QR podvody — falešné kódy v terénu
QR kód na parkomatu nebo v restauraci může vést jinam, než vidíš.
Co to je
Útočník přelepí pravý QR kód (na parkovacím automatu, v restauračním menu, na platebním terminálu, na letáku) vlastním QR kódem, který směruje na podvodnou stránku napodobující pravé rozhraní. Vyplníš platební údaje v domnění, že jde o legitimní službu — dostane je útočník.
Proč to záleží
Po naskenování QR vždy zkontroluj URL adresu v prohlížeči (zda doména odpovídá tomu, co očekáváš) předtím, než vyplníš cokoli citlivého. Pro pravidelně používané služby (MHD, parkování) preferuj oficiální aplikace (PID Lítačka, ParkSimply, oficiální app města) — náhodný QR z letáku v ulici nepoužívej. V restauraci je QR menu OK pro čtení; pokud po skenu chce QR rovnou platbu, je to red flag.
Jak útok funguje
QR útoky (anglicky quishing) se v ČR 2024-2026 šíří hlavně na turistických místech a v městské infrastruktuře:
1. Přelepený QR na parkovacím automatu
Útočník vytiskne vlastní QR samolepku se stejným designem jako oficiální městský QR a přelepí ho. Skenuješ, otevírá se stránka, která vypadá jako oficiální parkovací portál (praha-parkovani.cz, prague-parking.com). Vyplníš SPZ, čas, údaje karty. Zaplatíš — útočníkovi. Auto dostane parkovací pokutu, protože platba nikdy nedorazila do městského systému.
2. QR v restauračním menu vedoucí k "platbě"
QR menu je legitimní (po covidu standard). Útočník přidá vlastní QR na stůl s textem "Naskenujte pro platbu". Vede na podvrženou platební bránu. Některé varianty jsou subtilnější: útočník přelepí QR menu, který chvíli "načítá" a pak zobrazí platební bránu místo menu.
3. QR na letáku / plakátu na ulici
"Naskenuj QR pro slevu 50 % v X". Plakát vypadá oficiální, QR jde na podvrženou stránku, která krade login na e-shopu nebo údaje karty. Často cílí na turistická místa (Karlův most, Václavské náměstí).
4. QR pro WiFi nebo Bluetooth
QR může v sobě obsahovat instrukce pro telefon: připojit se k Wi-Fi, otevřít Bluetooth párování, otevřít konkrétní aplikaci. Útočník postaví Evil Twin (viz public-wifi) a tvůj telefon se k němu připojí po jediném skenu.
5. QR v e-mailu jako náhrada za odkaz
Phishing e-maily někdy obsahují QR místo URL — protože spam filtery hůř detekují QR než textový odkaz. Otevíráš ho na telefonu, kde je menší obrazovka a útočná doména méně viditelná.
Praktické riziko v ČR:
- Praha 1-3 — turistická centra, parkomaty s přelepenými QR jsou hlavní vlna.
- Brno — podobné, ale menší rozsah.
- Cestování v EU — Berlín, Vídeň, Amsterdam mají rozsáhlejší vlnu. Při cestě do zahraničí buď extra opatrný.
Jak se chránit
Před skenováním:
- Sleduj fyzický stav QR — je nalepený? Vypadá jako čerstvá samolepka přes pravý kód? Roh povolený, nerovný okraj, odlišný papír = pozor. Pokud máš pochyby, použij oficiální aplikaci místo QR (parkování → ParkSimply / město; MHD → PID Lítačka).
- Před skenováním pohled — některé QR scannery (iOS Camera, Google Lens) ti ukáží URL preview dřív, než stránku otevřou. Když uvidíš podezřelou doménu (
prague-parking-fast.com,pay-parking.cz.click), neotevírej.
Po skenování v prohlížeči:
- Zkontroluj URL doménu před vyplněním čehokoli. Pražské parkování má doménu
praha.eunebopid.cz. Pokud doména obsahuje atypická slova nebo cizí TLD (.tk,.click,.xyz), zavři. - Pokud QR vede na platební bránu, kontroluj certificate (zámek v adrese). HTTPS sám o sobě nestačí (útočník má taky HTTPS), ale absence HTTPS = jasný red flag.
- Pravidlo: NIKDY nezadávej údaje karty přes QR z veřejného místa. Použij oficiální aplikaci. Karty se ti budou platit za pár sekund navíc, ale máš jistotu.
Preventivní řešení:
- Oficiální aplikace pro běžné služby — PID Lítačka (MHD Praha), Brno ID (Brno), ParkSimply (parkování), Lítaj (regionální), Idos (jízdní řády). Nainstaluj je předem, neházej se na QR v ulici.
- Tap-to-pay přes Apple/Google Pay (viz apple-pay-google-pay) — kde to obchod podporuje, není potřeba QR. Telefon položíš na terminál, biometrie potvrdí.
- iPhone má built-in QR detection v Camera aplikaci, která zobrazuje URL preview před otevřením. Použij Camera, ne extra QR app.
- Pokud cestuješ v zahraničí, použij kartu s nízkým limitem nebo virtuální kartu (Revolut, Wise) místo hlavní debetky — když k podvodu dojde, ztráta je omezená.
Po útoku:
- Karta vyplněna → IHNED banku, zablokovat kartu.
- Login do služby vyplněn → změnit heslo, zkontrolovat aktivitu.
- Pokud QR vedl k Wi-Fi připojení → "Forget network" v Nastavení.
- Nahlas QR — vyfoť ho, místo, nahlas Policii ČR + městu (parkomat) / restauraci.
Časté mýty
Mýtus"QR kódy jsou bezpečnější než klasické URL, není možné je podvrhnout."
RealitaQR kód je jen "obrázek obsahující URL". Útočník si vytiskne vlastní samolepku a přelepí ji přes pravý kód. Pro skener není žádný způsob, jak ověřit, kdo kód vyrobil. Hlavní obrana je behaviorální — kontrola URL po skenování, použití oficiálních aplikací, podezřívání nalepených kódů na veřejných místech.
Mýtus"Když je v restauračním menu, je to bezpečné — restaurace si to hlídá."
RealitaRestaurace má 5 stolů a 50 hostů denně — útočník přijde, sedne si, přelepí QR na sousedním stole, odejde. Hosté skenují celý den, restaurace nikdy nezjistí. QR menu (čtení) je OK; jakmile QR navádí k platbě nebo k zadání karty, je to mimo standardní flow restaurace.
Mýtus"Stačí mi mít VPN, QR útok mě nezasáhne."
RealitaVPN šifruje provoz, ale neovlivní, na jakou STRÁNKU jdeš. QR útok je o tom, že tě nasměruje na podvrženou stránku, kterou si **dobrovolně otevřeš a vyplníš**. VPN ti nepomůže. Jediná obrana je kontrola URL a použití oficiálních kanálů.
Quick checklist
Standardní rutina:
- Před skenováním: vypadá QR jako čerstvá samolepka přes původní? Nesken — použij oficiální app.
- Po skenování: zkontrolovat URL doménu před vyplněním údajů.
- Pokud QR žádá údaje karty → použij oficiální aplikaci namísto.
Nainstaluj oficiální aplikace (jednou):
- PID Lítačka (MHD Praha / Středočeský kraj)
- ParkSimply nebo městská parkovací app
- Idos (jízdní řády)
- Apple/Google Pay pro tap-to-pay na terminálech
Při cestování:
- Karta s nízkým limitem / virtuální karta (Revolut, Wise) místo hlavní debetky.
- Banking aplikace s push notifikacemi (uvidíš podezřelou transakci v reálném čase).
Po útoku:
- Karta → zavolat banku (24/7 linka z karty).
- Login vyplněn → změnit heslo + zkontrolovat aktivitu.
- Wi-Fi sken → "Forget network".
- Nahlásit (město pro parkomat, restaurace, Policii ČR).
Podobná témata
- Phishing — falešné zprávy a stránkyFalešná stránka nebo zpráva, která tě má přimět vyplnit citlivé údaje.
- Podvodné SMS (smishing) — od pošty, banky, ČEZSMS, která se tváří jako od důvěryhodné firmy a chce, abys klikl na odkaz.
- Apple Pay a Google Pay — platba mobilemPlatba kartou v mobilu, kde číslo karty nikdy nevidí obchodník.
Souvisí s kategoriemi v testu: Mobilní platby (Apple/Google Pay), Rozpoznání podvodných zpráv
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.