QRStuff Decoder, które wyświetlą pełny adres URL zakodowany w grafice. Szukaj nietypowych adresów, literówek, skróconych linków lub domen niezgodnych z oficjalnymi.
- Używaj bezpiecznych skanerów: Unikaj standardowych skanerów kodów QR wbudowanych w aparat smartfona. Zamiast tego zainstaluj dedykowane aplikacje mobilne, takie jak Trend Micro QR Scanner czy Avira QR Scanner. One również pozwalają na podgląd adresu URL przed otwarciem, a często oferują dodatkowe funkcje bezpieczeństwa.
- Nigdy nie podawaj wrażliwych danych: Pod żadnym pozorem nie wprowadzaj danych logowania do bankowości, numeru PESEL, numeru karty płatniczej czy innych poufnych informacji po zeskanowaniu kodu QR z nieznanego lub podejrzanego źródła.
- Ostrożność w miejscach publicznych: Nie skanuj przypadkowych piktogramów umieszczonych na plakatach, ulotkach, parkomatach czy w innych miejscach publicznych. Oszuści liczą na Twoją nieuwagę i pośpiech.
Quishing to jedno z największych cyberzagrożeń 2025 roku, ale dzięki świadomości i odpowiednim nawykom możemy się przed nim skutecznie bronić. Pamiętaj, że Twoje dane i pieniądze są bezcenne. Badanie „Cyberbezpieczeństwo Polaków w Internecie” z pierwszej połowy 2025 roku, przeprowadzone przez IMAS International dla ChronPESEL.pl i Krajowego Rejestru Długów na reprezentatywnej grupie 1500 dorosłych Polaków, wyraźnie pokazuje, że czujność w sieci jest absolutną koniecznością. Nie pozwól, aby chwila nieuwagi kosztowała Cię wszystko.
