Wróć do encyklopedii
Socjotechnika
Wysoki
ZarządPracownicyIT

Quishing — QR Code Phishing

QR Code Phishing (Quishing)

Quishing to phishing przez kody QR — omija filtry e-mailowe i wykorzystuje zaufanie do kodów QR. Jak się bronić przed QR phishingiem?

2 min czytaniaPrzykład: Kampania quishingowa na Microsoft 365 — fałszywe QR w e-mailach HR (2025)
Udostępnij
Quishing — QR Code Phishing

MITRE ATT&CK

Kluczowe wnioski

  • Quishing wzrósł o 340% w 2024-2026 — atakujący umieszczają złośliwe QR w e-mailach, na plakatach i wizytówkach
  • Kody QR omijają tradycyjne filtry URL w poczcie e-mail
  • Zawsze sprawdzaj podgląd URL po zeskanowaniu — przed kliknięciem
  • Na konferencjach bezpieczniej jest wymienić LinkedIn niż skanować QR z wizytówki

Czym jest quishing?

Quishing (QR Code Phishing) to metoda cyberataku, w której przestępcy wykorzystują złośliwe kody QR do przekierowania ofiar na fałszywe strony internetowe. Kody QR ukrywają prawdziwy URL, co sprawia, że ofiara nie widzi dokąd prowadzi link zanim go zeskanuje.

Technika ta omija tradycyjne filtry e-mailowe, które analizują tekst i linki, ale nie potrafią odczytać zawartości zakodowanej w obrazie QR.

Jak działa atak?

  1. Generowanie złośliwego QR — atakujący tworzy kod QR prowadzący do fałszywej strony logowania (np. klon Microsoft 365, banku, poczty)
  2. Dystrybucja — kod trafia do ofiary przez e-mail, SMS, drukowane materiały, naklejki w miejscach publicznych lub fałszywe wizytówki
  3. Skanowanie — ofiara skanuje kod smartfonem i zostaje przekierowana na złośliwą stronę
  4. Kradzież danych — ofiara podaje dane logowania, dane karty płatniczej lub pobiera złośliwą aplikację
  5. Przejęcie konta — atakujący wykorzystuje skradzione dane do dostępu do systemów firmowych

Szczególnie niebezpieczne są ataki w kontekście biznesowym — fałszywe QR kody na konferencjach, w hotelu lub na wizytówkach mogą wyglądać bardzo wiarygodnie.

Kogo dotyczy w Polsce?

  • Pracownicy biurowi — e-maile z QR od "IT" lub "HR" o resetowaniu hasła
  • Osoby na konferencjach — fałszywe wizytówki i materiały z QR
  • Użytkownicy parkometrów — naklejki ze złośliwym QR zamiast oryginalnego
  • Klienci restauracji — fałszywe menu QR kradnące dane płatnicze

W Polsce rośnie liczba ataków quishingowych na użytkowników Microsoft 365 — fałszywe powiadomienia o wygasającym haśle z kodem QR zamiast linku.

Jak się chronić?

  1. Sprawdzaj podgląd URL — po zeskanowaniu kodu, przed kliknięciem sprawdź domenę
  2. Nie skanuj losowych kodów — plakaty, naklejki w miejscach publicznych mogą być fałszywe
  3. Aktualizuj system — iOS i Android poprawiają bezpieczeństwo skanerów QR
  4. Na konferencjach wybieraj LinkedIn — bezpieczniejszy niż QR z wizytówki nieznanej osoby
  5. Defender for Office 365 — potrafi wykrywać złośliwe QR w e-mailach
  6. MFA — chroni konto nawet jeśli podasz hasło na fałszywej stronie

Jak SecIQ pomaga?

  • SecIQ SOC wykrywa podejrzane logowania po atakach quishingowych
  • Defender for Office 365 z detekcją złośliwych QR kodów w e-mailach
  • Szkolenia i symulacje quishingowe — pracownicy uczą się rozpoznawać zagrożenie
  • Conditional Access — blokowanie logowań z nieznanych urządzeń po zeskanowaniu QR

Przeczytaj pełny poradnik: Quishing — QR Code Phishing na wizytówkach i w biznesie.

QuishingQR CodePhishingSocial Engineering

Najczęściej zadawane pytania

Dlaczego quishing jest skuteczny?
Kody QR ukrywają URL przed użytkownikiem i filtrami bezpieczeństwa. Tradycyjne skanery poczty analizują tekst i linki, ale nie zawartość obrazów QR. Dodatkowo ludzie przyzwyczaili się do skanowania QR (płatności, restauracje) i robią to bez zastanowienia.
Czy smartfon może zostać zainfekowany przez QR kod?
Sam skan QR kodu nie infekuje telefonu. Zagrożenie pojawia się gdy klikniesz link i podasz dane na fałszywej stronie lub pobierzesz złośliwą aplikację. Aktualizuj system operacyjny — nowoczesne smartfony mają wbudowane zabezpieczenia.
Jak chronić firmę przed quishingiem?
Microsoft Defender for Office 365 potrafi wykrywać złośliwe QR kody w e-mailach. Szkolenia pracowników (symulacje quishingowe) budują świadomość. MFA chroni konta nawet jeśli ktoś poda hasło na fałszywej stronie.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.

Powiązane ataki

Socjotechnika
Krytyczny

Deepfake i AI Social Engineering

2 min czytania

Socjotechnika
Wysoki

Phishing — atak e-mailowy

2 min czytania

Socjotechnika
Średni

Smishing — phishing SMS

2 min czytania

Chroń swoją organizację

SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.

Umów konsultacjęPoznaj SecIQ SOC

Bezpłatna konsultacja · 15 min · bez zobowiązań