Menu

QR phishing

Co je QR phishing?

QR phishing, označovaný také jako quishing nebo QRishing, představuje formu phishingového útoku, která využívá QR kódy jako prostředek k nasměrování oběti na podvodné webové stránky nebo k vyvolání jiné škodlivé akce na jejím zařízení. Termín quishing vznikl spojením slov „QR“ a „phishing“.

QR phishing v posledních letech zaznamenává prudký nárůst, protože útočníci využívají rostoucí důvěru uživatelů v QR kódy a snadnost, s jakou je lze nasadit ve fyzickém i digitálním prostředí.

Podstata QR phishingu

QR phishing staví na základním principu QR kódů, kterým je nemožnost přečíst obsah kódu jinak než digitální cestou. Uživatel, který skenuje QR kód, se spoléhá na to, že ho zařízení nasměruje k očekávanému cíli. Nemůže si předem ověřit konkrétní webovou adresu nebo jiný obsah kódu. Útočníci toho zneužívají a vytvářejí QR kódy, které obsahují odkaz na podvodné webové stránky, výzvu k instalaci škodlivé aplikace nebo pokyn k provedení jiné nežádoucí akce.

Klíčovou výhodou QR phishingu pro útočníky je obcházení tradičních bezpečnostních mechanismů. E-mailové brány a antispamové filtry kontrolují odkazy v textu zprávy, ale QR kód vložený jako obrázek pro ně představuje obtížně analyzovatelný objekt. Oběti navíc skenují QR kódy mobilním telefonem, který bývá chráněn méně než firemní počítače a často nepodléhá všem podnikovým bezpečnostním politikám. Útočníci tak využívají mnohem zranitelnější osobní zařízení uživatelů.

Mechanismus útoku

Typický QR phishingový útok začíná doručením QR kódu k oběti. Nejčastější cestou je e-mailová zpráva obsahující obrázek s QR kódem, často doprovázený textem napodobujícím komunikaci od důvěryhodné instituce – banky, doručovací společnosti, poskytovatele cloudových služeb, personálního oddělení nebo IT podpory. Zpráva typicky vyzývá příjemce k ověření identity, prodloužení platnosti účtu, převzetí zásilky, prohlédnutí důležitého dokumentu nebo aktualizaci bezpečnostních nastavení.

QR kódy však umožňují i fyzickou distribuci. Útočníci umisťují podvodné QR kódy na veřejných místech – na parkovacích automatech, nabíjecích stanicích pro elektromobily, v restauracích a barech, na plakátech, vývěskách v kancelářských budovách nebo v hromadné dopravě. Někdy přitom přelepují legitimní QR kódy vlastními samolepkami. Tato varianta útoku je obzvláště nebezpečná, protože uživatel nemá žádné varovné signály typické pro phishingové e-maily.

Po naskenování kódu je oběť nasměrována na podvodné webové stránky, které napodobují legitimní službu. Cíle jsou stejné jako u tradičního phishingu – získání přihlašovacích údajů, čísel platebních karet, přístupových kódů k bankovnictví nebo dalších citlivých informací. V pokročilejších scénářích může QR kód spustit stažení škodlivé aplikace, otevřít kontakt vedoucí k podvodnému zavolání, předvyplnit SMS zprávu na placené číslo nebo iniciovat platbu prostřednictvím mobilní platební služby.

Vzhledem k tomu, že útok obvykle začíná i končí na mobilním zařízení, využívají útočníci specifika mobilního prostředí. Mobilní prohlížeče zobrazují kratší verzi webové adresy, takže rozpoznání podvržené domény je obtížnější. Mobilní obrazovky komplikují kontrolu detailů URL, certifikátů nebo dalších indikátorů zabezpečení. Uživatelé navíc na mobilních zařízeních zpravidla jednají rychleji a s nižší mírou ostražitosti než při práci na počítači.

Historie a vývoj QR phishingu

QR kódy byly vyvinuty v roce 1994 japonskou společností Denso Wave pro potřeby automobilového průmyslu, ale do širokého povědomí se dostaly až s rozšířením chytrých telefonů kolem roku 2010. První případy zneužití QR kódů k phishingovým účelům se objevily krátce poté, ale šlo o izolované experimenty s omezeným dopadem. Skutečný nárůst QR phishingu přišel až s pandemií COVID-19, která dramaticky urychlila adopci bezkontaktních technologií. Restaurace, obchody, dopravní podniky i státní instituce začaly QR kódy hojně využívat pro menu, platby, certifikáty nebo přístupy k informacím. Tím se skenování QR kódů stalo běžnou každodenní činností.

V roce 2023 zaznamenaly bezpečnostní firmy několikanásobný nárůst QR phishingových kampaní. Útočníci si uvědomili, že tradiční bezpečnostní mechanismy proti tomuto vektoru zaostávají, a začali ho systematicky využívat v cílených kampaních. Významnou roli sehrál také fakt, že většina velkých korporací implementovala pokročilou ochranu proti klasickému e-mailovému phishingu a útočníky tím donutila hledat alternativní cesty.

V současnosti je QR phishing jedním z nejrychleji rostoucích typů phishingových útoků. Bezpečnostní výzkumy ukazují, že podíl phishingových kampaní využívajících QR kódy se v posledních letech opakovaně zdvojnásoboval. Obzvlášť zasažené jsou sektory finančních služeb, zdravotnictví, výroby nebo veřejné správy.

Specifika a obtížnost detekce

QR phishing přináší několik specifik, která jej z hlediska detekce a obrany odlišují od ostatních phishingových technik. Prvním zásadním rysem je nemožnost vizuální kontroly cíle před skenováním. U textových odkazů může pozorný uživatel zaznamenat podezřelou doménu nebo překlepy, ale QR kód takovou možnost neposkytuje. Druhým specifikem je možnost přechodu mezi zařízeními – útok může začít na firemním počítači, ale pokračovat na osobním mobilním telefonu.

Třetím charakteristickým rysem je obtížnost analýzy ze strany e-mailových bezpečnostních bran. Bezpečnostní řešení musí být schopna QR kód v obrázku rozpoznat, dekódovat a následně vyhodnotit obsažený odkaz. Útočníci tento postup komplikují různými způsoby – vkládají QR kód jako součást rozsáhlejšího obrázku, používají barevné variace, mírně deformují kód, nebo ho dokonce skládají z různých grafických prvků. Některé útoky využívají dvoustupňovou strukturu, kdy QR kód vede na spolehlivě vypadající stránku, která teprve následně přesměruje uživatele na podvodný cíl.

Specifickým problémem je také obtížnost forenzního vyšetřování. Po naskenování QR kódu a zadání citlivých údajů na podvodné stránce neexistuje v podnikové síti žádná stopa – celá interakce proběhla na osobním zařízení mimo firemní infrastrukturu. Bezpečnostní týmy se o incidentu často dozvídají až po zneužití získaných údajů, kdy je rekonstrukce útoku obtížná.

Obrana proti QR phishingu

Z technického hlediska je základem obrany implementace e-mailových bezpečnostních bran schopných analyzovat obrázky v přílohách i v těle zpráv, detekovat QR kódy a vyhodnocovat odkazy v nich obsažené. Moderní řešení využívají strojové učení k rozpoznání QR kódů a integrují se s databázemi reputace domén pro hodnocení cílových adres.

Důležitým prvkem ochrany jsou bezpečnostní funkce přímo na koncových zařízeních. Některé mobilní bezpečnostní aplikace dokážou uživatele varovat před otevřením podezřelé adresy získané z naskenovaného QR kódu nebo automaticky kontrolovat cílovou doménu oproti databázím známých phishingových stránek. Některé mobilní operační systémy a aplikace pro skenování zobrazují cílovou adresu QR kódu ještě před jejím otevřením, takže ji uživatel může zkontrolovat. Bohužel tato funkce není univerzální a její efektivita závisí na pozornosti a schopnostech uživatele.

Zásadní roli hraje vzdělávání zaměstnanců a uživatelů. Bezpečnostní školení musí explicitně zahrnovat QR phishing jako samostatnou kategorii hrozeb, protože povědomí o tomto vektoru je výrazně nižší než u tradičních forem phishingu. Uživatelé by si měli osvojit základní pravidla – neskenovat QR kódy z neznámých zdrojů, pečlivě kontrolovat cílovou adresu před přechodem na webovou stránku, nezadávat přihlašovací údaje na stránkách otevřených prostřednictvím QR kódu bez nezávislého ověření a být obzvláště obezřetní u QR kódů umístěných ve veřejném prostoru, mohly by totiž být přelepeny.

Pokud QR kódy ve své komunikaci využívá přímo organizace, měla by zavést standardizovaný formát a způsob ověřování, aby zaměstnanci dokázali rozpoznat podvržené varianty. Důležitým doplňkem je důsledné používání vícefaktorové autentizace, která snižuje dopad případného úspěšného získání přihlašovacích údajů.

Budoucí vývoj QR phishingu

QR phishing bude v následujících letech pravděpodobně pokračovat v dynamickém růstu. Široké rozšíření QR kódů v každodenním životě, jejich postupná integrace do platebních systémů, ověřování identity nebo digitálních dokumentů vytváří stále atraktivnější prostředí pro útočníky. Současně se rozšiřují nové formy zneužití – například dynamické QR kódy, které mění svůj obsah podle času nebo lokace, představují nové výzvy jak pro útočníky, tak pro obránce.

Významný vliv na vývoj QR phishingu má technologie umělé inteligence. Generativní modely umožňují útočníkům automaticky vytvářet personalizovaný kontext kolem QR kódu – přesvědčivé e-maily přizpůsobené konkrétní organizaci, věrohodně vypadající podvodné webové stránky, na které QR kód oběti přivede, nebo dokonce dynamické scénáře reagující na chování oběti. Současně se umělá inteligence stává nástrojem obrany využívaným k detekci anomálií v komunikaci, rozpoznávání podvržených QR kódů a analýze cílových stránek v reálném čase.

Z dlouhodobého hlediska bude úspěšnost obrany proti QR phishingu záviset na schopnosti integrovat ochranná opatření přímo do procesu skenování QR kódů – do mobilních operačních systémů, aplikací pro skenování i prohlížečů. Ovšem klíčovou roli bude nadále hrát informovanost uživatelů, protože podstatou QR phishingu zůstává zneužití důvěry člověka v technologii, kterou nemůže přímo zkontrolovat.

Naše ocenění

Effie Content Marketing & Entertainment
Content Marketing & Entertainment
3. místo
Zlatý středník - Elektronický časopis, blog a newsletter
Elektronický časopis, blog a newsletter
Top rated
Zlatý středník - Podcast: Místo kyberčinu
Podcast: Místo kyberčinu
2. místo
Zlatý středník - Elektronický časopis a blog
Elektronický časopis a blog
2. místo
Zlatý středník - Telekomunikace a IT
Telekomunikace a IT
2. místo
Fenix - Content – Online Magazín Web
Content – Online Magazín Web
3. místo