1. What is quishing in simple terms?

Quishing is a type of phishing attack that uses a QR Code instead of a regular link. When someone scans the QR Code, it can send them to a fake website designed to steal passwords, payment details, or other sensitive information. The term combines the words "QR Code" and "phishing."

2. What is the difference between phishing and quishing?

Traditional phishing uses clickable links in emails, text messages, or websites. Quishing hides the malicious link inside a QR Code. Both attacks have the same goal: tricking people into visiting a fake website. The main difference is that quishing uses a QR Code to hide the destination.

3. Can scanning a QR Code give you a virus?

Scanning a QR Code by itself does not install a virus. A QR Code simply directs your device to a destination, such as a website. The risk comes from what happens after the scan. If the QR Code leads to a malicious website, that site may try to steal your information or convince you to download harmful software.

4. Why is quishing so hard to detect?

Many security tools are designed to inspect links and text. A QR Code is an image, which can make it harder to analyze. Quishing attacks also often move users from a work computer to a personal phone. This can make it more difficult for organizations to monitor and block malicious activity.

5. What are common quishing attack examples?

Common examples include fake QR Code stickers placed over real QR Codes on parking meters, phishing emails that pretend to be Microsoft 365 account alerts, and fraudulent invoices that contain QR Codes leading to fake payment pages. In each case, the attacker uses a QR Code to hide a malicious website behind a seemingly normal request.

6. How can organizations protect themselves from quishing?

Organizations can reduce their risk by using email security tools that inspect QR Codes, enforcing strong MFA, limiting access to sensitive systems, and training employees to recognize QR Code scams. A clear incident response plan is also important so teams know what to do if someone scans a malicious QR Code or enters credentials on a fake website.

7. How can you spot a fake QR Code?

A fake QR Code often redirects users to a suspicious website that imitates a legitimate brand. Before entering any information, check that the website URL matches the brand's official domain. Be cautious if the page contains spelling mistakes, asks for sensitive information, or looks different from the company's usual branding.

Czym jest quishing (phishing z wykorzystaniem kodów QR)?

Shanti Nair

Ostatnia aktualizacja: June 10, 2026

Skanowanie kodów QR stało się tak powszechne jak kliknięcie linku. Ludzie używają kodów QR do opłacania rachunków, korzystania z usług i udostępniania informacji, a cały proces zajmuje zazwyczaj zaledwie kilka sekund. Jednak pojedyncze zeskanowanie kodu może czasem prowadzić do fałszywej strony internetowej stworzonej w celu kradzieży danych. Na tym właśnie polega idea ataków typu „quishing”.

Quishing to forma phishingu, która wykorzystuje kody QR do nakłonienia ludzi do odwiedzenia fałszywych stron internetowych. Oszustwa te często mają na celu wyłudzenie danych logowania, informacji dotyczących płatności oraz dostępu do kont firmowych.

W tym przewodniku wyjaśniono, jak działa quishing, dlaczego atakujący go wykorzystują oraz które grupy są najbardziej narażone na ryzyko. Znajdziesz tu również praktyczne wskazówki, jak unikać typowych oszustw, oraz dowiesz się, jak quishing wpisuje się w szerszą dyskusję na temat bezpieczeństwa kodów QR.

Spis treści

Czym jest quishing?
Quishing w liczbach: jak szybko rośnie zagrożenie
Jak działa atak quishingowy
Dlaczego quishing omija tradycyjne zabezpieczenia poczty elektronicznej
Praktyczne przykłady quishingu
Kto jest najczęściej celem ataków typu quishing?
Jak chronić swoją organizację przed quishingiem
Zachowaj kontrolę nad kodami QR tworzonymi przez Twoją firmę
Często zadawane pytania

Czym jest quishing?

Quishing to rodzaj ataku phishingowego, w którym złośliwy adres URL jest ukryty w obrazie kodu QR, a nie w klikalnym linku tekstowym. Nazwa ta jest połączeniem słów „QR Code” i „phishing”, a cel jest taki sam jak w przypadku każdego ataku phishingowego: przekierowanie użytkownika na fałszywą stronę internetową, aby atakujący mogli wykraść dane logowania, zainstalować złośliwe oprogramowanie lub zebrać dane dotyczące płatności.

To, co odróżnia quishing, to sposób dostarczania. Złośliwy adres URL jest osadzony w kodzie QR, który odczytuje aparat w telefonie. Nie znajduje się on w treści wiadomości e-mail, gdzie filtry bezpieczeństwa mogłyby go skanować.

Według Keepnet liczba ataków typu quishing wzrosła o 587% w 2023 r., co sprawia, że phishing z wykorzystaniem kodów QR jest obecnie jedną z najszybciej rozwijających się technik phishingowych.

Quishing występuje obok trzech powiązanych rodzajów ataków z rodziny phishingu.

Rodzaj ataku	Główny wektor	Metoda dostarczania	Narzędzie zabezpieczające, które zazwyczaj je wykrywa	Dlaczego quishing omija to narzędzie
Phishing	E-mail	Klikalny link tekstowy	Filtry bezpieczeństwa poczty elektronicznej i sprawdzanie reputacji adresów URL	N/A (poziom bazowy)
Smishing	SMS	Wiadomość tekstowa z linkiem	Filtry operatorów komórkowych i narzędzia do wykrywania zagrożeń mobilnych	N/A
Vishing	Połączenie głosowe	Połączenie telefoniczne z wykorzystaniem socjotechniki	Narzędzia do sprawdzania identyfikacji dzwoniącego i wykrywania oszustw głosowych	N/A
Quishing	E-mail, materiały drukowane lub powierzchnie fizyczne	Obraz kodu QR osadzony w wiadomości e-mail, pliku PDF, plakacie, fakturze lub znaku	Wiele narzędzi do zabezpieczania poczty elektronicznej skupia się na widocznych adresach URL, linkach i wskaźnikach tekstowych	Złośliwy adres URL jest ukryty w obrazie kodu QR i często otwierany jest na oddzielnym urządzeniu mobilnym poza kontrolą zabezpieczeń organizacji

Powyższa tabela ma znaczenie, ponieważ quishing wykorzystuje lukę, której wiele tradycyjnych zabezpieczeń przed phishingiem pierwotnie nie uwzględniało. Zamiast prosić ofiary o kliknięcie widocznego linku, atakujący ukrywają miejsce docelowe w obrazie kodu QR. W wielu przypadkach skanowanie odbywa się następnie na oddzielnym urządzeniu mobilnym, poza kontrolą zabezpieczeń, które zwykle sprawdzają ruch internetowy.

Ataki typu quishing najczęściej pojawiają się w dwóch kanałach.

Pierwszym z nich jest poczta elektroniczna, gdzie atakujący osadza kod QR w wiadomości, załączniku lub pliku PDF i zachęca odbiorcę do jego zeskanowania.
Drugim jest świat fizyczny, gdzie fałszywa naklejka z kodem QR jest umieszczana na prawdziwym kodzie na parkometrze, stoliku w kawiarni, kiosku w holu lub publicznej tablicy ogłoszeń. Oba podejścia opierają się na tym samym zachowaniu: skanowaniu kodu bez uprzedniego sprawdzenia, dokąd prowadzi.

Quishing w liczbach: jak szybko rośnie zagrożenie

Wzrost popularności quishingu nie jest zagrożeniem przyszłości. Już teraz ma on miejsce na dużą skalę. Według analizy Keepnet Labs liczba ataków quishingowych wzrosła o 587% w 2023 r., co sprawia, że phishing z wykorzystaniem kodów QR jest jednym z najszybciej rosnących zagrożeń cybernetycznych ostatnich lat.

Kilka innych statystyk wskazuje na ten sam trend:

Tylko w pierwszym kwartale 2025 r. wykryto 4,2 mln zagrożeń związanych z kodami QR.
89,3% ataków opartych na kodach QR miało na celu kradzież danych logowania.
42 razy więcej ataków typu „quishing” było skierowanych przeciwko kadrze kierowniczej wyższego szczebla niż pracownikom niepełniącym funkcji kierowniczych.
26% złośliwych linków dostarczanych za pośrednictwem poczty elektronicznej było osadzonych w kodach QR, a nie przedstawionych jako tradycyjne hiperłącza.
Firma Microsoft informuje, że co tydzień blokuje średnio ponad 18 milionów unikalnych wiadomości phishingowych zawierających kod QR w treści wiadomości, a dziennie około 3 milionów unikalnych wiadomości phishingowych z kodami QR.

Dane ujawniają również sposób działania atakujących. Prawie 9 na 10 ataków opartych na kodach QR koncentruje się na kradzieży danych logowania, często poprzez kierowanie ofiar na fałszywe strony logowania, które naśladują zaufane marki i narzędzia biznesowe. Według raportu Abnormal Security dotyczącego zagrożeń e-mailowych w pierwszej połowie 2024 r. kadra kierownicza jest preferowanym celem, ponieważ ma dostęp do wrażliwych systemów, zatwierdzeń finansowych i danych firmowych.

Według firmy zajmującej się cyberbezpieczeństwem NordVPN 73% Amerykanów skanuje kody QR bez weryfikacji, a ponad 26 milionów zostało już przekierowanych na złośliwe strony. Ukrywając miejsce docelowe w obrazie, atakujący mogą zachęcić ofiary do przejścia z monitorowanego urządzenia służbowego na telefon osobisty, gdzie zabezpieczenia mogą być słabsze.

Rozwój quishingu ściśle wiąże się z rosnącą popularnością kodów QR. Menu bezdotykowe, płatności mobilne, rejestracja na wydarzeniach i procesy uwierzytelniania sprawiły, że skanowanie kodów QR stało się rutynową częścią codziennego życia. Gdy skanowanie stało się zaufanym nawykiem, atakujący zyskali nowy sposób na przeprowadzanie kampanii phishingowych bez konieczności polegania na tradycyjnych linkach.

Jak działa atak typu quishing

Atak typu quishing przebiega w sześciu etapach. Krytyczna luka w zabezpieczeniach pojawia się między etapem trzecim a czwartym.

Krok 1: Atakujący generuje złośliwy kod QR

Atakujący tworzy kod QR, który prowadzi do złośliwego adresu URL. Często jest to strona służąca do wyłudzania danych uwierzytelniających, strona pobierania złośliwego oprogramowania lub fałszywy portal płatniczy. Na tym etapie atakujący mogą wykorzystywać dynamiczne kody QR. Dynamiczny kod QR przechowuje adres docelowy na serwerze, a nie w samym kodzie. Teraz atakujący może zmienić adres docelowy po rozpowszechnieniu kodu, aby wyprzedzić czarne listy adresów URL.

Krok 2: Umieszczenie kodu QR w przynęcie

Atakujący umieszcza obraz kodu QR w formacie PNG lub JPG w wiadomości phishingowej. Bardziej zaawansowana wersja polega na osadzeniu kodu w załączniku PDF, takim jak faktura, dokument kadrowy lub zawiadomienie dotyczące zgodności. Obrazy osadzone w plikach PDF są jeszcze rzadziej sprawdzane przez automatyczne skanery.

Krok 3: Wiadomość e-mail przechodzi przez firmowe filtry bezpieczeństwa

Ofiara otrzymuje wiadomość e-mail na firmowym laptopie lub urządzeniu. Standardowe narzędzia zabezpieczające pocztę elektroniczną skanują treść wiadomości w poszukiwaniu znanych złośliwych adresów URL, podejrzanych linków tekstowych i oznaczonych domen. Kod QR jest obrazem. Złośliwy adres URL wewnątrz obrazu jest niewidoczny dla filtrów analizujących tekst. Wiadomość e-mail trafia do skrzynki odbiorczej.

Krok 4: Ofiara skanuje kod za pomocą osobistego telefonu komórkowego

W wiadomości e-mail znajduje się instrukcja, aby skanować kod za pomocą telefonu. Przynęta może sugerować, że link jest wygodniejszy w użyciu na telefonie komórkowym, lub naśladować resetowanie uwierzytelniania wieloskładnikowego (MFA), które wymaga użycia telefonu. Ofiara sięga po swoje urządzenie i skanujekod.

Krok 5: Przeglądarka mobilna otwiera stronę phishingową

Osobisty telefon komórkowy znajduje się poza korporacyjnym obwodem bezpieczeństwa. Na większości urządzeń osobistych nie ma oprogramowania do zarządzania urządzeniami mobilnymi (MDM). Korporacyjna wirtualna sieć prywatna (VPN) nie jest aktywna. Przeglądarka podąża za zdekodowanym adresem URL i wyświetla stronę atakującego.

Krok 6: Wyłudzenie danych uwierzytelniających lub instalacja złośliwego oprogramowania

Ofiara wprowadza dane uwierzytelniające na fałszywej stronie logowania, dokonuje fałszywej płatności lub pobiera aplikację, która wydaje się być wymagana. Atakujący przechwytuje dane.

Przełączanie urządzeń, czyli przekazanie danych z urządzenia firmowego na prywatny telefon komórkowy między krokami trzecim a czwartym, jest strukturalnym powodem, dla którego quishing działa tam, gdzie standardowy phishing zawodzi. Atak wykorzystuje dwa oddzielne obszary bezpieczeństwa i żaden z nich nie wykrywa całego łańcucha zdarzeń.

📝Uwaga: Zagrożenie związane z quishingiem to odrębny problem w stosunku do tego, jak legalne firmy wykorzystują kody QR.

Firma tworząca kody QR dla menu, wydarzeń lub dokumentów potrzebuje własnych ram bezpieczeństwa. Ramy te muszą obejmować zweryfikowane domeny, analizę skanowania oraz kontrolowane adresy URL docelowe.

W rezultacie bezpieczeństwo kodów QR dla firm wykracza poza zapobieganie oszustwom i obejmuje decyzje dotyczące wyboru platformy, zarządzania kodami oraz zasad wdrażania.

Dlaczego quishing omija tradycyjne zabezpieczenia poczty elektronicznej

Większość wiadomości phishingowych zawiera link, który można kliknąć. Narzędzia zabezpieczające mogą sprawdzić ten link, zweryfikować jego reputację i zablokować go, jeśli wygląda podejrzanie. Quishing działa inaczej. Zamiast umieszczać link w wiadomości e-mail, atakujący ukrywają go w kodzie QR.

Oto trzy powody, dla których quishing może być trudniejszy do wykrycia niż tradycyjny phishing.

1. Złośliwy adres URL jest ukryty w obrazie

Narzędzia zabezpieczające pocztę elektroniczną są zaprojektowane do skanowania tekstu, linków i domen. Kod QR jest obrazem, więc docelowy adres URL może nie pojawiać się nigdzie w widocznym tekście wiadomości e-mail.

Producenci oprogramowania zabezpieczającego wykorzystują obecnie analizę obrazów do wykrywania tych zagrożeń. Na przykład firma Microsoft informuje o blokowaniu około 1,5 miliona ataków opartych na kodach QR dziennie. Jednak nie każde narzędzie do zabezpieczania poczty elektronicznej ma ten sam poziom wykrywania kodów QR.

2. Skanowanie często odbywa się na innym urządzeniu

Wiele osób skanuje kody QR za pomocą telefonów, nawet jeśli wiadomość e-mail przychodzi na komputer służbowy.

Kiedy pracownik klika link na firmowym laptopie, narzędzia zabezpieczające często mogą sprawdzić i monitorować tę aktywność. Jednak gdy ta sama osoba skanuje kod QR za pomocą prywatnego telefonu, odwiedziny mogą odbywać się poza normalnymi kontrolami bezpieczeństwa organizacji. Daje to atakującym kolejną ścieżkę dotarcia do celu.

3. Atakujący mogą zmienić miejsce, do którego prowadzi kod QR

Niektóre kampanie phishingowe wykorzystują dynamiczne kody QR. Dynamiczny kod QR wskazuje miejsce docelowe, które można później zaktualizować. Pozwala to atakującym na zmianę ostatecznego adresu URL po dostarczeniu kodu QR. W niektórych przypadkach mogą oni początkowo używać nieszkodliwego miejsca docelowego, a później przełączyć się na złośliwe, co utrudnia wykrycie.

Wynik jest prosty: wiadomość phishingowa zawierająca widoczny złośliwy link jest często łatwiejsza do analizy przez narzędzia bezpieczeństwa. Kod QR ukrywa ten adres docelowy za obrazem i dodaje dodatkowe etapy między ofiarą a złośliwą stroną internetową.

Przykłady quishingu w praktyce

Ataki typu quishing mogą pojawić się wszędzie tam, gdzie ludzie używają kodów QR. Niektóre przychodzą przez e-mail, a inne pojawiają się na znakach, plakatach i terminalach płatniczych w miejscach publicznych. Poniższe przykłady pokazują, jak atakujący wykorzystują kody QR do ukrywania złośliwych stron internetowych za prostym skanem.

Oszustwo związane z parkometrami w Austin (2022)

W 2022 r. oszuści umieścili fałszywe naklejki z kodami QR na 29 parkometrach w Austin w Teksasie. Kierowcy skanowali kody, aby zapłacić za parking, ale kody QR prowadziły zamiast tego do fałszywej strony płatności. Każdy, kto wprowadził swoje dane płatnicze, ryzykował przekazanie tych informacji bezpośrednio oszustom.

Atak się powiódł, ponieważ fałszywe naklejki wyglądały na autentyczne. Większość kierowców nie miała powodu, by podejrzewać, że oryginalne kody QR zostały zastąpione.

Oszustwa związane z weryfikacją konta Microsoft 365

Wiele wiadomości phishingowych podszywa się pod Microsoft 365. Wiadomość może zawierać informację, że hasło wygasa, konto wymaga weryfikacji lub należy zaktualizować ustawienia uwierzytelniania wieloskładnikowego (MFA).

Zamiast zawierać link, wiadomość e-mail prosi o zeskanowanie kodu QR. Kod QR otwiera następnie fałszywą stronę logowania Microsoftu, zaprojektowaną w celu kradzieży nazw użytkowników i haseł. Niektóre kampanie próbują również przechwycić informacje o sesji, które pomagają atakującym uzyskać dostęp do kont.

Ponieważ złośliwy adres URL jest ukryty w kodzie QR, wiadomość e-mail na pierwszy rzut oka może wydawać się bezpieczniejsza niż tradycyjna wiadomość phishingowa.

Oszustwa związane z fakturami i płatnościami

Kolejnym częstym celem są firmy. W ramach tych ataków oszuści wysyłają wiadomości e-mail, które wyglądają jak faktury, wezwania do zapłaty lub wyciągi z konta od zaufanego dostawcy.

E-mail zawiera fałszywy kod QR, który rzekomo prowadzi do szczegółów płatności lub dokumentów uzupełniających. Po zeskanowaniu kodu QR ofiara trafia na fałszywą stronę internetową i jest proszona o podanie informacji dotyczących płatności, danych bankowych lub danych logowania do konta. Celem jest kradzież pieniędzy, poufnych informacji lub uzyskanie dostępu do systemów firmowych.

Cechą wspólną tych ataków jest zaufanie. Ludzie oczekują, że parkometry, strony logowania Microsoftu i faktury dostawców są autentyczne. Atakujący wykorzystują to zaufanie, ukrywając złośliwe strony internetowe za kodami QR. Ataki z wykorzystaniem naklejek są szczególnie skuteczne, ponieważ fałszywa naklejka z kodem QR może wtopić się w autentyczny znak, menu, kiosk lub terminal płatniczy.

Wyzwaniem dla użytkowników jest ustalenie, czy kod QR jest bezpieczny, zanim go zeskanują. Zrozumienie tej różnicy zaczyna się od wiedzy o tym, czy kody QR są bezpieczne i jakie kroki można podjąć, aby zweryfikować miejsce docelowe przed jego otwarciem.

Kto jest najczęściej celem ataków typu quishing?

Atakujący nie atakują wszystkich w równym stopniu. Skupiają się na branżach, które zajmują się pieniędzmi, poufnymi informacjami lub dużą liczbą dokumentów. Atakują również pracowników, których praca polega na zatwierdzaniu płatności, zarządzaniu kontami lub sprawdzaniu wniosków.

Branże, które są celem ataków typu quishing

Branża	Typowa przynęta w postaci kodu QR
Energetyka	Faktury dostawców, dokumenty dotyczące zgodności, wnioski dostawców
Usługi finansowe	Weryfikacja konta, zatwierdzanie płatności, bezpieczne dokumenty
Produkcja	Dokumenty wysyłkowe, faktury dostawców, zapytania ofertowe
Ubezpieczenia	Dokumenty polisowe, logowanie do portalu klienta, weryfikacja konta
Technologia	Resetowanie MFA, udostępnianie dokumentów, pobieranie oprogramowania

Branże te mają jedną wspólną cechę: wielu pracowników regularnie pracuje z fakturami, formularzami, zatwierdzeniami i powiadomieniami dotyczącymi kont. Atakujący wykorzystują te codzienne procesy, tworząc złośliwe kody QR, które wyglądają jak rutynowa komunikacja biznesowa.

Role najczęściej atakowane przez ataki typu „quishing”

Chociaż niektóre branże są narażone na większe ryzyko, atakujący często skupiają się na konkretnych pracownikach, którzy mają dostęp do pieniędzy, wrażliwych danych lub ważnych systemów biznesowych.

Kierownictwo

Kierownictwo należy do grup najczęściej atakowanych. Według Abnormal Security liderzy najwyższego szczebla są ofiarami ataków typu quishing 42 razy częściej niż inni pracownicy. Atakujący często wykorzystują pilne prośby, dokumenty zatwierdzające lub powiadomienia o weryfikacji konta, ponieważ kierownictwo ma dostęp do poufnych informacji i systemów finansowych.

Zespoły finansowe

Pracownicy działu finansowego są częstym celem oszustw związanych z fakturami i płatnościami. Ich praca wymaga sprawdzania faktur, zatwierdzania płatności i współpracy z dostawcami. Atakujący wiedzą o tym i często podszywają złośliwe kody QR pod prośby o płatność lub dokumenty finansowe.

Zespoły IT

Pracownicy działu IT regularnie zajmują się resetowaniem haseł, aktualizacjami uwierzytelniania wieloskładnikowego (MFA) oraz alertami bezpieczeństwa. E-maile typu „quishing” często kopiują te wiadomości i wykorzystują kody QR, aby przekierować ofiary na fałszywe strony logowania.

Zespoły HR

Pracownicy działu kadr zajmują się CV, formularzami rekrutacyjnymi, dokumentami dotyczącymi świadczeń oraz aktami osobowymi pracowników. Atakujący mogą podszywać się pod dokumenty rekrutacyjne lub wnioski pracowników, aby uzyskać dostęp do systemów firmowych.

Pracownicy pierwszej linii i pracownicy terenowi

Pracownicy magazynów, fabryk, sklepów detalicznych i innych fizycznych lokalizacji są narażeni na inne ryzyko. Atakujący mogą umieszczać fałszywe naklejki z kodami QR na sprzęcie, kioskach, znakach lub terminalach płatniczych, z których pracownicy korzystają na co dzień.

Cechą wspólną wszystkich tych celów jest zaufanie. Atakujący szukają sytuacji, w których skanowanie kodu QR wydaje się normalne. Im bardziej znany jest przebieg pracy, tym większe prawdopodobieństwo, że ktoś najpierw zeskanuje kod, a dopiero potem zada pytania.

Jak chronić swoją organizację przed quishingiem

Quishing działa, ponieważ atakujący ukrywają złośliwe linki w kodach QR i przekonują ludzi do ich skanowania. Aby zmniejszyć ryzyko, organizacje potrzebują zabezpieczeń obejmujących zarówno bezpieczeństwo poczty elektronicznej, jak i kody QR. Pomocne może być zastosowanie sześciu poniższych środków kontroli.

1. Korzystaj z narzędzi do zabezpieczania poczty elektronicznej, które mogą sprawdzać kody QR

Tradycyjne filtry poczty elektronicznej są zaprojektowane do skanowania linków i tekstu. Ataki typu quishing ukrywają miejsce docelowe w obrazie kodu QR.

Nowoczesne narzędzia do zabezpieczania poczty elektronicznej potrafią dekodować kody QR w wiadomościach e-mail i załącznikach, a następnie sprawdzać, czy miejsce docelowe jest bezpieczne. Bez tej funkcji złośliwe kody QR mogą niezauważenie ominąć zabezpieczenia.

Standardy uwierzytelniania poczty elektronicznej, takie jak DMARC, SPF i DKIM, są nadal ważne, ale weryfikują one jedynie nadawcę. Nie sprawdzają one samego kodu QR.

2. Wzmocnij ochronę konta dzięki odpornej na phishing autoryzacji wieloskładnikowej (MFA)

Wiele ataków typu quishing ma na celu kradzież nazw użytkowników i haseł. Silne uwierzytelnianie wieloskładnikowe (MFA) zmniejsza ryzyko, że skradzione hasło doprowadzi do przejęcia konta.

W miarę możliwości należy stosować metody odporne na phishing, takie jak klucze bezpieczeństwa lub klucze dostępu. Metody te znacznie utrudniają atakującym dostęp do kont, nawet jeśli pracownik wprowadzi swoje hasło na fałszywej stronie internetowej.

3. Ogranicz dostęp dla przejętych kont

Żadne zabezpieczenia nie są idealne. Organizacje powinny założyć, że niektóre ataki ostatecznie zakończą się sukcesem.

Ograniczenie dostępu w oparciu o zakres obowiązków służbowych pomaga zmniejszyć szkody. Jeśli atakujący uzyskają dostęp do jednego konta, nie powinni mieć możliwości swobodnego poruszania się po systemach, danych i aplikacjach.

4. Szkol pracowników w zakresie rozpoznawania oszustw związanych z kodami QR

Większość programów podnoszących świadomość w zakresie bezpieczeństwa koncentruje się na podejrzanych linkach. Pracownicy powinni również dowiedzieć się, jak działa phishing.

Szkolenie powinno obejmować typowe sygnały ostrzegawcze, takie jak nieoczekiwane kody QR w wiadomościach e-mail, pilne prośby o weryfikację konta oraz naklejki z kodami QR umieszczone na istniejących znakach lub terminalach płatniczych.

5. Włącz quishing do programów bezpieczeństwa i zgodności

Agencje federalne, w tym Federalna Komisja Handlu (FTC), Federalne Biuro Śledcze (FBI) oraz Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), ostrzegają przed phishingiem z wykorzystaniem kodów QR.

Organizacje powinny przejrzeć swoje istniejące zasady bezpieczeństwa i upewnić się, że quishing jest uwzględniony w szkoleniach pracowników, ocenach ryzyka i procedurach reagowania na incydenty. Jest to szczególnie ważne dla branż podlegających regulacjom, które już stosują ramy cyberbezpieczeństwa i zgodności z przepisami.

6. Opracuj plan reagowania na incydenty związane z urządzeniami mobilnymi

Wiele ataków typu quishing przenosi użytkowników z urządzenia służbowego na telefon osobisty.

Organizacje powinny posiadać jasny proces badania zgłoszeń dotyczących skanowania złośliwych kodów QR, identyfikacji narażonych kont, resetowania danych uwierzytelniających oraz monitorowania podejrzanej aktywności.

Quishing różni się od tradycyjnego phishingu, ponieważ ukrywa złośliwe linki w kodach QR i często przenosi użytkowników z urządzenia służbowego na telefon osobisty. Takie taktyki mogą utrudniać wykrywanie ataków i zmniejszać skuteczność zabezpieczeń zaprojektowanych do sprawdzania linków tekstowych i treści e-maili.

Wraz z rosnącą popularnością kodów QR organizacje muszą traktować quishing jako odrębne zagrożenie dla bezpieczeństwa. Firmy, które łączą zabezpieczenia poczty elektronicznej uwzględniające kody QR, silne uwierzytelnianie wieloskładnikowe (MFA), szkolenia pracowników i jasne procedury reagowania, są lepiej przygotowane do zapobiegania atakom i ograniczania szkód w przypadku ich powodzenia.

Zachowaj kontrolę nad kodami QR tworzonymi przez Twoją firmę

Nie wszystkie kody QR stanowią zagrożenie. Firmy używają kodów QR na co dzień do płatności, dokumentów, obsługi klienta i procesów operacyjnych. Wyzwaniem jest zapewnienie, aby użytkownicy mieli pewność co do miejsc, do których prowadzą te kody QR.

The QR Code Generator (TQRCG) pomaga firmom tworzyć kody QR, które można śledzić, edytować i które są połączone ze zweryfikowanymi miejscami docelowymi. Daje to organizacjom większy wgląd w to, jak wykorzystywane są ich kody QR i dokąd kierują one użytkowników.

TQRCG spełnia również wymagania bezpieczeństwa enterprise dzięki certyfikatom SOC 2 Type 2 i ISO 27001, a także zgodności z RODO. W połączeniu z funkcjami takimi jak śledzenie skanowania i zarządzanie adresami docelowymi, te mechanizmy pomagają firmom zapewnić wyższy poziom bezpieczeństwa kodów QR, jednocześnie zmniejszając ryzyko nadużyć.

Często zadawane pytania

1. Czym jest quishing w prostych słowach?

Quishing to rodzaj ataku phishingowego, który wykorzystuje kod QR zamiast zwykłego linku. Gdy ktoś skanuje kod QR, może zostać przekierowany na fałszywą stronę internetową zaprojektowaną w celu kradzieży haseł, danych płatniczych lub innych poufnych informacji. Termin ten łączy w sobie słowa „QR Code” i „phishing”.

2. Jaka jest różnica między phishingiem a quishingiem?

Tradycyjny phishing wykorzystuje linki, które można kliknąć w wiadomościach e-mail, SMS-ach lub na stronach internetowych. Quishing ukrywa złośliwy link w kodzie QR. Oba ataki mają ten sam cel: nakłonienie ludzi do odwiedzenia fałszywej strony internetowej. Główna różnica polega na tym, że quishing wykorzystuje kod QR do ukrycia miejsca docelowego.

3. Czy skanowanie kodu QR może spowodować zainfekowanie urządzenia wirusem?

Samo zeskanowanie kodu QR nie powoduje zainstalowania wirusa. Kod QR po prostu przekierowuje urządzenie do miejsca docelowego, takiego jak strona internetowa. Ryzyko wynika z tego, co dzieje się po zeskanowaniu. Jeśli kod QR prowadzi do złośliwej strony internetowej, strona ta może próbować wykraść dane użytkownika lub nakłonić go do pobrania szkodliwego oprogramowania.

4. Dlaczego quishing jest tak trudny do wykrycia?

Wiele narzędzi zabezpieczających jest zaprojektowanych do sprawdzania linków i tekstu. Kod QR to obraz, co może utrudniać jego analizę. Ataki typu quishing często przenoszą użytkowników z komputera służbowego na telefon osobisty. To może utrudniać organizacjom monitorowanie i blokowanie złośliwych działań.

5. Jakie są typowe przykłady ataków typu quishing?

Typowe przykłady to fałszywe naklejki z kodami QR umieszczone na prawdziwych kodach QR na parkometrach, wiadomości phishingowe udające powiadomienia z konta Microsoft 365 oraz fałszywe faktury zawierające kody QR prowadzące do fałszywych stron płatności. W każdym przypadku atakujący wykorzystuje kod QR, aby ukryć złośliwą stronę internetową za pozornie normalnym żądaniem.

6. Jak organizacje mogą chronić się przed quishingiem?

Organizacje mogą zmniejszyć ryzyko, stosując narzędzia zabezpieczające pocztę elektroniczną, które sprawdzają kody QR, wprowadzając silne uwierzytelnianie wieloskładnikowe (MFA), ograniczając dostęp do wrażliwych systemów oraz szkoląc pracowników w zakresie rozpoznawania oszustw związanych z kodami QR. Ważny jest również jasny plan reagowania na incydenty, dzięki któremu zespoły będą wiedzieć, co zrobić, jeśli ktoś zeskanuje złośliwy kod QR lub wprowadzi dane uwierzytelniające na fałszywej stronie internetowej.

7. Jak rozpoznać fałszywy kod QR?

Fałszywy kod QR często przekierowuje użytkowników na podejrzaną stronę internetową, która naśladuje legalną markę. Przed wprowadzeniem jakichkolwiek informacji sprawdź, czy adres URL strony internetowej zgadza się z oficjalną domeną marki. Zachowaj ostrożność, jeśli strona zawiera błędy ortograficzne, prosi o podanie poufnych informacji lub wygląda inaczej niż zwykle w przypadku danej firmy.