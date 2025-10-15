Channeltrends  »  Názory & Analýzy  »  Pizzu za korunu zaplatili svými daty. Pozor na QR kódy, mohou být branou pro útoky

Zuzana Peroutková Bičíková
Dnes
Pár mladý muž a mladá žena skenuje qr kód pro mraženou pizzu v obchodě
Autor: Shutterstock
ČMIS v rámci experimentu s fiktivní značkou pizzerie ukazuje, jak snadno většina lidí podléhá lákavým nabídkám a nevědomky vystavují svá data riziku.

Společnost ČMIS upozorňuje na rizika quishingu neboli phishingu prostřednictvím QR kódů. Ty patří mezi nejrychleji rostoucí kybernetické hrozby, meziročně vzrostl počet útoků o 21 procent.

QR kód se podle analytiků objevil ve 22 procentech phishingových kampaní, které sloužily primárně k vylákání přihlašovacích údajů. Denně je přitom rozesláno 3,4 miliardy phishingových e-mailů. Více než polovina však vzniká kvůli lidské chybě.

„Quishing má mnoho podob. Útočníci vylepují falešné QR kódy na parkovacích automatech nebo plakátech a oběti pak přesměrují na podvodné platební brány,“ vysvětluje Václav Svátek, generální ředitel společnosti ČMIS.

V e-mailech se podle něj stále častěji objevují PDF přílohy s vloženým QR kódem, který vede na škodlivý web a dokáže obejít běžné bezpečnostní filtry. Kódy ale mohou směřovat i na stránky s falešnou reklamou nebo malwarem, případně na podvodné Wi-Fi sítě.

Dáte si ČMIZZU?

„Setkáváme se také s podvrženými aplikacemi pro čtení QR kódů, které útočníkům umožňují přístup k soukromí zařízení. Problém je, že QR kódy působí na uživatele důvěryhodněji než odkaz v e-mailu a zároveň je dokážou snadno maskovat i před technickými opatřeními. To z nich dělá atraktivní a velmi účinný nástroj pro útoky,“ upozorňuje Svátek.

ČMIS se rozhodl na toto riziko upozornit v rámci experimentu s názvem ČMIZZA. Vystoupila pod fiktivní značkou pizzerie a nabízela kolemjdoucím pizzu za jednu korunu. Stačilo naskenovat QR kód na krabici. Test odhalil, že téměř dvě třetiny lidí neváhaly a ochotně zadaly údaje ze své platební karty, protože nabídku vyhodnotili jako výhodnou příležitost.

Celá akce podle odborníků ukázala, jak snadno lze uživatele nalákat na atraktivní nabídku a přimět je k zadání citlivých informací. Stejným způsobem útočníci získávají přístup k firemním e-mailům, cloudovým úložištím nebo platebním údajům. Experiment zároveň potvrdil, že lidský faktor zůstává nejslabším článkem kybernetické bezpečnosti a pouhá technická opatření nestačí.

Těžko stravitelná čísla

„Chtěli jsme ukázat, jak snadno lidé naletí atraktivní nabídce. Pizza za korunu byla neškodná, ale stejný scénář v reálném světě může znamenat, že útočníci získají přihlašovací údaje nebo otevřou přístup do firemní sítě,“ zdůrazňuje Václav Svátek.

„Obrana je přitom jednoduchá: neskenujte neznámé QR kódy, vždy ověřte, kam vedou, a nikdy nezadávejte citlivé údaje na podezřelých stránkách. Proto musejí firmy kromě technických opatření pravidelně školit své zaměstnance, protože lidská chyba zůstává hlavní vstupní branou útoků,“ varuje.

Statistiky hrozby potvrzují: každý den je po celém světě rozesláno přibližně 3,4 miliardy phishingových e-mailů, meziročně vzrostl počet útoků o 21 procent. QR kód se objevuje ve 22 procentech phishingových kampaní. 

V 90 procentech quishingových útoků jde o krádež přihlašovacích údajů a dalších citlivých dat, obvykle zaměřených na firemní e-mailové systémy, cloudové úložiště nebo nástroje pro vzdálený přístup. Experiment ČMIS ukázal, že více než 60 procent lidí bez rozmyslu načte QR kód a zadá platební údaje, aniž řeší potenciální riziko.

Nerozkoukaní nováčci ve firmách

Podle ČMIS však nejde jen o jednotlivce. Průzkumy ukazují, že jen 27 procent zaměstnanců si věří, že dokážou rozpoznat cílený phishingový e-mail. Útočníci navíc často zneužívají skutečnou firemní komunikaci, což odhalení dále komplikuje.

S vaším heslem možná obchodují zločinci. Počet úniků přihlašovacích údajů roste Přečtěte si také:

S vaším heslem možná obchodují zločinci. Počet úniků přihlašovacích údajů roste

Vysoké riziko se týká i nových zaměstnanců, kteří v prvních 90 dnech ve firmě mají až o 44 procent vyšší pravděpodobnost, že útoku naletí. Celkově platí, že 95 procent kybernetických útoků má původ v lidské chybě.

Podle NÚKIB se počet hlášených kybernetických incidentů v Česku v roce 2023 zvýšil o 80 procent, z 146 na 262. V roce 2024 pak firmy a instituce čelily celkem 1 699 útokům, které způsobily škody ve výši 632 milionů korun.

Nejčastěji byly terčem e-shopy, školy, vzdělávací instituce a nebankovní společnosti. Specifická data k quishingu zatím v Česku dostupná nejsou, odborníci však očekávají, že vývoj bude kopírovat zahraniční trendy.

Zdroj: ČMIS

Zuzana Bičíková

Zuzana Peroutková Bičíková

