A QR-kód beolvasása sebezhetővé teheti. Így védheti meg magát

Valószínűleg a héten beolvasott egy QR-kódot gondolkodás nélkül. Talán egy éttermi asztalnál, egy parkolóóránál vagy egy konferencia-jelvénynél. Ezek a pixeles négyzetek annyira beépültek a mindennapi életbe, hogy a legtöbb ember ugyanolyan bizalmasan kezeli őket, mint egy utcatáblát. Ám az utcatáblákkal ellentétben a QR-kód bárhová átirányíthat – a kiberbűnözők pedig egyre gyakrabban használják ki ezt a vak bizalmat hitelesítő adatok ellopására, rosszindulatú programok telepítésére és bankszámlák kiürítésére. Az FBI 2022-ben nyilvános figyelmeztetést adott ki a rosszindulatú QR-kódokról, és a probléma azóta csak felgyorsult. Csak 2025-ben a QR-alapú adathalász támadások – amelyeket „quishing”-nek neveznek – több mint 400%-kal nőttek az előző évhez képest. Ha vállalkozása QR-kódokra támaszkodik az ügyfelek interakcióihoz, fizetéseihez vagy műveleteihez, akkor ennek a veszélynek a megértése nem kötelező.

Hogyan működnek a QR-kódos támadások

A QR-kód egyszerűen egy géppel olvasható formátum egy URL vagy más adatok kódolására. Amikor beolvas egyet, telefonja bármelyik beágyazott hivatkozást megnyitja – és ez az, ahol a veszély rejlik. A támadók QR-kódokat hoznak létre, amelyek meggyőző adathalász oldalakra mutatnak, amelyek célja a bejelentkezési adatok, fizetési adatok vagy személyes adatok gyűjtése. Mivel az emberi szem nem tudja elolvasni a kódolt URL-t a szkennelés előtt, nincs vizuális utalás arra, hogy valami nincs rendben.

A leggyakoribb támadási módszer a fizikai csere. A bûnözõ rosszindulatú QR-kódot nyomtat egy matricára, és egy jogos kód fölé helyezi – parkolóautomatára, éttermi asztalsátorra vagy nyilvános hirdetõtáblára. Az áldozat beolvassa a szerinte megbízható kódot, és egy hamis fizetési oldalra vagy bejelentkezési képernyőre kerül. A texasi Austinban a rendőrség egyetlen művelettel több mint 30 nyilvános parkolóautomatán fedezett fel hamis QR-matricákat, amelyek a sofőröket egy hamisított fizetési portálra irányították, amely valós időben rögzítette hitelkártyaszámaikat.

A kifinomultabb támadások QR-kódokat ágyaznak be az adathalász e-mailekbe, PDF-számlákba és még a fizikai levelekbe is. Mivel az e-mail biztonsági szűrőket szöveges hivatkozások és mellékletek vizsgálatára tervezték, a QR-kód kép gyakran teljesen megkerüli ezeket a védelmet. Az Abnormal Security biztonsági cég arról számolt be, hogy a QR-kódos adathalász e-mailek 89%-a kikerülte a hagyományos e-mail szűrőket a tesztelés során – ez a hiányosság, amelyet a támadók aktívan kihasználnak minden méretű vállalkozás ellen.

A valós világban okozott kár: több, mint ellopott jelszavak

A sikeres quishing támadás következményei messze túlmutatnak egy feltört jelszónál. Az üzleti kontextusban egyetlen alkalmazott, aki ebédszünetben beolvas egy rosszindulatú QR-kódot, bevetheti a támadók lábát a vállalati rendszerekbe. Innentől a belső hálózatokon keresztül történő oldalirányú mozgás, a zsarolóprogramok telepítése és az adatok kiszűrése valós lehetőséggé válik. Az IBM éves jelentése szerint az adatszivárgás átlagos költsége 2024-ben elérte a 4,88 millió dollárt világszerte.

A kis- és középvállalkozások számára a hatás aránytalanul pusztító. Egy manchesteri kávézótulajdonos felfedezte, hogy valaki minden asztalon lecserélte a QR-kódokat hamisítványokra, amelyek egy klónozott fizetőoldalra irányították át az ügyfeleket. Mire három nappal később azonosították a csalást, több mint 70 ügyfél adta meg kártyaadatait a támadó oldalára. A jó hírnév károsodása hónapokig tartott, amíg helyreálltak – sokkal tovább, mint a pénzügyi veszteségek.

Egyre nagyobb veszélyt jelentenek a QR-kódok, amelyek rosszindulatú alkalmazások automatikus letöltését váltják ki, különösen Android-eszközökön. Ezek az alkalmazások csendben rögzíthetik a billentyűleütéseket, hozzáférhetnek a névjegyekhez, elfoghatják a kéttényezős hitelesítési kódokat, és még kamerákat és mikrofonokat is aktiválhatnak. Egyetlen szkennelés, kevesebb mint két másodpercnyi művelet, az egész eszközt veszélyeztetheti.

Miért a vállalkozások egyszerre célpontok és vektorok?

A vállalkozások kétoldalú kockázattal néznek szembe. Egyrészt az ismeretlen QR-kódokat beolvasó alkalmazottak bejövő fenyegetést jelentenek a vállalat biztonságára nézve. Másrészt azok a vállalkozások, amelyek QR-kódokat alkalmaznak az ügyfelek számára elérhető célokra – menük, fizetések, visszajelzési űrlapok, Wi-Fi hozzáférés – tudtukon kívül támadások vektoraivá válhatnak, ha ezeket a kódokat t

Frequently Asked Questions

What is QR code phishing (quishing) and how does it work?

QR code phishing, known as quishing, occurs when cybercriminals replace legitimate QR codes with malicious ones that redirect users to fake websites. These fraudulent sites mimic trusted brands to steal login credentials, financial information, or install malware on your device. Attacks commonly target parking meters, restaurant menus, and event materials where people scan without hesitation, making it one of the fastest-growing cyber threats today.

How can I tell if a QR code is safe before scanning?

Always preview the URL your phone displays before opening it. Look for misspellings, unusual domains, or shortened links that hide the true destination. Avoid scanning QR codes on stickers placed over original codes, as this is a common tampering method. Use your phone's built-in camera rather than third-party scanner apps, and never enter passwords or payment details on a site reached through an unfamiliar QR code.

Can businesses protect their customers from fake QR codes?

Yes. Businesses should use branded, dynamic QR codes with custom domains so customers can verify authenticity. Regularly inspect physical QR codes for tampering and rotate URLs when compromise is suspected. Platforms like Mewayz offer a 207-module business OS starting at $19/mo that includes secure link management and branded digital touchpoints, reducing reliance on exposed physical QR codes altogether.

What should I do if I accidentally scanned a malicious QR code?

Immediately close the browser tab without entering any information. If you already submitted credentials, change those passwords right away and enable two-factor authentication on affected accounts. Run a security scan on your device, monitor bank statements for unauthorized charges, and report the fraudulent QR code to the business whose code was spoofed and to the FTC at ReportFraud.ftc.gov.

Related Posts

• HN megjelenítése: Sgai – Célvezérelt többügynök szoftverfejlesztő (GOAL.md → működő kód)
• Túlzott mértékű tokenhasználat a Claude Code-ban
• A kardiorespiratorikus fitnesz alacsonyabb haraggal és szorongással jár
• A telefonok beállítása egy rémálom