Quishing — QR Code Phishing na wizytówkach i w biznesie
Quishing to phishing przez kody QR — wzrost 340% rok do roku. Czy QR na wizytówce jest bezpieczny? Jak weryfikować kody? Konkretne scenariusze i obrona.
Kluczowe wnioski
- Quishing (QR phishing) to jedna z najszybciej rosnących metod ataku w 2026 — wzrost 340% rok do roku, bo QR omija filtry e-mailowe
- QR kod na wizytówce może być bezpieczny, ale tylko jeśli kontrolujesz domenę docelową i nie pozwalasz na naklejanie zamienników
- Na konferencjach LinkedIn jest bezpieczniejszą alternatywą niż skanowanie QR z wizytówki nieznanej osoby
- Obrona: podgląd URL przed kliknięciem, FIDO2 na kontach, monitoring logowań przez SOC
Dlaczego filtry e-mailowe nie widzą QR kodów
Tradycyjny phishing opiera się na linkach w treści wiadomości. Filtry antyspamowe nauczyły się je analizować — sprawdzają reputację domeny, porównują z bazami phishingowych URL-i, skanują strony docelowe. To działa i działa dobrze.
Quishing omija ten mechanizm w sposób banalnie prosty: złośliwy URL jest ukryty w obrazie. Filtr widzi plik graficzny, nie widzi linku. QR kod może prowadzić na stronę zbierającą dane logowania, instalującą malware albo przekierowującą na proxy przechwytujący sesję — a filtr e-mailowy tego nie sprawdzi, bo nie potrafi „przeczytać" zawartości obrazu.
To dlatego quishing rośnie tak szybko. Według danych Abnormal Security za 2025 rok, ataki quishingowe wzrosły o 340% rok do roku. Nie dlatego, że to bardziej wyrafinowana technika. Dlatego, że istniejące zabezpieczenia jej nie widzą.
Gdzie spotykamy złośliwe kody QR
Quishing nie ogranicza się do e-maili, choć tam zaczął. Złośliwe kody QR pojawiają się w miejscach, gdzie ludzie skanują odruchowo, bez zastanowienia:
W e-mailach firmowych — zamiast klasycznego linku „kliknij tutaj", wiadomość zawiera QR kod z instrukcją „zeskanuj telefonem, żeby zweryfikować konto". Wariant ten jest szczególnie skuteczny, bo przenosi interakcję na telefon — urządzenie, które zwykle nie jest objęte takim samym poziomem ochrony jak firmowy laptop. Brak EDR na telefonie, mniejszy ekran utrudniający weryfikację URL.
Na parkometrach i terminalach płatniczych — naklejki z fałszywymi kodami QR przyklejane na legalne instrukcje. Prowadzą do stron imitujących system płatności.
Na konferencjach — fałszywe wizytówki, materiały sponsorów, naklejki na stoiskach. Kody prowadzące do stron zbierających dane kontaktowe — albo dane logowania.
W wiadomościach SMS — fałszywe powiadomienia od InPost, banku, urzędu: „Zeskanuj kod, żeby potwierdzić dostawę". CERT Polska regularnie ostrzega przed tymi kampaniami.
QR kod na wizytówce — praktyczny problem
Ta sekcja dotyczy konkretnego pytania, które pojawia się na konferencjach branżowych: „Mam QR kod na wizytówce. Czy to bezpieczne?"
Odpowiedź jest niuansowana.
Twój QR na Twojej wizytówce — bezpieczny, pod warunkiem że prowadzi do zaufanej domeny (Twoja strona firmowa, profil LinkedIn) i nikt nie podmienił go naklejką. Używaj statycznych kodów QR — dynamiczne (gdzie możesz zmienić URL docelowy po wydrukowaniu) oznaczają, że ktoś, kto przejmie panel zarządzania, też może zmienić cel.
QR z wizytówki nieznanej osoby — tu zaczyna się ryzyko. Każdy może wydrukować wizytówkę. Każdy może umieścić na niej kod prowadzący gdziekolwiek. Nie widzisz URL-a, zanim zeskanujesz. A nawet po zeskanowaniu — na małym ekranie telefonu adres m1crosoft-login.com i microsoft-login.com wyglądają podobnie.
Porównanie, które warto mieć w głowie:
| QR z wizytówki | ||
|---|---|---|
| Weryfikacja osoby | Brak — każdy może wydrukować wizytówkę | Profil z historią, zdjęciem, wzajemnymi kontaktami |
| Bezpieczeństwo URL | Nieznane do zeskanowania | Zweryfikowana platforma |
| Dane kontaktowe | Pełne (telefon, e-mail) | Ograniczone do profilu |
| Trwałość połączenia | Jednorazowe skanowanie | Długoterminowe połączenie zawodowe |
Na konferencjach i eventach biznesowych LinkedIn jest bezpieczniejszą opcją. Zamiast skanować QR kod z wizytówki osoby, którą właśnie poznałeś, poproś o nazwisko i połącz się na LinkedIn. Zyskujesz weryfikację tożsamości i trwałe połączenie. Jeśli musisz użyć QR — sprawdź podgląd URL zanim klikniesz.
Scenariusz: ktoś prosi Cię o zeskanowanie kodu
Konferencja, networking, przerwa kawowa. Ktoś podchodzi: „Zeskanuj ten QR, to moja wizytówka" albo „Zeskanuj kod, wyślę Ci materiały".
Większość ludzi skanuje. Bo to szybkie, bo to uprzejme, bo wszyscy tak robią.
Kiedy warto się zatrzymać:
Nacisk na natychmiastowość — „Zeskanuj teraz, oferta ważna 5 minut". Normalna wizytówka nie ma daty ważności.
Brak kontekstu — nie wiesz kim jest ta osoba, nie ma identyfikatora konferencji, nie jest na liście prelegentów ani wystawców.
Żądanie danych po zeskanowaniu — strona docelowa prosi o login, hasło, dane karty. Żadna prawdziwa wizytówka elektroniczna nie wymaga logowania.
Domena nie zgadza się z wizytówką — na wizytówce pisze „Jan Kowalski, Firma XYZ", a QR prowadzi do qr-link.io/2847. Dlaczego nie do firmaxyz.pl?
Kod naklejony na inny — widoczne ślady naklejki, nierówne krawędzie, inna jakość druku. Na plakatach i w restauracjach to klasyczny atak.
Jak reagować bezpiecznie: „Wolę LinkedIn — podaj mi nazwisko". Obserwuj reakcję. Jeśli osoba reaguje agresywnie na normalną prośbę — to dodatkowy sygnał ostrzegawczy. Jeśli musisz skanować — sprawdź URL, nie podawaj danych, zamknij stronę jeśli cokolwiek wygląda nietypowo.
Kurs NIS2 dla zarządów i IT managerów
Poznaj wymagania dyrektywy NIS2, harmonogram wdrożenia i kary. 4 moduły, certyfikat ukończenia.
Zapisz się na kursQuishing w Polsce — co mówi CERT
CERT Polska regularnie publikuje ostrzeżenia o kampaniach quishingowych wymierzonych w polskich użytkowników. W 2025 roku najczęstsze scenariusze to:
Fałszywe powiadomienia InPost — SMS lub e-mail z QR kodem i informacją „Twoja paczka czeka w punkcie. Zeskanuj kod, żeby potwierdzić odbiór." Kod prowadzi na stronę imitującą panel InPost, zbierającą dane karty płatniczej.
Fałszywe faktury — e-mail rzekomo od dostawcy usług (energetyka, telekomunikacja) z QR kodem zamiast linka do płatności. Kod prowadzi na stronę proxy przechwytującą dane logowania do bankowości.
Fałszywe aktualizacje bezpieczeństwa — e-mail „od Microsoft" lub „od działu IT" z QR kodem do „zweryfikowania konta". Szczególnie skuteczny w firmach, które faktycznie korzystają z Microsoft 365 — bo kontekst jest prawdziwy.
Skala zjawiska w Polsce jest trudna do oszacowania precyzyjnie, bo CERT Polska nie wyodrębnia jeszcze quishingu jako osobnej kategorii w raportach rocznych. Zgłoszenia trafiają do kategorii „phishing" — co oznacza, że realna skala jest ukryta w większej liczbie. Wiadomo jedno: rośnie, i rośnie szybko.
Dlaczego telefon to słabe ogniwo
Quishing ma cechę, której nie ma tradycyjny phishing e-mailowy: zmusza ofiarę do przejścia na urządzenie mobilne.
Na firmowym laptopie zazwyczaj działa EDR, przeglądarka sprawdza certyfikaty, Safe Links weryfikuje URL-e. Na prywatnym telefonie — rzadko. Większość firm nie wdrożyła MDM (Mobile Device Management) ani ochrony endpointowej na urządzeniach mobilnych pracowników. A to właśnie telefon skanuje kod QR.
Dodatkowy problem: na małym ekranie telefonu adres URL jest trudniejszy do zweryfikowania. Pasek adresu jest krótki, domena może być obcięta. Nawyk „sprawdź URL" — nawet jeśli pracownik go ma — działa gorzej na urządzeniu z 6-calowym ekranem niż na monitorze 24-calowym.
To nie jest argument przeciwko QR kodom jako technologii. To argument za tym, żeby traktować telefon jako potencjalny wektor ataku i odpowiednio go zabezpieczać: MDM, ochrona endpointowa, Conditional Access wymagający zarządzanego urządzenia.
Jak quishing omija MFA — i co na to poradzić
Quishing często prowadzi na strony będące proxy (EvilProxy, Evilginx). Ofiara wpisuje login, hasło i kod MFA na fałszywej stronie — a proxy przekazuje te dane do prawdziwej strony, przechwytując token sesji. Atakujący ma aktywną sesję użytkownika.
Klasyczne MFA (SMS, push, TOTP) nie chroni, bo nie weryfikuje domeny. Jedyna obrona na tym poziomie: klucze FIDO2/passkeys — kryptograficznie powiązane z domeną. Próba logowania na fałszywej domenie nie zadziała, bo klucz nie odpowie.
To nie jest teoria. Proofpoint w raporcie za 2025 rok szacuje, że 25% ataków na konta firmowe wykorzystuje proxy. Quishing w połączeniu z proxy to jeden z najskuteczniejszych wektorów, bo łączy omijanie filtrów (QR zamiast linka) z omijaniem MFA (proxy zamiast statycznej strony).
Obrona — nie lista zasad, lecz system
Quishing to wariant phishingu, więc obrona opiera się na tych samych filarach:
Technologia: Microsoft Defender for Office 365 w nowszych wersjach analizuje kody QR w załącznikach e-mailowych — ale nie pokrywa QR kodów w świecie fizycznym (wizytówki, plakaty, naklejki). Conditional Access blokuje logowania z nieznanych urządzeń i lokalizacji. FIDO2 eliminuje ryzyko kradzieży sesji.
Procedury: Podgląd URL przed kliknięciem. Weryfikacja domeny docelowej. Zgłaszanie podejrzanych kodów do działu IT. Na konferencjach: LinkedIn zamiast QR od nieznajomych.
Monitoring: SOC widzi skutki udanego quishingu — podejrzane logowania z nowego urządzenia, utworzenie reguł przekierowania poczty, anomalną aktywność na koncie. Nawet jeśli pracownik kliknął i podał dane — monitoring skraca czas od kompromitacji do reakcji z miesięcy do minut.
Szkolenia: Regularne symulacje z QR kodami phishingowymi. Nie po to, żeby sprawdzać kto kliknął, ale żeby budować nawyk sprawdzania URL. Świadomość, że QR kod to link — niewidoczny gołym okiem, ale link.
Źródła
- Abnormal Security — QR Code Phishing Trends 2025 — statystyki wzrostu quishingu
- Proofpoint State of the Phish 2025 — proxy phishing, skuteczność ataków
- CERT Polska — ostrzeżenia — kampanie quishingowe w Polsce
- NIST Phishing Guidance — wytyczne obrony przed phishingiem
- Microsoft — QR code phishing protection in Defender — detekcja QR w e-mailach
FAQ
Czy QR kod na wizytówce jest bezpieczny?
Jak sprawdzić dokąd prowadzi QR kod przed otwarciem?
Co zrobić jeśli zeskanowałem podejrzany QR kod?
SecIQ Team
Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.
O zespole →
