Nový QR kód podvod poháněný AI — a jak se mu vyhnout

Bezpečnost a podvody Guide7 min čtení·Aktualizováno 11. července 2026
Stručná odpověď

Quishing je QR kód phishing — naskenování falešného kódu vás přesměruje na web, který ukradne vaše přihlašovací nebo platební údaje. AI tyto podvody výrazně usnadnila a ztížila jejich odhalení. Nejbezpečnější návyky jsou přečíst si URL adresu před klepnutím, nikdy nezadávat platební nebo přihlašovací údaje po naskenování QR kódu na veřejném místě a adresy, v nichž si nejste jisti, zadávat ručně.

Pravděpodobně jste za poslední rok naskenovali desítky QR kódů — k zobrazení restauračního menu, zaplacení parkování nebo přihlášení někam. Ten malý čtvereček se stal jedním z oblíbených nástrojů podvodníků a AI jim dramaticky usnadnila tvorbu přesvědčivých falešných kódů. Trik se nazývá quishing a šíří se tak rychle, že před ním varuje jak FBI, tak FTC.

Co je quishing?

Slovo kombinuje „QR" a „phishing" — obecnější kategorii podvodů, které se vydávají za důvěryhodnou organizaci, aby vám ukradly přihlašovací nebo platební údaje.

Funguje to takto: podvodník vytvoří QR kód, který vás po naskenování přesměruje na falešný web vypadající přesně jako váš internet banking, portál pro placení parkování nebo sledování zásilky od přepravní firmy. Stránka vás vyzve k přihlášení, potvrzení platby nebo ověření totožnosti. Pokud tak učiníte, vaše přihlašovací údaje nebo číslo karty putují rovnou k podvodníkovi.

Důvod, proč jsou QR kódy pro podvodníky obzvlášť účinné: bezpečnostní filtry e-mailů a textových zpráv jsou navrženy ke skenování podezřelých textových odkazů — nejsou stavěny ke čtení obrázků. Falešný QR kód vložený do PDF nebo obrazové přílohy projde většinou filtrů bez povšimnutí.

Kde se falešné QR kódy objevují

Falešné kódy se vyskytují na zcela obyčejných místech:

Parkovací automaty. Nálepka s falešným QR kódem se přilepí přes legitimní platební kód. Naskenujete ji, zadáte kreditní kartu na přesvědčivé falešné „parkovací platební" stránce a automat vaši platbu nezaznamená.

Restaurační menu. Většina QR jídelníčků je bezpečná, podvodníci však byli přistiženi při lepení nálepek přes originální kódy. Falešná verze vás přesměruje na stránku, která může žádat číslo karty „pro rezervaci místa" nebo nabízet slevový formulář.

Zprávy o doručení zásilky. Dostanete zprávu, že vaše zásilka je zpožděna, a budete vyzváni k naskenování kódu nebo kliknutí na odkaz pro přeplánování. URL vede na falešnou stránku žádající vaši adresu a platební údaje.

Letáky a plakáty. Falešné kódy se objevují na komunitních letácích — „dárkový poukaz zdarma" nebo „exkluzivní nabídka" — umístěných v prádelnách, knihovnách a vstupních halách bytových domů.

E-maily a PDF přílohy. Zpráva od údajné banky, poskytovatele utilit nebo přepravní firmy obsahuje QR kód vyzývající k „ověření účtu." Toto je nejčastější digitální varianta a ta, která nejsnadněji projde bezpečnostním softwarem e-mailu.

Proč AI situaci výrazně zhoršila

Dříve, než se nástroje pro psaní s využitím AI staly široko dostupnými, byl podvodný e-mail často snadné odhalit: neohrabané psaní, gramatické chyby, zvláštní žádost, která nezněla jako komunikace skutečné banky. To už není spolehlivý indikátor.

Podle zprávy z července 2026 phishingové útoky s využitím AI vzrostly čtrnáctinásobně během jediného měsíce a phishing generovaný AI nyní tvoří přibližně 40 % všech phishingových útoků. Podvodníci využívají AI k psaní dokonale profesionálních e-mailů, vytváření realisticky vypadajících falešných přihlašovacích stránek a generování QR kódů ve velkém měřítku — stovky mírně odlišných verzí cílených na různé lidi nebo regiony.

Tato kombinace je zvlášť účinná: e-mail vypadá, jako by pocházel od skutečné firmy, QR kód obchází textové filtry a falešný web je vizuálně totožný s tím pravým. Jedinou chvílí, kdy to můžete zachytit, je kontrola URL adresy, na kterou kód skutečně ukazuje.

Jak zkontrolovat QR kód před klepnutím

Nemusíte přestat QR kódy úplně používat. Stačí si osvojit jeden rychlý návyk: před klepnutím si přečtěte náhled URL.

Na iPhonu: Když namíříte kameru na QR kód, v horní části obrazovky se zobrazí malé oznámení s cílovou URL adresou. Neklepejte na oznámení okamžitě — nejdříve si adresu přečtěte.

Na Androidu: Většina fotoaparátů v Androidu zobrazuje malý řádek s URL adresou pod rámečkem QR kódu. Přečtěte si ho před klepnutím.

Na co si dát pozor v URL adrese:

  • Odpovídá doména organizaci, kterou byste očekávali? Aplikace pro parkování může mít adresu „mesto.cz" nebo „parkXYZ.com" — nemělo by to být „parking-secure-pay.net" s náhodnou doménou, kterou neznáte.
  • Je v URL adrese dlouhý řetězec náhodných znaků? Legitimní QR kódy pro menu nebo platební stránku mívají čisté, krátké adresy.
  • Obsahuje doména drobné překlepy — „rnybank.cz" místo „mybank.cz"? Takové písmeno navíc je při rychlém pohledu snadné přehlédnout.

Bezpečné návyky do budoucna

Při pochybnostech zadávejte adresy ručně. Pokud vás QR kód v e-mailu vyzývá k „ověření účtu" u vaší banky, neskenujte ho — otevřete aplikaci banky nebo zadejte adresu, kterou znáte, přímo do prohlížeče. FTC toto doporučuje jako primární radu pro bezpečné nakládání s QR kódy.

Po naskenování veřejného kódu nikdy nezadávejte platební nebo přihlašovací údaje. Pokud parkometr, plakát nebo jakýkoli veřejný QR kód žádá číslo kreditní karty nebo heslo, zastavte se. Legitimní parkovací aplikace a veřejné platební systémy vám umožní platit přes zavedenou aplikaci, kterou již máte, nebo přijmout platbu kartou přímo u automatu. Nepotřebují, abyste zadávali celé číslo karty na webu dostupném přes QR nálepku.

Kontrolujte nálepky. Před naskenováním QR kódu na fyzickém povrchu — automatu, stolní kartičce, plakátu — zkontrolujte, zda je kód přímo vytištěn, nebo zda má na sobě okraj nálepky. Nálepka přilepená přes legitimní kód je nejčastější fyzická varianta tohoto podvodu.

Buďte zvlášť ostražití s QR kódy v e-mailech. Skutečné banky, poskytovatelé utilit ani přepravní firmy potřebují, abyste skenovali QR kód, jen zřídka. Mají aplikace a weby, na které se můžete dostat přímo. Neočekávaný e-mail obsahující QR kód je varovný signál i v případě, že branding vypadá správně.

Na co si dát pozor

Tyto návyky zachytí většinu pokusů o quishing, ale žádná kontrola není neomylná. Podvodníci svou techniku neustále zdokonalují a falešné stránky, které vytvářejí, jsou někdy vizuálně k nerozeznání od těch pravých. Pokud jste po naskenování kódu zadali informace a pak jste pocítili pochybnosti, jednejte rychle: změňte heslo, zavolejte do banky a nahlaste incident na reportfraud.ftc.gov. Čím dříve jednáte, tím lepší máte šanci omezit případné škody.

Jedna věc, kterou tento průvodce nepokrývá: telefonní hovory s využitím AI, které quishing podvody někdy doprovázejí. Podvodník může zavolat krátce po naskenování kódu a tvrdit, že „ověřuje platbu," přičemž žádá údaje o kartě, které jste na falešném webu nezadali. Pokud po naskenování QR kódu dostanete neočekávaný hovor, zavěste a zavolejte organizaci přímo na číslo, které si sami vyhledáte.

Co zkusit jako další krok

Quishing je součástí širší vlny podvodů s využitím AI, které zasahují e-mailové schránky — Jak rozpoznat AI phishingové e-maily pokrývá znaky toho, že zpráva nebyla napsána člověkem. A pokud spolu s podezřelými zprávami dostáváte podezřelé hovory, Nejlepší blokátory podvodných hovorů s AI vás provede nástroji, které s tím mohou pomoci.

Publikováno 11. července 2026 · Aktualizováno 11. července 2026Jak testujeme →

Nejčastější otázky

Co je quishing?
Quishing je zkratka pro QR kód phishing. Podvodníci umístí falešný QR kód — na nálepku, do e-mailu nebo do textové zprávy — který vás přesměruje na přesvědčivý falešný web navržený ke krádeži hesla, čísla kreditní karty nebo jiných osobních údajů. Název kombinuje 'QR' a 'phishing', což je obecná kategorie triků vydávajících se za důvěryhodné organizace za účelem krádeže přihlašovacích údajů.
Proč podvodníci používají QR kódy místo běžných odkazů?
Běžný phishingový odkaz zobrazuje skutečnou URL adresu jako text, který bezpečnostní filtry e-mailů a obezřetní čtenáři mohou odhalit. QR kód je obrázek — bezpečnostní software e-mailu skenuje text, ne obrázky, takže falešný QR kód v PDF nebo jako obrazová příloha projde většinou filtrů bez povšimnutí. Navíc u QR kódu nelze na první pohled zjistit, kam vede, tak jako při najetí myší na hypertextový odkaz na počítači.
Jak zjistím, kam QR kód vede, než na něj klepnu?
Na většině chytrých telefonů se při namíření kamery na QR kód zobrazí malý náhled URL adresy ještě před klepnutím — hledejte tento náhled a pečlivě si adresu přečtěte. Na iPhonu se zobrazí jako oznámení v horní části obrazovky; na Androidu se ukáže pod rámečkem QR kódu. Pokud doména v náhledu neodpovídá organizaci, kterou očekáváte — například 'parking-pay.net' místo aplikace vašeho města — neklepejte.
Jsou QR kódy v restauračních jídelních lístcích bezpečné?
Většina restauračních QR jídelníčků je zcela legitimní — vedou na PDF nebo jednoduchou webovou stránku restaurace. Riziko představují nálepky přilepené přes originální kód, což lze snadno odhalit: hledejte okraj nálepky nebo mírně odlišný papír přes tištěný kód. Pokud vypadá, jako by tam něco bylo přidáno, řekněte to personálu a kód neskenujte.
Co mám dělat, pokud jsem již podezřelý QR kód naskenoval?
Pokud jste klepli na odkaz, ale nezadali žádné informace, zavřete prohlížeč — téměř jistě jste v pořádku. Pokud jste zadali uživatelské jméno a heslo, okamžitě heslo změňte na každém účtu, kde ho používáte, a zapněte dvoufázové ověření. Pokud jste zadali číslo kreditní karty, okamžitě zavolejte do banky. Podezřelý kód nahlaste na reportfraud.ftc.gov.
Mohu věřit QR kódům v e-mailech od firem, které znám?
Buďte opatrní. Podvodníci záměrně kopírují branding dobře známých firem — bank, doručovacích služeb, poskytovatelů utilit — protože známé logo snižuje vaši ostražitost. FTC doporučuje neskenovat QR kódy z neočekávaných e-mailů, i když vypadají úředně. Místo toho přejděte přímo na web společnosti zadáním adresy, nebo zavolejte na číslo uvedené na zadní straně vaší karty.
Radim S.
Zakladatel a editor

Radim je softwarový vývojář, který přes den pracuje s AI a večer ji vysvětluje členům rodiny, kteří se nezajímají o to, jak funguje — jen o to, co pro ně může udělat. Každý průvodce je ručně otestován před zveřejněním.