Většina úspěšných útoků přes QR kódy nevyužívá technickou zranitelnost — zneužívá člověka, který nevěděl, na co si má dát pozor. Phishing přes QR kód (často nazývaný "quishing") rapidně roste, protože obchází e-mailové filtry a působí důvěryhodněji než podezřelý odkaz. Pokud řídíte malou firmu nebo vedete tým, který se zabývá tištěnými materiály, pokladnicemi nebo komunikací s dodavateli, půlhodinové školení je jednou z nejlevnějších bezpečnostních investic, kterou můžete provést.
Zde je praktický šestidílný rámec, kterým můžete svůj tým projít právě teď.
1. Vysvětlete, co QR kód vlastně dělá
Než začnete vyučovat hrozby, ujistěte se, že všichni rozumějí mechanismu. QR kód je pouze strojově čitelná instrukce — nejčastěji URL adresa, ale někdy také přihlašovací údaje k Wi-Fi, telefonní číslo nebo žádost o platbu. Naskenování kódu převádí kontrolu na místo, kam kód ukazuje, což je přesně to, co útočníci zneužívají.
Odkažte zaměstnance na srozumitelný zdroj, jako je náš kompletní průvodce tím, jak fungují QR kódy, aby měli základní znalosti. Lidé, kteří nástroj rozumějí, jsou obtížněji podveditelní.
2. Naučte návyk "Náhled před otevřením"
Každý velký mobilní operační systém (iOS 16+, Android 13+) zobrazuje náhled URL adresy před otevřením záložky prohlížeče, když je QR kód naskenován pomocí nativní aplikace fotoaparátu. Naučte svůj tým:
- Zastavit se na obrazovce náhledu — nikdy netlačit okamžitě.
- Přečíst si celou doménu, ne jen začátek URL adresy. Útočníci používají subdomény jako
vasibanka.cz.overit-prihlaseni.net, kde skutečná doména jeoverit-prihlaseni.net. - Hledat HTTPS, ale považovat to pouze za minimální hranici, ne za záruku. Phishingové weby rutinně mají platné TLS certifikáty.
Tato jediná návyk blokuje velkou část opportunistických pokusů o quishing. Náš samostatný článek o tom, proč náhledy URL chrání skenery obsahuje více detailů, které stojí za to sdílet se svým týmem.
3. Seznam varovných signálů pro fyzické QR kódy
Zaměstnanci, kteří pracují v maloobchodě, pohostinství nebo na akcích, pravidelně vidí tištěné QR kódy třetích stran — nabídky, faktury, materiály z konferencí, dodací listy. Dejte jim konkrétní seznam varovných signálů:
| Signál | Proč na to záleží |
|---|---|
| Nálepka umístěná přes existující kód | Klasická metoda manipulace |
| Kód tištěný na papír bez značky | Nízká překážka pro padělek |
Náhled URL vede na IP adresu (např. http://192.168.1.1/…) |
Legitimní weby firem to nedělají |
| Cíl neodpovídá slíbenému účelu | "Skenujte, abyste viděli fakturu" → přesměrování na přihlašovací stránku |
| Kód na nevyžádané zásilce nebo balíčku | Vysokoriziková cesta distribuce |
Podrobnější pohled na fyzickou manipulaci se nachází v průvodci detekcí a prevencí zneužití QR kódů.
4. Zvláště pokryjte platební a přihlašovací QR kódy
Platební QR kódy (používané na fakturách, v pokladnách, na parkovacích místech) jsou vysoce cenným cílem. Přihlašovací QR kódy — ty, které automaticky vyplní heslo Wi-Fi nebo přihlášení do aplikace — jsou druhou odlišnou kategorií, kterou by měl váš tým tratovat jinak než marketingový sken.
Klíčové pravidlo k sdělení: nikdy neskenujte platební QR kód z neověřeného zdroje bez potvrzení příjemce přes samostatný kanál. Pokud dodavatel pošle fakturu e-mailem s QR kódem k platbě, zavolejte na známé číslo dodavatele ještě před skenováním. Toto není paranoia — fraud na fakturách přes QR je dobře zdokumentován.
Pro Wi-Fi QR kódy: před skenováním "guest Wi-Fi" kódu v libovolném sdíleném prostoru, který neovládáte, se poraďte s tím, kdo spravuje vaši síť.
5. Stanovte interní standard pro vaše vlastní materiály
Zamětnalená nebo nekonzistentní interní přístup činí zaměstnance zranitelnějšími. Pokud vaše firma používá QR kódy na pokwitancích, obalech nebo marketingových materiálech, definujte standard a komunikujte ho:
- Vždy používejte vaši registrovanou doménu jako cíl (např.
vasafirma.cz/…), nikdy nepoužívejte surový zkrácovač nebo přesměrování třetí strany bez značky. - Řekněte svému týmu, jak vaše QR kódy vypadají — barva, umístění loga, doména, na kterou se řeší — aby mohli rozpoznat napodobeninu.
- Používejte dynamické kódy kde je to možné, abyste mohli auditovat protokoly skenů a odstranit kompromitovanou URL bez tisku. Kompromisy mezi statickými a dynamickými formáty stojí za pochopení dříve, než se rozhodnete — toto porovnání statických vs dynamických QR kódů je jasně popsáno.
Když zaměstnanci vědí přesně, jak by měly vypadat vaše legitimní kódy, jsou mnohem lepší v odhalování padělků.
6. Proveďte jednoduché stolní cvičení
Vědomosti bez praxe se rozpadají. Jednou za čtvrtletí si vytiskněte dva nebo tři QR kódy — jeden, který vede na váš skutečný web, jeden, který vede na zřejmé místo pro testování ("TOTO JE TEST"), a jeden, který vypadá věrohodně, ale vede někam jinam. Požádejte členy týmu, aby každý naskenovali a vysvětlili, co by dělali, než by pokračovali.
Toto cvičení můžete vytvořit za méně než deset minut. Cílem není někoho chytit — je to vybudovat si návyk pozastavit se a přehlédnout náhled.
Klíčové poznatky
- QR útoky uspějí proti lidem, nikoli systémům — školení je přímým protiopatřením.
- Obrazovka náhledu URL je nejspolehlivější první linií obrany vašeho týmu; naučte všechny ji používat.
- Fyzická manipulace (nálepky přes legitimní kódy) je nejčastější typ útoku v osobním prostředí.
- Platební a přihlašovací QR kódy nesou vyšší rizika a zaslouží si samostatný, přísnější protokol.
- Definujte a komunikujte, jak by měly vypadat vaše vlastní legitimní QR kódy, aby zaměstnanci mohli identifikovat podvrhy.
- Kvartální praktické cvičení posiluje návyky lépe než jednorázová prezentace.
