Gyors, kényelmes, megszokott – és egyre gyakrabban veszélyes. A QR-kódok térnyerésével párhuzamosan világszerte terjednek az úgynevezett quishing támadások, amelyeknél egyetlen szkennelés is elég lehet az adathalászoknak. Miért működik ez a módszer, és hogyan védekezhetünk ellene.
A QR-kód mára szinte láthatatlanná vált. Nem azért, mert eltűnt volna, hanem mert annyira megszoktuk, hogy észrevétlenül simul bele a mindennapjainkba: étlapok, parkolóautomaták, csomagértesítések, belépők, fizetés. A pandémia alatt berobbant technológia ma már alapértelmezett kényelmi eszköz – éppen ezért vált vonzó célponttá a kiberbűnözők számára is.
A kiberbiztonsági szakértők egyre gyakrabban figyelmeztetnek az úgynevezett quishing jelenségre, vagyis a QR-kódos adathalász támadások terjedésére. Ezekben az esetekben a támadók nem linket küldenek, hanem egy ártatlannak tűnő kódot kínálnak fel – a „kattintás” így egyetlen mozdulattá, egy gyors szkenneléssé egyszerűsödik.
Mi az a quishing, és miért működik?
A quishing (QR code phishing) lényege, hogy a felhasználót egy rosszindulatú weboldalra irányítják egy QR-kód segítségével. A módszer egyszerű, de hatékony: a kódot gyakran legitim QR-ekre ragasztják rá nyilvános helyeken – parkolóautomatákon, éttermekben, kioszkokon –, vagy e-mailben küldik el, látszólag hivatalos üzenet részeként.
Az FBI január elején külön figyelmeztetést adott ki olyan, Észak-Koreához köthető kibercsoportok miatt, amelyek hamis QR-kódokkal próbáltak személyes adatokat megszerezni. A jelenség azonban korántsem amerikai sajátosság: az Egyesült Királyságban például parkolóautomatákra ragasztott hamis QR-matricák vezettek megtévesztő fizetési oldalakra, míg az USA Szövetségi Kereskedelmi Bizottsága (FTC) váratlan csomagokban érkező QR-kódokkal kapcsolatban adott ki riasztást.
Miért különösen veszélyes a QR-kód?
A Planet VPN kiberbiztonsági szakértői szerint a QR-kód egyik legnagyobb „előnye” egyben a legnagyobb kockázata is: kiveszi a felhasználó kezéből a tudatos döntést.
„A quishing tulajdonképpen phishing – csak más csomagolásban. A QR-kód lejjebb viszi az emberek védekezési küszöbét, mert a technológia viszonylag új, és nem társítjuk hozzá ösztönösen a veszélyt” – mondja Konstantin Levinzon, a cég társalapítója.
A klasszikus adathalász e-maileknél sokan már reflexből keresik a gyanús jeleket: furcsa linkeket, helyesírási hibákat, sürgető hangnemet. Egy QR-kód viszont vizuálisan semleges, és a „kockázatos kattintás” egy pillanat alatt, szinte gondolkodás nélkül történik meg.
Ráadásul a támadók technikailag is előnyben vannak: a QR-kódok gyakran megkerülik az e-mailes spam- és phishing-szűrőket, mivel azok elsősorban szöveget és linkeket elemeznek, nem képeket. Még azoknál a rendszereknél is, amelyek már felismerik a QR-kódokat, a bűnözők újabb trükkökkel – például eltérő színezéssel – próbálják kijátszani a védelmet.
Mekkora a veszély valójában és mit tehetünk felhasználóként?
A Proofpoint kiberbiztonsági kutatói szerint 2025. első felében legalább 4,2 millió QR-kódhoz köthető fenyegetést azonosítottak. A valós szám azonban ennél jóval magasabb lehet, mivel sok támadás észrevétlen marad.
Ez nem véletlen: a QR-kódos csalások gyakran tökéletesen utánozzák a legitim weboldalakat – egy étterem honlapját, egy fizetési felületet vagy egy belső vállalati oldalt. A felhasználó sokszor csak akkor szembesül a problémával, amikor már megadta bankkártya-adatait vagy belépési információit.
A szakértők szerint a védekezés kulcsa nem a QR-kódok teljes elutasítása, hanem a tudatosabb használat.
Gyanús jel lehet például:
• ha a szkennelés után az oldal azonnal fizetést vagy belépési adatokat kér,
• ha a QR-kód váratlanul, előzmény nélkül érkezik e-mailben vagy csomagban,
• ha nyilvános helyen a kód matricának tűnik, mintha „rá lenne ragasztva” az eredetire.
Levinzon szerint ugyanazt a logikát kellene alkalmazni, mint bármely más online interakciónál:
„Legyünk szkeptikusak, akár munkahelyi, akár magánüzenetről van szó. A figyelem azonban önmagában nem elég – alapvető védelmi lépésekre is szükség van.”
Ilyen lépések lehetnek:
• VPN használata nyilvános Wi-Fi-hálózatokon,
• rendszeres frissítések telepítése,
• erős, egyedi jelszavak alkalmazása,
• többfaktoros hitelesítés bekapcsolása minden fontos fióknál.
A kényelem ára
A QR-kód nem ellenség – de nem is ártatlan eszköz. Ahogy egyre több területen váltja ki a papírt, a nyomtatott menüket vagy akár a hagyományos fizetési folyamatokat, úgy válik kritikus digitális kapuvá is.
A kérdés nem az, hogy használjuk-e, hanem az, hogy (el)gondolkodunk-e, mielőtt szkennelünk.
