QR kódy jsou skvělý pomocník, ale i zlý pán. Tohle jsou nejčastější podvody, které vás mohou připravit o peníze

Přestože QR kódy zažívají největší boom až v posledních 10 letech, ve skutečnosti jsou s námi už od roku 1994. Jejich označení vzniklo jako zkratka z anglického Quick Response. Dnes mají široké využití od odkazů na web, mobilní platby, v poslední době se rozšířily ještě více díky covid pasům. QR kódy mohou usnadnit život, ovšem ve špatných rukou mohou být i docela nebezpečné.

Podstrčení falešného kódu

Běžný uživatel obvykle nepřemýšlí nad tím, že by QR kód mohl dělat něco jiného, než k čemu byl navržen. Přitom stačí jen malá nenápadná změna a podvodníci mohou nastrčením falešného QR kódu snadno okrádat lidi. Scénářů může být několik, nejčastější souvisí s platbami. Vše je přitom vždy stejné. Stačí nastrčit QR kód pro platbu na správné místo a uživatelé, kteří vizuálně prakticky nemají šanci falešný kód odhalit, podvodníkovi pošlou peníze dobrovolně.

S tím souvisí i čerstvý případ z texaského Austinu. Zde si podvodníci jako cíl vybrali placená parkoviště, respektive platební automaty. Zde byl cíl poměrně snadný, protože řidič, který přijede k platebnímu automatu, počítá s tím, že musí něco zaplatit. Útočníci tak na stojany jednoduše nalepili vlastní QR kódy odkazující na falešnou platební bránu, do které nic netušící řidiči vyplnili platební údaje ke svým platebním kartám.

Podvodníci nalepili falešný QR kód na parkovací automat (obr.: Click2Houston) 

Největší paradox na tomto případu zneužití je, že takto „napadené“ parkovací automaty samy o sobě podporovaly jen platbu hotově nebo platební kartou vsunutím do automatu. Útočníci tak vlastně automatům přidali zcela novou funkci, pro kterou vůbec nebyly konstruovány. Podobné pokusy byly kromě texaského Austinu zaznamenány i v dalších amerických městech.

Podvody s kryptoměnami

Podvody s QR kódy jsou často hodně spjaté i s kryptoměnami. Vzhledem ke složité povaze adres kryptoměnových peněženek, které se špatně pamatují i opisují, jsou nejpoužívanější volbou pro platby právě QR kódy. Pokud je tedy uživateli nastrčen falešný kód, může osoba sama nevědomky virtuální peníze odeslat někomu jinému.

Dokonce byly hlášeny případy, kdy podvodníci obětem přímo volali a vydávali se za státní autoritu či dodavatele služeb a pod záminkou nezaplacených účtů nebo daní přiměli oběť k tomu, aby jim poslala skrze QR kód peníze. V případech, kdy člověk žádnou kryptoměnu nevlastnil, jej dokonce dokázali navést k tomu, aby si ji nejdřív koupil v automatu. Pak rovnou nastrčili vlastní QR kód, na který zcela zmatená oběť nakoupené kryptoměny odeslala.

QR kód k šíření škodlivého softwaru

QR kódy útočníci nemusí použít jen k získání platebních údajů. Mohou se používat i k šíření škodlivého kódu. Stačí jen do QR kódu narafičit správnou URL adresu, se kterou si uživatel po otevření může do zařízení natáhnout škodlivý kód. Co možná není úplně známé, je fakt, že do QR kódů dají schovat i různé příkazy pro chytrý telefon. Po načtení kódu pak telefon může sám odeslat SMS, email, vytočit telefonní číslo a poskytnout útočníkům důležitá data. 

Podvádí se i v Česku

Podvody s QR kódy se objevují i v České republice. Jedna z největších lokálních kauz se udála loni v létě, kdy podvodníci využili solidárnosti lidí v souvislosti s moravským tornádem. Pod záminkou příspěvku na pomoc postiženým tak na sociálních sítích pomocí QR kódů inkasovali peníze. V tomto případě ale viníka dopadla policie.

V Česku se dá pomocí QR kódů platit například v restauracích: