Quishing: phishing ukryty w kodach QR
Kod QR omija filtry pocztowe i prowadzi na fałszywą stronę wprost z telefonu. Wyjaśniamy, jak działa quishing i jak się przed nim bronić.
Kody QR wróciły do łask — płacimy nimi, logujemy się, potwierdzamy tożsamość. Przestępcy to zauważyli. Quishing (QR + phishing) to atak, w którym złośliwy link jest ukryty w kodzie QR zamiast w klasycznym odnośniku. Prosta zmiana nośnika, a rozbraja kilka mechanizmów obrony naraz.
Dlaczego kod QR jest wygodny dla atakującego
- Omija filtry pocztowe. Wiele systemów bezpieczeństwa skanuje linki w treści e-maila. Kod QR to obrazek — link „w środku” bywa niewidoczny dla filtra.
- Przenosi atak na telefon. Skanujesz kod służbowym mailem, ale otwierasz go na prywatnym telefonie — często słabiej zabezpieczonym i poza kontrolą firmy.
- Ukrywa prawdziwy adres. Nie widzisz, dokąd prowadzi link, dopóki go nie otworzysz. Trudniej ocenić domenę „na oko”.
Typowe scenariusze
- Fałszywy e-mail z kodem QR „do potwierdzenia konta”, „odblokowania skrzynki” albo „ponownej autoryzacji MFA”.
- Naklejki w przestrzeni publicznej — podmieniony kod na parkomacie, stacji ładowania czy plakacie, prowadzący do fałszywej bramki płatności.
- Dokumenty i faktury z kodem QR do „szybkiej płatności”.
To ta sama socjotechnika co w phishingu i smishingu — zmienił się tylko kanał dostarczenia.
Jak się bronić
- Sprawdź domenę po zeskanowaniu. Większość telefonów pokazuje adres przed otwarciem — przeczytaj go i zweryfikuj, czy to prawdziwa domena, zanim klikniesz.
- Nie skanuj kodów z nieoczekiwanych e-maili i naklejek. Do logowania czy płatności wchodź przez aplikację lub ręcznie wpisany adres.
- Uważaj na kody „autoryzujące” MFA — legalne procesy rzadko każą skanować kod z e-maila, by „potwierdzić” konto.
- W firmie: uwzględnij quishing w szkoleniach i kontrolowanych kampaniach, oraz w zasadach dla urządzeń prywatnych (BYOD).
Quishing dobrze pokazuje, że obrona oparta wyłącznie na filtrowaniu treści zawsze będzie o krok za atakującym. Liczy się nawyk: zweryfikuj domenę, zanim zaufasz — niezależnie od tego, czy link przyszedł tekstem, czy jako obrazek. Jeśli chcesz sprawdzić odporność swoich pracowników, zapytaj o kontrolowaną kampanię.
Źródła i dalsza lektura: CERT Polska, Sekurak.