Logowanie
QR przenosi na fałszywą stronę logowania do poczty, banku albo usługi firmowej. Strona wygląda znajomo, ale zbiera dane logowania.
Czy QR może być oszustwem?
Tak. Sam kod wygląda niewinnie, ale po zeskanowaniu może prowadzić do logowania, dopłaty, formularza z danymi albo strony podszywającej się pod bank, firmę lub instytucję.
Problem polega na tym, że przed skanem nie widzisz pełnego adresu tak jasno, jak przy zwykłym linku. Dlatego po odczycie trzeba ocenić nie tylko sam kod, ale też to, co pokazuje telefon.
Te wskazówki są zgodne z ostrzeżeniami gov.pl i KAS: nie skanuj QR z nieznanych maili, nie ufaj kodom tylko dlatego, że są na oficjalnie wyglądającym materiale, i zawsze sprawdzaj, dokąd prowadzi skan.
Co sprawdzamy po odczycie QR
- Czy po skanie widzisz pełny adres i czy domena wygląda wiarygodnie.
- Czy QR prowadzi do shortlinku albo innego adresu ukrywającego miejsce docelowe.
- Czy strona po skanie od razu prosi o logowanie, płatność, pobranie pliku albo aktualizację aplikacji.
- Czy kod pojawia się w miejscu, w którym łatwo było go podmienić: naklejka, wydruk, ekran, mail od nieznanego nadawcy.
- Praktyczna porada: po zeskanowaniu nie otwieraj adresu odruchowo. Najpierw przeczytaj domenę, a jeśli widzisz bank, bramkę płatności albo prośbę o dane, porównaj to z oficjalnym kanałem danej usługi.
Typowe scenariusze nadużyć
Płatność lub dopłata
Kod prowadzi do szybkiej płatności za przesyłkę, rachunek albo „odbiór nagrody”. Presja czasu ma wymusić reakcję bez sprawdzenia domeny.
Fałszywy formularz
Po skanie pojawia się formularz proszący o dane osobowe, dane karty albo numer rachunku. To częsty sposób wyciągania informacji pod pozorem weryfikacji.
Przekierowanie na telefon
QR kieruje do pobrania aplikacji, pliku albo otwarcia strony przygotowanej specjalnie pod smartfon. To utrudnia spokojne porównanie adresu i zwiększa szanse pomyłki.
Gov.pl opisuje quishing jako ukrywanie niebezpiecznych linków za kodem QR i ostrzega szczególnie wtedy, gdy po skanie pojawia się logowanie, pobranie pliku, aktualizacja albo płatność. KAS dodaje, żeby nie skanować QR z nieznanych maili i nie odpowiadać na takie wiadomości.
Co zrobić przed i po skanie
- Sprawdź kontekst: kto podaje kod i po co masz go zeskanować.
- Jeśli kod jest na naklejce albo na wydruku w miejscu publicznym, upewnij się, że nie został doklejony na czyjś materiał.
- Po skanie przeczytaj adres bardzo uważnie, zanim otworzysz stronę.
- Jeśli pojawia się logowanie lub płatność, wejdź do oficjalnej aplikacji lub na oficjalną stronę ręcznie i porównaj, czy taka akcja rzeczywiście jest potrzebna.
Masz QR albo screenshot? Sprawdź go w CzyToScam
Wróć na stronę główną i dodaj obraz albo screenshot do CzyToScam. Narzędzie odczyta tekst z obrazu, wykryje QR i oceni, czy po drugiej stronie może czekać phishing lub scam.
Sprawdź QR w CzyToScam