QR codes (Quick Response codes) se rozšířily během covid pandemie — restaurační menu, parkovací automaty, platby v obchodech. Útočníci to využívají — přelepují legitimní QR kody fake (vede na phishing nebo fake platební stránku). Útok se nazývá „quishing“ (QR phishing). V ČR rostoucí jev.
Top 3 quishing scénáře
1) Restaurační menu — útočník nalepí fake QR přes originální. Vede na fake stránku „pro objednání“, žádá údaje karty. 2) Parkovací automat — fake QR „pro snazší platbu mobilem“ vede na phishing. 3) Faktura — útočník zamění QR pro platbu v PDF, peníze jdou jinam.
Jak rozeznat fake QR
Před skenováním zkontrolujte fyzicky — fake QR často přelepuje originál (vidíte vrstvu lepidla / nálepky). Po skenu zkontrolujte URL — moderní mobilní fotoaparáty zobrazí URL před otevřením. Pokud doména je podivná (parking-cz.eu vs. legitimní mhmp.cz), nepokračujte. Nikdy nezadávejte bankovní údaje přes QR — vždy raději ručně přes ověřenou aplikaci.
Bezpečné QR aplikace
Standardní fotoaparát na iPhone / Android běžně zobrazí URL před otevřením. Aplikace Trend Micro QR Scanner (zdarma) navíc kontroluje URL proti databázi malicious sites. Pro kritické platby používejte specializované aplikace (Apple Pay / Google Pay), ne přímý webový QR.
Co dělat, pokud jste klikli
Pokud jste otevřeli fake stránku ale nezadali nic — stačí ji zavřít. Pokud jste zadali údaje karty — okamžitě banku, blokovat kartu, kontrola transakcí. Hlásit Policii ČR a NÚKIB.