Dáte si pizzu za korunu? Experiment s QR kódem ukázal, jak je snadné naletět

Platba QR kódem je velmi oblíbený způsob, jak si zjednodušit a urychlit nezáživnou platební proceduru. Bohužel někdy až moc jednoduchá. Lidé platí ve spěchu, aniž by uvažovali nad možnými riziky. Experiment společnosti ČMIS odhalil, že většina lidí zadá platební údaje bez váhání.

QR kód snímaný smartphonem | foto: Creative Commons

QR kód se stal běžnou součástí každodenního života – platíme jím, objednáváme jídlo, otevíráme dveře i přihlašujeme se do služeb. Jenže právě jeho popularitu zneužívají kyberútočníci. Česká technologická společnost ČMIS provedla experiment ČMIZZA, který ukázal, jak může vypadat phishing přes QR kód .

Co je to quishing?

Každý den je po celém světě rozesláno přibližně 3,4 miliardy phishingových e-mailů, které se snaží podvodně získat přihlašovací nebo platební údaje, a jejich počet podle statistik stále stoupá. Přitom ve 22 procentech phishingových útoků hrají roli falešné QR kódy, které působí na uživatele důvěryhodněji než odkaz v e-mailu a zároveň lépe obcházejí technická opatření. QR kód také neukazuje adresu cílového webu, a uživatel tedy nevidí, kam přesně vede.

Quishing

je forma kybernetického útoku, při které útočníci zneužívají QR kódy k získání citlivých údajů, například přihlašovacích jmen, hesel nebo platebních informací.
Útočníci se zaměřují hlavně na:

  • firemní e-mailové systémy
  • cloudová úložiště
  • nástroje pro vzdálený přístup

Jak quishing funguje:

  • Útočník vytvoří falešný QR kód, který věrohodně umístí na plakát, leták, e-mail nebo webovou stránku.
  • Po naskenování se uživatel dostane na podvodnou stránku, která často napodobuje legitimní službu (např. přihlašovací portál, banku, e-shop).
  • Uživatel na této stránce zadá osobní či platební údaje, které útočník okamžitě získá.

„Quishing“ má však mnoho podob. „Útočníci vylepují falešné QR kódy na parkovacích automatech nebo plakátech a oběti pak přesměrují na podvodné platební brány. V e-mailech se stále častěji objevují PDF přílohy s vloženým QR kódem, který vede na škodlivý web a dokáže obejít běžné bezpečnostní filtry,“ varuje Václav Svátek, generální ředitel společnosti ČMIS.

Kódy ale mohou směřovat i na stránky s falešnou reklamou nebo malwarem, případně na podvodné Wi-Fi sítě. Setkáváme se také s podvrženými aplikacemi pro čtení QR kódů, které útočníkům umožňují přístup k soukromí zařízení,“ doplňuje ředitel společnosti ČMIS.

Kyberútoky v Česku a lidský faktor jako nejslabší článek kyberbezpečnosti

Jen technické zabezpečení proti kyberútoku bohužel nestačí, protože až 95 procent útoků je úspěšných právě díky lidské chybě, například když člověk neopatrně klikne na odkaz nebo vyplní podvodný formulář. Častým cílem jsou noví zaměstnanci, kteří ještě dostatečně neznají procesy ve firmě, nebo lidé, kteří si naopak věří příliš. Útokům nečelí jenom firmy, ale také školy a další vzdělávací instituce.

Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se počet hlášených kybernetických incidentů v Česku v roce 2023 zvýšil o 80 % proti roku 2022. V roce 2024 firmy čelily 1 699 útokům, které způsobily škody přes 632 milionů korun. „Z hlediska kyberbezpečnosti můžeme předpokládat, že útoky budou stále sofistikovanější. Zejména s rozvojem umělé inteligence a stále větším využíváním chatbotů na bázi velkých jazykových modelů je pravděpodobné, že útočníci budou mít při přípravě kybernetických útoků lepší možnosti,“ doplňuje Lukáš Kintr, ředitel NÚKIB.

Experiment ČMIZZA: Pizza za korunu

Rizikovost lidské lehkomyslnosti potvrdil i sociální výzkum v terénu, který zorganizovala společnost ČMIS. Její zástupce nabízel pod fiktivní značkou pizzerie ČMIZZA kolemjdoucím pizzu za jednu korunu. Zájemcům stačilo naskenovat QR kód na krabici a vyplnit platební údaje.

Výsledek byl alarmující: téměř dvě třetiny lidí bez váhání zadaly údaje ze své platební karty. Experiment tak realisticky ukázal, jak snadno lze uživatele nalákat a přimět je k zadání citlivých dat. „Chtěli jsme ukázat, jak snadno lidé naletí atraktivní nabídce. Pizza za korunu byla neškodná, ale stejný scénář v reálném světě může znamenat, že útočníci získají přihlašovací údaje nebo otevřou přístup do firemní sítě,“ doplňuje k experimentu Václav Svátek.

Ochrana před phishingem

Podle odborníků z ČMIS je klíčové nejen zabezpečení systémů, ale i vzdělávání uživatelů, ať soukromých osob nebo zaměstnanců firem: „Lidská chyba zůstává hlavní vstupní branou útoků. Neskenujte neznámé QR kódy, vždy ověřte, kam vedou, a nikdy nezadávejte citlivé údaje na podezřelých stránkách.“

Velkou pozornost je třeba věnovat také URL adrese, protože útočníci umí rafinovaně napodobovat známé weby. Pokud je adresa zkrácená (např. bit.ly, tinyurl), je třeba nejvyšší opatrnost, protože nevidíme skutečný cíl.

Důvěryhodný web má:

    1. „https“ na začátku adresy
    2. jasnou doménu (např. www.ceskaposta.cz, ne ceskaposta-login.net)
    3. žádné překlepy ani podezřelé znaky

Jak poznat falešný QR kód?

  • Pokud je QR kód na plakátu, letáku nebo veřejném místě, pozorně se podívejte, zda nepřekrývá jiný kód, protože útočníci často nalepí falešný štítek přes originál.
  • Podezřelé je i to, když kód neodpovídá obsahu (např. když „menu“ v kavárně odkazuje na stránku s přihlášením do e-mailu).
  • Po naskenování QR kódu se vždy podívejte, na jakou adresu vás přesměruje, dříve než kliknete nebo vyplníte údaje.
    • Legitímní QR platby (např. QR platba v bankovní aplikaci) vás vždy přesměrují do vaší banky, ne na web. Útočníci často vytvoří kopii platební brány a po vás chtějí číslo karty nebo PIN.
    • Banky, úřady ani velké firmy neposílají QR kódy k přihlášení ani k ověření identity nabo získání výhod.
  • Některé bezpečnostní aplikace dokážou při skenování analyzovat odkaz a varovat vás před rizikem.

Obsah vznikl ve spolupráci se společností ČMIS.

