Nowe oszustwo z kodami QR wspomagane przez AI — i jak go unikać

Bezpieczeństwo i oszustwa Guide7 min czytania·Zaktualizowano 11 lipca 2026
Krótka odpowiedź

Quishing to phishing za pomocą kodu QR — zeskanowanie fałszywego kodu prowadzi do strony kradnącej twoje dane logowania lub płatności. AI sprawiło, że te oszustwa są znacznie łatwiejsze do tworzenia i trudniejsze do wykrycia. Najbezpieczniejsze nawyki to: czytanie podglądu URL przed dotknięciem, nigdy nie wpisywanie danych płatności ani logowania po zeskanowaniu kodu QR w miejscu publicznym i ręczne wpisywanie adresów, gdy masz wątpliwości.

W ciągu ostatniego roku prawdopodobnie zeskanowałeś dziesiątki kodów QR — by sprawdzić menu restauracji, zapłacić za parkowanie lub gdzieś się zameldować. Ten mały kwadrat stał się teraz jednym z ulubionych narzędzi oszustów, a AI sprawiło, że tworzenie przekonujących fałszywych kodów stało się dla nich dramatycznie łatwiejsze. Sztuczka ta nazywa się quishingiem i rozprzestrzenia się tak szybko, że zarówno FBI, jak i FTC wydały ostrzeżenia na jej temat.

Czym jest quishing?

Słowo łączy „QR" i „phishing" — szerszą kategorię oszustw podszywających się pod zaufaną organizację w celu kradzieży danych logowania lub płatności.

Oto jak to działa: oszust tworzy kod QR, który po zeskanowaniu prowadzi do fałszywej strony wyglądającej dokładnie jak twój bank, portal płatności parkingowych twojego miasta lub strona śledzenia przesyłki firmy kurierskiej. Strona prosi o zalogowanie się, potwierdzenie płatności lub weryfikację tożsamości. Jeśli to zrobisz, twoje dane lub numer karty trafiają bezpośrednio do oszusta.

Powód, dla którego kody QR są szczególnie skuteczne dla oszustów: filtry bezpieczeństwa poczty e-mail i SMS są zaprojektowane do skanowania podejrzanych linków tekstowych — nie są zbudowane do odczytywania obrazów. Fałszywy kod QR osadzony w pliku PDF lub załączniku graficznym przechodzi przez większość filtrów niezauważony.

Gdzie pojawiają się fałszywe kody QR

Fałszywe kody pojawiają się w bardzo zwyczajnych miejscach:

Parkomaty. Naklejka z fałszywym kodem QR jest przyklejana na legalny kod płatności. Skanujesz ją, wpisujesz kartę kredytową na przekonującej fałszywej stronie „płatności parkingowej" — i parkomat nigdy nie rejestruje twojej płatności.

Menu restauracji. Większość menu QR jest bezpieczna, ale oszuści zostali przyłapani na naklejaniu naklejek na oryginalne kody. Fałszywa wersja przekierowuje do strony, która może prosić o kartę kredytową „w celu rezerwacji miejsca" lub oferować formularz rejestracji ze zniżką.

SMS o dostawie paczki. Otrzymujesz wiadomość z informacją, że dostawa jest opóźniona i prośbą o zeskanowanie kodu lub kliknięcie linku w celu zmiany terminu. Adres URL prowadzi do fałszywej strony z prośbą o adres i dane płatności.

Ulotki i plakaty. Fałszywe kody pojawiły się na ulotach komunalnych — „darmowa karta podarunkowa" lub „ekskluzywna oferta" — umieszczonych w pralniach, bibliotekach i holach budynków mieszkalnych.

Wiadomości e-mail i załączniki PDF. Wiadomość od rzekomego banku, dostawcy mediów lub firmy kurierskiej zawiera kod QR z prośbą o „weryfikację konta". Jest to najczęstsza wersja cyfrowa i ta, która najłatwiej omija oprogramowanie zabezpieczające pocztę e-mail.

Dlaczego AI znacznie pogorszyło sytuację

Zanim narzędzia do pisania AI stały się powszechnie dostępne, fałszywa wiadomość e-mail była często łatwa do rozpoznania: niezgrabne sformułowania, błędy gramatyczne, dziwna prośba, która nie brzmiała jak komunikat prawdziwego banku. To już nie jest wiarygodny wskaźnik.

Według raportu z lipca 2026 r. ataki phishingowe wspomagane przez AI wzrosły czternastokrotnie w ciągu jednego miesiąca, a phishing generowany przez AI stanowi teraz około 40% wszystkich ataków phishingowych. Oszuści używają AI do pisania doskonale profesjonalnych wiadomości e-mail, generowania realistycznie wyglądających fałszywych stron logowania i tworzenia kodów QR na dużą skalę — setki nieco różnych wersji skierowanych do różnych osób lub regionów.

Kombinacja jest szczególnie skuteczna: wiadomość e-mail wygląda jak od prawdziwej firmy, kod QR omija filtry tekstowe, a fałszywa strona wygląda identycznie jak prawdziwa. Jedynym momentem, w którym możesz to wychwycić, jest sprawdzenie adresu URL, do którego kod faktycznie prowadzi.

Jak sprawdzić kod QR przed dotknięciem

Nie musisz całkowicie przestać używać kodów QR. Potrzebujesz tylko jednego szybkiego nawyku: przeczytaj podgląd URL przed dotknięciem.

Na iPhone: Po skierowaniu aparatu na kod QR na górze ekranu pojawia się małe powiadomienie z docelowym adresem URL. Nie dotykaj natychmiast tego powiadomienia — najpierw przeczytaj adres.

Na Androidzie: Większość aplikacji aparatu dla Androida wyświetla mały pasek URL poniżej ramki kodu QR. Przeczytaj go przed dotknięciem.

Na co zwrócić uwagę w adresie URL:

  • Czy domena odpowiada oczekiwanej organizacji? Aplikacja parkingowa może mieć adres „miasto.pl" lub „parkXYZ.pl" — nie powinno to być „parking-secure-pay.net" z losową domeną, której nie rozpoznajesz.
  • Czy w adresie URL jest długi ciąg losowych znaków? Legalne kody QR do menu lub strony płatności mają zazwyczaj krótkie, przejrzyste adresy.
  • Czy domena używa subtelnych błędów pisowni — „rnojbank.pl" zamiast „mojbank.pl"? Ta dodatkowa litera jest łatwa do przeoczenia na pierwszy rzut oka.

Bezpieczne nawyki na przyszłość

Wpisuj adresy ręcznie, gdy masz wątpliwości. Jeśli kod QR w wiadomości e-mail prosi o „weryfikację konta" w banku, nie skanuj go — otwórz aplikację banku lub wpisz znany adres w przeglądarce. FTC zaleca to jako główną wskazówkę dotyczącą bezpieczeństwa kodów QR.

Nigdy nie wpisuj danych płatności ani logowania po zeskanowaniu publicznego kodu. Jeśli parkomat, plakat lub jakikolwiek publiczny kod QR prosi o kartę kredytową lub hasło, zatrzymaj się. Legalne aplikacje parkingowe i publiczne systemy płatności pozwalają płacić przez sprawdzoną aplikację, którą już masz, lub akceptują kartę bezpośrednio przy parkomacie. Nie potrzebują, byś wpisywał pełny numer karty na stronie osiągniętej przez naklejkę QR.

Sprawdzaj naklejki. Przed zeskanowaniem kodu QR na powierzchni fizycznej — parkomacie, karciku stołowym, plakacie — sprawdź, czy kod jest bezpośrednio wydrukowany, czy jest na nim krawędź naklejki. Naklejka przyklejona na legalny kod jest najczęstszą fizyczną formą tego oszustwa.

Bądź szczególnie sceptyczny wobec kodów QR w wiadomościach e-mail. Prawdziwe banki, dostawcy mediów i firmy kurierskie rzadko potrzebują, byś skanował kod QR. Mają aplikacje i strony internetowe, do których możesz dotrzeć bezpośrednio. Nieoczekiwana wiadomość e-mail zawierająca kod QR jest sygnałem alarmowym, nawet jeśli identyfikacja wizualna wygląda prawidłowo.

Na co uważać

Te nawyki przechwycą większość prób quishingu, ale żadna weryfikacja nie jest niezawodna. Oszuści stale udoskonalają swoje techniki, a fałszywe strony, które tworzą, są czasem wizualnie nieodróżnialne od prawdziwych. Jeśli wpisałeś informacje po zeskanowaniu kodu, a potem miałeś wątpliwości, działaj szybko: zmień hasło, zadzwoń do banku i zgłoś incydent na reportfraud.ftc.gov. Im szybciej działasz, tym większe szanse na ograniczenie ewentualnych szkód.

Jedna rzecz, której ten przewodnik nie obejmuje: telefony uzupełniające wspomagane przez AI, które czasem towarzyszą oszustwom QR. Oszust może zadzwonić wkrótce po zeskanowaniu kodu, twierdząc, że „weryfikuje płatność" i prosząc o dane karty, których nie wpisałeś na fałszywej stronie. Jeśli po zeskanowaniu kodu QR otrzymasz nieoczekiwany telefon, rozłącz się i zadzwoń do organizacji bezpośrednio pod numer, który sam wyszukasz.

Co sprawdzić w następnej kolejności

Quishing jest częścią szerszej fali oszustw napędzanych przez AI atakujących skrzynki odbiorcze — Jak rozpoznać e-maile phishingowe generowane przez AI omawia oznaki, że wiadomość nie została napisana przez człowieka. A jeśli oprócz podejrzanych wiadomości otrzymujesz podejrzane telefony, Najlepsze blokery połączeń oszukańczych z AI przeprowadza cię przez narzędzia, które mogą pomóc je filtrować.

Opublikowano 11 lipca 2026 · Zaktualizowano 11 lipca 2026Jak testujemy →

Często zadawane pytania

Czym jest quishing?
Quishing to skrót od QR code phishing (phishing za pomocą kodu QR). Oszuści umieszczają fałszywy kod QR — na naklejce, w wiadomości e-mail lub w SMS — który przekierowuje cię na przekonującą fałszywą stronę internetową zaprojektowaną w celu kradzieży hasła, numeru karty kredytowej lub innych danych osobowych. Nazwa łączy 'QR' i 'phishing', czyli szerszą kategorię sztuczek podszywających się pod zaufane organizacje w celu kradzieży danych uwierzytelniających.
Dlaczego oszuści używają kodów QR zamiast zwykłych linków?
Zwykły link phishingowy wyświetla rzeczywisty adres URL jako tekst, który filtry bezpieczeństwa poczty e-mail i uważni czytelnicy często rozpoznają. Kod QR to obraz — oprogramowanie zabezpieczające pocztę e-mail skanuje tekst, nie obrazy, więc fałszywy kod QR osadzony w pliku PDF lub załączniku graficznym przechodzi przez większość filtrów niezauważony. Nie można też spojrzeć na kod QR i wiedzieć, dokąd prowadzi, tak jak można najeść kursorem na hiperłącze na komputerze stacjonarnym.
Jak sprawdzić, dokąd prowadzi kod QR, zanim go dotknę?
Na większości smartfonów skierowanie aparatu na kod QR wyświetla mały podgląd adresu URL przed dotknięciem — szukaj tego podglądu i uważnie go przeczytaj. Na iPhone pojawia się jako powiadomienie na górze ekranu; na Androidzie pojawia się tuż poniżej ramki kodu QR. Jeśli domena w podglądzie nie odpowiada oczekiwanej organizacji, nie dotykaj.
Czy kody QR w menu restauracji są bezpieczne?
Większość menu QR restauracji jest całkowicie legalna — prowadzą do pliku PDF lub prostej strony internetowej stworzonej przez restaurację. Ryzyko stanowi naklejka umieszczona na oryginalnym kodzie, co jest łatwe do wykrycia: szukaj krawędzi naklejki lub nieco innego papieru nad wydrukowanym kodem. Jeśli coś wygląda jak doklejone, poinformuj personel i nie skanuj.
Co powinienem zrobić, jeśli już zeskanowałem podejrzany kod QR?
Jeśli dotknąłeś linku, ale nie wpisałeś żadnych informacji, zamknij przeglądarkę — prawie na pewno jesteś bezpieczny. Jeśli wpisałeś nazwę użytkownika i hasło, natychmiast zmień to hasło na każdym koncie, gdzie go używasz, i włącz uwierzytelnianie dwuskładnikowe, jeśli jeszcze tego nie zrobiłeś. Jeśli wpisałeś numer karty kredytowej, natychmiast zadzwoń do banku. Zgłoś podejrzany kod na reportfraud.ftc.gov.
Czy mogę ufać kodom QR w wiadomościach e-mail od firm, które znam?
Zachowaj ostrożność. Oszuści celowo kopiują identyfikację wizualną znanych firm — banków, firm kurierskich, dostawców mediów — ponieważ znajome logo obniża twoją czujność. FTC odradza skanowanie kodów QR z nieoczekiwanych wiadomości e-mail, nawet jeśli wyglądają oficjalnie. Zamiast tego wejdź bezpośrednio na stronę firmy wpisując adres samodzielnie, lub zadzwoń pod numer podany na odwrocie karty.
Radim S.
Założyciel i redaktor

Radim jest programistą, który na co dzień buduje z AI, a wieczorami tłumaczy go członkom rodziny, których nie interesuje, jak to działa — tylko co może dla nich zrobić. Każdy przewodnik jest ręcznie testowany przed publikacją.