Quishing to phishing za pomocą kodu QR — zeskanowanie fałszywego kodu prowadzi do strony kradnącej twoje dane logowania lub płatności. AI sprawiło, że te oszustwa są znacznie łatwiejsze do tworzenia i trudniejsze do wykrycia. Najbezpieczniejsze nawyki to: czytanie podglądu URL przed dotknięciem, nigdy nie wpisywanie danych płatności ani logowania po zeskanowaniu kodu QR w miejscu publicznym i ręczne wpisywanie adresów, gdy masz wątpliwości.
W ciągu ostatniego roku prawdopodobnie zeskanowałeś dziesiątki kodów QR — by sprawdzić menu restauracji, zapłacić za parkowanie lub gdzieś się zameldować. Ten mały kwadrat stał się teraz jednym z ulubionych narzędzi oszustów, a AI sprawiło, że tworzenie przekonujących fałszywych kodów stało się dla nich dramatycznie łatwiejsze. Sztuczka ta nazywa się quishingiem i rozprzestrzenia się tak szybko, że zarówno FBI, jak i FTC wydały ostrzeżenia na jej temat.
Czym jest quishing?
Słowo łączy „QR" i „phishing" — szerszą kategorię oszustw podszywających się pod zaufaną organizację w celu kradzieży danych logowania lub płatności.
Oto jak to działa: oszust tworzy kod QR, który po zeskanowaniu prowadzi do fałszywej strony wyglądającej dokładnie jak twój bank, portal płatności parkingowych twojego miasta lub strona śledzenia przesyłki firmy kurierskiej. Strona prosi o zalogowanie się, potwierdzenie płatności lub weryfikację tożsamości. Jeśli to zrobisz, twoje dane lub numer karty trafiają bezpośrednio do oszusta.
Powód, dla którego kody QR są szczególnie skuteczne dla oszustów: filtry bezpieczeństwa poczty e-mail i SMS są zaprojektowane do skanowania podejrzanych linków tekstowych — nie są zbudowane do odczytywania obrazów. Fałszywy kod QR osadzony w pliku PDF lub załączniku graficznym przechodzi przez większość filtrów niezauważony.
Gdzie pojawiają się fałszywe kody QR
Fałszywe kody pojawiają się w bardzo zwyczajnych miejscach:
Parkomaty. Naklejka z fałszywym kodem QR jest przyklejana na legalny kod płatności. Skanujesz ją, wpisujesz kartę kredytową na przekonującej fałszywej stronie „płatności parkingowej" — i parkomat nigdy nie rejestruje twojej płatności.
Menu restauracji. Większość menu QR jest bezpieczna, ale oszuści zostali przyłapani na naklejaniu naklejek na oryginalne kody. Fałszywa wersja przekierowuje do strony, która może prosić o kartę kredytową „w celu rezerwacji miejsca" lub oferować formularz rejestracji ze zniżką.
SMS o dostawie paczki. Otrzymujesz wiadomość z informacją, że dostawa jest opóźniona i prośbą o zeskanowanie kodu lub kliknięcie linku w celu zmiany terminu. Adres URL prowadzi do fałszywej strony z prośbą o adres i dane płatności.
Ulotki i plakaty. Fałszywe kody pojawiły się na ulotach komunalnych — „darmowa karta podarunkowa" lub „ekskluzywna oferta" — umieszczonych w pralniach, bibliotekach i holach budynków mieszkalnych.
Wiadomości e-mail i załączniki PDF. Wiadomość od rzekomego banku, dostawcy mediów lub firmy kurierskiej zawiera kod QR z prośbą o „weryfikację konta". Jest to najczęstsza wersja cyfrowa i ta, która najłatwiej omija oprogramowanie zabezpieczające pocztę e-mail.
Dlaczego AI znacznie pogorszyło sytuację
Zanim narzędzia do pisania AI stały się powszechnie dostępne, fałszywa wiadomość e-mail była często łatwa do rozpoznania: niezgrabne sformułowania, błędy gramatyczne, dziwna prośba, która nie brzmiała jak komunikat prawdziwego banku. To już nie jest wiarygodny wskaźnik.
Według raportu z lipca 2026 r. ataki phishingowe wspomagane przez AI wzrosły czternastokrotnie w ciągu jednego miesiąca, a phishing generowany przez AI stanowi teraz około 40% wszystkich ataków phishingowych. Oszuści używają AI do pisania doskonale profesjonalnych wiadomości e-mail, generowania realistycznie wyglądających fałszywych stron logowania i tworzenia kodów QR na dużą skalę — setki nieco różnych wersji skierowanych do różnych osób lub regionów.
Kombinacja jest szczególnie skuteczna: wiadomość e-mail wygląda jak od prawdziwej firmy, kod QR omija filtry tekstowe, a fałszywa strona wygląda identycznie jak prawdziwa. Jedynym momentem, w którym możesz to wychwycić, jest sprawdzenie adresu URL, do którego kod faktycznie prowadzi.
Jak sprawdzić kod QR przed dotknięciem
Nie musisz całkowicie przestać używać kodów QR. Potrzebujesz tylko jednego szybkiego nawyku: przeczytaj podgląd URL przed dotknięciem.
Na iPhone: Po skierowaniu aparatu na kod QR na górze ekranu pojawia się małe powiadomienie z docelowym adresem URL. Nie dotykaj natychmiast tego powiadomienia — najpierw przeczytaj adres.
Na Androidzie: Większość aplikacji aparatu dla Androida wyświetla mały pasek URL poniżej ramki kodu QR. Przeczytaj go przed dotknięciem.
Na co zwrócić uwagę w adresie URL:
- Czy domena odpowiada oczekiwanej organizacji? Aplikacja parkingowa może mieć adres „miasto.pl" lub „parkXYZ.pl" — nie powinno to być „parking-secure-pay.net" z losową domeną, której nie rozpoznajesz.
- Czy w adresie URL jest długi ciąg losowych znaków? Legalne kody QR do menu lub strony płatności mają zazwyczaj krótkie, przejrzyste adresy.
- Czy domena używa subtelnych błędów pisowni — „rnojbank.pl" zamiast „mojbank.pl"? Ta dodatkowa litera jest łatwa do przeoczenia na pierwszy rzut oka.
Bezpieczne nawyki na przyszłość
Wpisuj adresy ręcznie, gdy masz wątpliwości. Jeśli kod QR w wiadomości e-mail prosi o „weryfikację konta" w banku, nie skanuj go — otwórz aplikację banku lub wpisz znany adres w przeglądarce. FTC zaleca to jako główną wskazówkę dotyczącą bezpieczeństwa kodów QR.
Nigdy nie wpisuj danych płatności ani logowania po zeskanowaniu publicznego kodu. Jeśli parkomat, plakat lub jakikolwiek publiczny kod QR prosi o kartę kredytową lub hasło, zatrzymaj się. Legalne aplikacje parkingowe i publiczne systemy płatności pozwalają płacić przez sprawdzoną aplikację, którą już masz, lub akceptują kartę bezpośrednio przy parkomacie. Nie potrzebują, byś wpisywał pełny numer karty na stronie osiągniętej przez naklejkę QR.
Sprawdzaj naklejki. Przed zeskanowaniem kodu QR na powierzchni fizycznej — parkomacie, karciku stołowym, plakacie — sprawdź, czy kod jest bezpośrednio wydrukowany, czy jest na nim krawędź naklejki. Naklejka przyklejona na legalny kod jest najczęstszą fizyczną formą tego oszustwa.
Bądź szczególnie sceptyczny wobec kodów QR w wiadomościach e-mail. Prawdziwe banki, dostawcy mediów i firmy kurierskie rzadko potrzebują, byś skanował kod QR. Mają aplikacje i strony internetowe, do których możesz dotrzeć bezpośrednio. Nieoczekiwana wiadomość e-mail zawierająca kod QR jest sygnałem alarmowym, nawet jeśli identyfikacja wizualna wygląda prawidłowo.
Na co uważać
Te nawyki przechwycą większość prób quishingu, ale żadna weryfikacja nie jest niezawodna. Oszuści stale udoskonalają swoje techniki, a fałszywe strony, które tworzą, są czasem wizualnie nieodróżnialne od prawdziwych. Jeśli wpisałeś informacje po zeskanowaniu kodu, a potem miałeś wątpliwości, działaj szybko: zmień hasło, zadzwoń do banku i zgłoś incydent na reportfraud.ftc.gov. Im szybciej działasz, tym większe szanse na ograniczenie ewentualnych szkód.
Jedna rzecz, której ten przewodnik nie obejmuje: telefony uzupełniające wspomagane przez AI, które czasem towarzyszą oszustwom QR. Oszust może zadzwonić wkrótce po zeskanowaniu kodu, twierdząc, że „weryfikuje płatność" i prosząc o dane karty, których nie wpisałeś na fałszywej stronie. Jeśli po zeskanowaniu kodu QR otrzymasz nieoczekiwany telefon, rozłącz się i zadzwoń do organizacji bezpośrednio pod numer, który sam wyszukasz.
Co sprawdzić w następnej kolejności
Quishing jest częścią szerszej fali oszustw napędzanych przez AI atakujących skrzynki odbiorcze — Jak rozpoznać e-maile phishingowe generowane przez AI omawia oznaki, że wiadomość nie została napisana przez człowieka. A jeśli oprócz podejrzanych wiadomości otrzymujesz podejrzane telefony, Najlepsze blokery połączeń oszukańczych z AI przeprowadza cię przez narzędzia, które mogą pomóc je filtrować.


