Quishing je QR kód phishing — naskenování falešného kódu vás přesměruje na web, který ukradne vaše přihlašovací nebo platební údaje. AI tyto podvody výrazně usnadnila a ztížila jejich odhalení. Nejbezpečnější návyky jsou přečíst si URL adresu před klepnutím, nikdy nezadávat platební nebo přihlašovací údaje po naskenování QR kódu na veřejném místě a adresy, v nichž si nejste jisti, zadávat ručně.
Pravděpodobně jste za poslední rok naskenovali desítky QR kódů — k zobrazení restauračního menu, zaplacení parkování nebo přihlášení někam. Ten malý čtvereček se stal jedním z oblíbených nástrojů podvodníků a AI jim dramaticky usnadnila tvorbu přesvědčivých falešných kódů. Trik se nazývá quishing a šíří se tak rychle, že před ním varuje jak FBI, tak FTC.
Co je quishing?
Slovo kombinuje „QR" a „phishing" — obecnější kategorii podvodů, které se vydávají za důvěryhodnou organizaci, aby vám ukradly přihlašovací nebo platební údaje.
Funguje to takto: podvodník vytvoří QR kód, který vás po naskenování přesměruje na falešný web vypadající přesně jako váš internet banking, portál pro placení parkování nebo sledování zásilky od přepravní firmy. Stránka vás vyzve k přihlášení, potvrzení platby nebo ověření totožnosti. Pokud tak učiníte, vaše přihlašovací údaje nebo číslo karty putují rovnou k podvodníkovi.
Důvod, proč jsou QR kódy pro podvodníky obzvlášť účinné: bezpečnostní filtry e-mailů a textových zpráv jsou navrženy ke skenování podezřelých textových odkazů — nejsou stavěny ke čtení obrázků. Falešný QR kód vložený do PDF nebo obrazové přílohy projde většinou filtrů bez povšimnutí.
Kde se falešné QR kódy objevují
Falešné kódy se vyskytují na zcela obyčejných místech:
Parkovací automaty. Nálepka s falešným QR kódem se přilepí přes legitimní platební kód. Naskenujete ji, zadáte kreditní kartu na přesvědčivé falešné „parkovací platební" stránce a automat vaši platbu nezaznamená.
Restaurační menu. Většina QR jídelníčků je bezpečná, podvodníci však byli přistiženi při lepení nálepek přes originální kódy. Falešná verze vás přesměruje na stránku, která může žádat číslo karty „pro rezervaci místa" nebo nabízet slevový formulář.
Zprávy o doručení zásilky. Dostanete zprávu, že vaše zásilka je zpožděna, a budete vyzváni k naskenování kódu nebo kliknutí na odkaz pro přeplánování. URL vede na falešnou stránku žádající vaši adresu a platební údaje.
Letáky a plakáty. Falešné kódy se objevují na komunitních letácích — „dárkový poukaz zdarma" nebo „exkluzivní nabídka" — umístěných v prádelnách, knihovnách a vstupních halách bytových domů.
E-maily a PDF přílohy. Zpráva od údajné banky, poskytovatele utilit nebo přepravní firmy obsahuje QR kód vyzývající k „ověření účtu." Toto je nejčastější digitální varianta a ta, která nejsnadněji projde bezpečnostním softwarem e-mailu.
Proč AI situaci výrazně zhoršila
Dříve, než se nástroje pro psaní s využitím AI staly široko dostupnými, byl podvodný e-mail často snadné odhalit: neohrabané psaní, gramatické chyby, zvláštní žádost, která nezněla jako komunikace skutečné banky. To už není spolehlivý indikátor.
Podle zprávy z července 2026 phishingové útoky s využitím AI vzrostly čtrnáctinásobně během jediného měsíce a phishing generovaný AI nyní tvoří přibližně 40 % všech phishingových útoků. Podvodníci využívají AI k psaní dokonale profesionálních e-mailů, vytváření realisticky vypadajících falešných přihlašovacích stránek a generování QR kódů ve velkém měřítku — stovky mírně odlišných verzí cílených na různé lidi nebo regiony.
Tato kombinace je zvlášť účinná: e-mail vypadá, jako by pocházel od skutečné firmy, QR kód obchází textové filtry a falešný web je vizuálně totožný s tím pravým. Jedinou chvílí, kdy to můžete zachytit, je kontrola URL adresy, na kterou kód skutečně ukazuje.
Jak zkontrolovat QR kód před klepnutím
Nemusíte přestat QR kódy úplně používat. Stačí si osvojit jeden rychlý návyk: před klepnutím si přečtěte náhled URL.
Na iPhonu: Když namíříte kameru na QR kód, v horní části obrazovky se zobrazí malé oznámení s cílovou URL adresou. Neklepejte na oznámení okamžitě — nejdříve si adresu přečtěte.
Na Androidu: Většina fotoaparátů v Androidu zobrazuje malý řádek s URL adresou pod rámečkem QR kódu. Přečtěte si ho před klepnutím.
Na co si dát pozor v URL adrese:
- Odpovídá doména organizaci, kterou byste očekávali? Aplikace pro parkování může mít adresu „mesto.cz" nebo „parkXYZ.com" — nemělo by to být „parking-secure-pay.net" s náhodnou doménou, kterou neznáte.
- Je v URL adrese dlouhý řetězec náhodných znaků? Legitimní QR kódy pro menu nebo platební stránku mívají čisté, krátké adresy.
- Obsahuje doména drobné překlepy — „rnybank.cz" místo „mybank.cz"? Takové písmeno navíc je při rychlém pohledu snadné přehlédnout.
Bezpečné návyky do budoucna
Při pochybnostech zadávejte adresy ručně. Pokud vás QR kód v e-mailu vyzývá k „ověření účtu" u vaší banky, neskenujte ho — otevřete aplikaci banky nebo zadejte adresu, kterou znáte, přímo do prohlížeče. FTC toto doporučuje jako primární radu pro bezpečné nakládání s QR kódy.
Po naskenování veřejného kódu nikdy nezadávejte platební nebo přihlašovací údaje. Pokud parkometr, plakát nebo jakýkoli veřejný QR kód žádá číslo kreditní karty nebo heslo, zastavte se. Legitimní parkovací aplikace a veřejné platební systémy vám umožní platit přes zavedenou aplikaci, kterou již máte, nebo přijmout platbu kartou přímo u automatu. Nepotřebují, abyste zadávali celé číslo karty na webu dostupném přes QR nálepku.
Kontrolujte nálepky. Před naskenováním QR kódu na fyzickém povrchu — automatu, stolní kartičce, plakátu — zkontrolujte, zda je kód přímo vytištěn, nebo zda má na sobě okraj nálepky. Nálepka přilepená přes legitimní kód je nejčastější fyzická varianta tohoto podvodu.
Buďte zvlášť ostražití s QR kódy v e-mailech. Skutečné banky, poskytovatelé utilit ani přepravní firmy potřebují, abyste skenovali QR kód, jen zřídka. Mají aplikace a weby, na které se můžete dostat přímo. Neočekávaný e-mail obsahující QR kód je varovný signál i v případě, že branding vypadá správně.
Na co si dát pozor
Tyto návyky zachytí většinu pokusů o quishing, ale žádná kontrola není neomylná. Podvodníci svou techniku neustále zdokonalují a falešné stránky, které vytvářejí, jsou někdy vizuálně k nerozeznání od těch pravých. Pokud jste po naskenování kódu zadali informace a pak jste pocítili pochybnosti, jednejte rychle: změňte heslo, zavolejte do banky a nahlaste incident na reportfraud.ftc.gov. Čím dříve jednáte, tím lepší máte šanci omezit případné škody.
Jedna věc, kterou tento průvodce nepokrývá: telefonní hovory s využitím AI, které quishing podvody někdy doprovázejí. Podvodník může zavolat krátce po naskenování kódu a tvrdit, že „ověřuje platbu," přičemž žádá údaje o kartě, které jste na falešném webu nezadali. Pokud po naskenování QR kódu dostanete neočekávaný hovor, zavěste a zavolejte organizaci přímo na číslo, které si sami vyhledáte.
Co zkusit jako další krok
Quishing je součástí širší vlny podvodů s využitím AI, které zasahují e-mailové schránky — Jak rozpoznat AI phishingové e-maily pokrývá znaky toho, že zpráva nebyla napsána člověkem. A pokud spolu s podezřelými zprávami dostáváte podezřelé hovory, Nejlepší blokátory podvodných hovorů s AI vás provede nástroji, které s tím mohou pomoci.


