Quishing – co to takiego? Wszystko co powinieneś wiedzieć

21/03/2025

Czas czytania: 7 minut

21/03/2025

Czas czytania: 7 minut

W świecie cyberbezpieczeństwa pojawiło się nowe zagrożenie – quishing. Coraz częściej pada pytanie: quishing co to właściwie za zjawisko? Najprościej mówiąc, jest to kolejna odsłona phishingu, polegająca na skanowaniu fałszywych kodów QR zamiast klikania w linki. W niniejszym artykule zostanie wyjaśnione, na czym polega ten scam, omówione zostaną powody jego skuteczności, sposoby jego rozpoznawania oraz metody ochrony.

Co to jest quishing?

Termin quishing powstał z połączenia słów „QR code” i „phishing”. Jest to nowa forma oszustwa internetowego, polegająca na wykorzystaniu kodów QR do zwodzenia użytkowników i kradzieży ich danych osobowych lub finansowych. Mówiąc prościej, to rodzaj ataku phishingowego (zob. co to jest phishing), w którym zamiast tradycyjnego linku ofiara otrzymuje obraz kodu QR prowadzącego do fałszywej strony lub aplikacji. Po zeskanowaniu takiego kodu przeglądarka internetowa przenosi użytkownika na spreparowaną witrynę, często łudząco podobną do prawdziwej strony banku, sklepu czy innej instytucji. Tam ofiara bywa proszona o podanie loginu, hasła, danych karty kredytowej lub innych wrażliwych informacji, które następnie trafiają prosto do oszustów.

Omawiany scam bywa trudniejszy do wychwycenia niż klasyczny phishing, gdyż kod QR nie ujawnia od razu, na jaki adres prowadzi. Nawet ostrożny użytkownik, który przed kliknięciem linku sprawdziłby dokładnie adres URL, w przypadku kodu QR może tego nie zrobić – smartfon po zeskanowaniu kodu od razu wyświetla stronę, często pokazując jedynie skrócony fragment adresu. Ofiara może więc nie zauważyć, że odwiedzana domena różni się od prawdziwej (np. zawiera literówki lub dziwne rozszerzenie). To sprawia, że jest bardzo niebezpieczny.

Dlaczego quishing jest skuteczny?

Omawiana metoda wykorzystuje fakt, że użytkownicy przyzwyczaili się do wygody skanowania kodów QR i rzadziej podchodzą do nich z podejrzliwością. Po pandemii kody QR stały się powszechne – służą do płatności, menu w restauracjach czy logowania się do aplikacji – dlatego wiele osób uważa je za bezpieczne. Oszuści wykorzystują to zaufanie. Tego typu atak unika także wykrycia przez niektóre filtry bezpieczeństwa. Tradycyjne systemy antyphishingowe analizują treść wiadomości i wychwytują podejrzane linki, ale w przypadku obrazu z kodem QR analiza jest trudniejsza. W efekcie złośliwy e-mail z obrazkiem kodu może ominąć filtr antyspamowy i trafić do skrzynki odbiorcy.

Istotnym czynnikiem skuteczności tego oszustwa jest również element ludzki – ciekawość lub presja czasu. Jeśli ofiara otrzymuje kod QR rzekomo z zaufanego źródła (np. banku, portalu aukcyjnego albo znajomego) z pilną prośbą o jego zeskanowanie, może ulec pokusie szybkiego działania bez namysłu. Brak od razu widocznego linku zmniejsza czujność – użytkownik nie dostrzega na pierwszy rzut oka nic podejrzanego. W rezultacie taka metoda często prowadzi do skutecznego wyłudzenia danych, zanim ofiara zorientuje się, że coś jest nie tak.

Potrzebujesz wsparcia we własnej sprawie?

Umów się na spotkanie

Pozostaw swój numer telefonu. Oddzwonimy w celu ustalenia dogodnego terminu

Jak rozpoznać quishing?

Fałszywy kod QR: przykłady

Aby lepiej zrozumieć, jak działa quishing, warto przeanalizować kilka konkretnych sytuacji. Jako przykłady posłużą następujące scenariusze:

Sprzedaż internetowa (platformy ogłoszeniowe) – oszust podaje się za zainteresowanego kupca na popularnym serwisie aukcyjnym (np. OLX lub Allegro). Kontaktuje się ze sprzedającym i informuje, że dokonał płatności za przedmiot, a potwierdzenie zamówienia oraz otrzymanie środków będą możliwe po zeskanowaniu załączonego kodu QR. Kod prowadzi do fałszywej strony logowania banku lub pośrednika płatności, gdzie sprzedający nieświadomie wpisuje swoje dane logowania albo dane karty – trafiają one prosto do przestępców.
Fałszywy mandat lub faktura – ofiara znajduje wydrukowaną kartkę z kodem QR (lub otrzymuje e-mail z kodem) udającą oficjalne wezwanie do zapłaty mandatu karnego czy zaległej faktury. Dokument wygląda autentycznie – zawiera np. logo urzędu skarbowego, policji lub firmy – ale po zeskanowaniu kodu następuje przekierowanie na stronę wyłudzającą dane płatnicze. Takie przypadki odnotowano m.in. w Polsce (np. fałszywe „mandaty” za wycieraczkami samochodów) oraz za granicą. Ofiary, sądząc że regulują prawdziwą należność, podają dane swoich kart płatniczych oszustom.
Media społecznościowe i komunikatory (młodzi użytkownicy) – przestępcy wyszukują potencjalne ofiary w mediach społecznościowych lub na forach dla młodzieży. Podszywają się pod rówieśników lub osoby oferujące atrakcyjne bonusy (np. darmowe przedmioty w grach). Następnie nakłaniają młodą osobę do zainstalowania określonej aplikacji i zeskanowania w niej przesłanego kodu QR pod pretekstem odbioru nagrody lub pomocy znajomemu. W rzeczywistości kod służy np. do sparowania urządzenia ofiary z aplikacją należącą do oszustów, co daje im dostęp do telefonu ofiary (wiadomości SMS, kontaktów itp.). Zdobyte w ten sposób informacje mogą zostać wykorzystane na wiele sposobów – oszuści najczęściej obciążają rachunek ofiary wysyłając drogie SMS-y Premium albo szantażują, bazując na przejętych wiadomościach i liście kontaktów. Co gorsza, uzyskany dostęp może posłużyć także do przejęcia kodów uwierzytelniających (jeśli ofiara używa do tego wiadomości SMS) lub do ataków na kolejne osoby z listy kontaktów, już z wykorzystaniem urządzenia ofiary.

Masz sprawę, którą chcesz omówić?

Porozmawiajmy o Twojej sytuacji

Zgłoś chęć rozmowy. Zamów konsultację telefoniczną

Kto jest najbardziej narażony na quishing?

Na ataki tego typu narażony może być praktycznie każdy nieostrożny internauta, ale specjaliści wskazują na kilka szczególnie zagrożonych grup. Przede wszystkim ofiarami padają często użytkownicy platform sprzedażowych i aukcyjnych. Osoby sprzedające przedmioty online mogą być mniej podejrzliwe wobec otrzymywanych linków czy kodów, zwłaszcza gdy spodziewają się kontaktu od klientów. Oszust wykorzystuje ekscytację związaną z szybką sprzedażą – sprzedawca, chcąc otrzymać zapłatę, wykonuje instrukcje przesłane przez rzekomego kupującego i skanuje przesłany kod.

Drugą grupą wysokiego ryzyka są młode osoby, w tym dzieci i nastolatki, które aktywnie korzystają z internetu. To właśnie one mogą łatwiej zaufać nowo poznanym znajomym online i podążać za ich instrukcjami. Przestępcy świadomie wybierają takie ofiary, licząc na ich niewiedzę i większą ufność. Jak pokazują ostrzeżenia organizacji takich jak CERT Polska, scenariusze z udziałem nieletnich niestety stają się coraz bardziej powszechne.

Nie znaczy to jednak, że inne osoby są bezpieczne. Każdy, kto korzysta z nowoczesnych technologii i nie zachowuje odpowiedniej ostrożności, może paść ofiarą takiego ataku. Szczególnie uważać powinny osoby zabiegane, przyzwyczajone do załatwiania spraw smartfonem „w biegu” – im najłatwiej podsunąć kod QR, odwrócić uwagę i wyłudzić dane. Również firmy i instytucje muszą szkolić swoich pracowników z zakresu podobnych zagrożeń, gdyż atak może być wymierzony także w organizacje (np. fałszywa faktura z kodem QR wysłana do działu księgowości).

Jak chronić się przed quishingiem?

Skuteczna ochrona wymaga połączenia wiedzy i ostrożności. Przede wszystkim należy traktować każdy otrzymany kod QR z ograniczonym zaufaniem – podobnie jak podejrzane linki. Jeśli komunikat od nieznajomego zawiera kod do zeskanowania, lepiej założyć, że to potencjalne oszustwo. Przed zeskanowaniem jakiegokolwiek kodu warto się zastanowić, na czym polega jego wykorzystanie i czy inicjatywa wyszła od samego użytkownika. W praktyce oznacza to, że np. żaden bank ani urząd raczej nie rozsyła kodów QR do logowania czy płatności bez uprzedniego kontaktu. Gdy mamy wątpliwości, można skorzystać z innej drogi: zamiast skanować kod z e-maila rzekomo od banku, lepiej samodzielnie wejść na oficjalną stronę banku (np. wpisując adres w przeglądarce albo używając aplikacji mobilnej).

Dobrym nawykiem jest sprawdzanie informacji po zeskanowaniu kodu. Wiele nowoczesnych smartfonów pozwala podejrzeć adres URL zaszyty w kodzie przed otwarciem strony – warto skorzystać z tej funkcji i upewnić się, że domena jest prawidłowa. Jeśli strona wymaga logowania lub podania danych, tym bardziej należy zweryfikować, czy adres jest bezpieczny (np. czy to dokładnie oficjalny adres danej instytucji). Włączenie uwierzytelniania dwuskładnikowego (2FA) w usługach internetowych również zwiększa bezpieczeństwo – nawet jeśli napastnik zdobędzie hasło, dodatkowy kod zabezpieczający może go powstrzymać przed dostępem do konta.

W przypadku firm kluczowe jest regularne szkolenie pracowników dotyczące najnowszych zagrożeń phishingowych. Należy uświadamiać personel, że e-maile z prośbą o pilne opłacenie faktury poprzez zeskanowanie kodu QR powinny budzić podejrzenia. Organizacje objęte regulacjami z zakresu cyberbezpieczeństwa (np. unijna dyrektywa NIS2¹) mają wręcz obowiązek wdrażać procedury chroniące przed takimi atakami oraz zgłaszać poważne incydenty bezpieczeństwa.

Co zrobić w sytuacji, gdy mimo zachowania ostrożności dojdzie do ataku? Przede wszystkim należy niezwłocznie zabezpieczyć swoje konta (np. zmieniając hasła, blokując karty płatnicze) oraz zawiadomić odpowiednie podmioty. Warto wiedzieć, gdzie zgłosić incydent – w Polsce są to organy ścigania (policja, prokuratura), a także wyspecjalizowane instytucje takie jak CERT Polska (zgłoszenia przyjmowane są przez portal incydent.cert.pl). Taki krok pomoże w ściganiu sprawców, a także może zapobiec podobnym atakom w przyszłości. Należy pamiętać, że samo rozumienie, quishing co to za zagrożenie, to dopiero pierwszy krok. Phishing (w tym także omawiana metoda) jest przestępstwem – polskie prawo przewiduje kary więzienia za oszustwa tego rodzaju, a sprawcy są pociągani do odpowiedzialności karnej. Ochrona to zatem nie tylko kwestia prywatnego bezpieczeństwa, ale i egzekwowania prawa w cyberprzestrzeni.

^{1. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80) ↩}

Autor wpisu:

Picture of Mariusz Krzyżanowski<br><font color="#C39E3A"; size=4> adwokat</font><br><br>

Mariusz Krzyżanowski
adwokat

Niniejsza publikacja została opracowana z najwyższą starannością, jednak niektóre informacje przedstawiono w sposób skrócony. W związku z tym artykuł ma wyłącznie charakter poglądowy, a zawarte w nim treści nie mogą zastępować pełnej i szczegółowej analizy danego zagadnienia. Kancelaria Adwokacka Mariusz Krzyżanowski nie ponosi odpowiedzialności za jakiekolwiek straty wynikające z działań podjętych lub zaniechanych na podstawie niniejszej publikacji. W celu omówienia indywidualnej sprawy zapraszamy do kontaktu i podjęcia współpracy.