A kiberbűnözők egyre gyakrabban használnak látványosan módosított QR-kódokat adathalász linkek terjesztésére – figyelmeztet a Help Net Security.
A QR-kódos adathalászat (quishing) már önmagában is nehezen észlelhető, mivel a QR-kódok nem jelenítik meg előre a céloldal URL-jét, továbbá emberi szemmel gyakorlatilag értelmezhetetlenek, így a felhasználók nem látják, milyen weboldalra irányítja őket a kód. Az elkövetők most olyan QR-kódokat terveznek, amelyek színesek, különféle formákkal és logókkal vannak díszítve, így megjelenésük alapján könnyen hivatalos vagy hiteles forrásnak tűnhetnek.
A Help Net Security szerint ezek a grafikailag módosított QR-kódok tovább nehezítik a felismerést. Már nem emlékeztetnek a megszokott fekete-fehér négyzetrácsra: logók kerülnek a közepükre, az elemek lekerekítettek, torzítottak vagy átszínezettek, a háttérképek pedig beleolvadnak a kód mintázatába. Bár a kód továbbra is működőképes marad, ezek a vizuális módosítások megzavarják azokat a szerkezeti és vizuális mintázatokat, amelyekre a jelenlegi detektáló eszközök építenek.
A Deakin Egyetem kutatói szerint az esztétikailag módosított QR-kódok úgy jönnek létre, hogy egy képet összeolvasztanak a hagyományos fekete-fehér QR-kóddal, aminek eredményeként a kód moduljai az emberi szem számára szinte felismerhetetlenné válnak.
A quishing típusú támadások különösen veszélyesek, mivel a felhasználók jellemzően okostelefonjukkal olvassák be a QR-kódokat, így kijátszhatják a munkahelyi számítógépeken működő vállalati biztonsági rendszereket. Ráadásul a támadók megtévesztő QR-kódokat tartalmazó matricákat fizikai helyszíneken is elhelyezhetnek – például épületekben, parkolókban vagy nyilvános hirdetőtáblákon.
A NordVPN kiberbiztonsági szolgáltató adatai szerint az amerikai felhasználók 73%-a úgy olvas be QR-kódokat, hogy nem ellenőrzi a céloldalt, és már több mint 26 millió esetben irányították őket rosszindulatú weboldalakra.
A jelenség nemzetközi szinten is aggodalomra ad okot: az Egyesült Államok Szövetségi Kereskedelmi Bizottsága 2025-ben például arra figyelmeztette a lakosságot, hogy kezeljék fenntartásokkal az ismeretlen csomagokon elhelyezett QR-kódokat, New York közlekedési hatósága pedig parkolóautomatákon azonosított hamis kódokat.
A vizuálisan módosított QR-kódok komoly kihívást jelentenek az IT-biztonsági szakemberek számára, mivel megkerülik a hagyományos felismerési mechanizmusokat, és a mobileszközökön keresztül közvetlen hozzáférést biztosítanak a felhasználókhoz. Fontos, hogy a biztonságtudatossági képzések foglalkozzanak a QR-kódok biztonságos használatával, a mobilvédelmi megoldások megerősítésével, valamint a felhasználói éberség fokozásával.