Přeskočit na obsah
OwlGuardScore

QR podvody — falešné kódy v terénu

QR kód na parkomatu nebo v restauraci může vést jinam, než vidíš.

Co to je

Útočník přelepí pravý QR kód (na parkovacím automatu, v restauračním menu, na platebním terminálu, na letáku) vlastním QR kódem, který směruje na podvodnou stránku napodobující pravé rozhraní. Vyplníš platební údaje v domnění, že jde o legitimní službu — dostane je útočník.

Proč to záleží

Po naskenování QR vždy zkontroluj URL adresu v prohlížeči (zda doména odpovídá tomu, co očekáváš) předtím, než vyplníš cokoli citlivého. Pro pravidelně používané služby (MHD, parkování) preferuj oficiální aplikace (PID Lítačka, ParkSimply, oficiální app města) — náhodný QR z letáku v ulici nepoužívej. V restauraci je QR menu OK pro čtení; pokud po skenu chce QR rovnou platbu, je to red flag.

Jak útok funguje

QR útoky (anglicky quishing) se v ČR 2024-2026 šíří hlavně na turistických místech a v městské infrastruktuře:

1. Přelepený QR na parkovacím automatu

Útočník vytiskne vlastní QR samolepku se stejným designem jako oficiální městský QR a přelepí ho. Skenuješ, otevírá se stránka, která vypadá jako oficiální parkovací portál (praha-parkovani.cz, prague-parking.com). Vyplníš SPZ, čas, údaje karty. Zaplatíš — útočníkovi. Auto dostane parkovací pokutu, protože platba nikdy nedorazila do městského systému.

2. QR v restauračním menu vedoucí k "platbě"

QR menu je legitimní (po covidu standard). Útočník přidá vlastní QR na stůl s textem "Naskenujte pro platbu". Vede na podvrženou platební bránu. Některé varianty jsou subtilnější: útočník přelepí QR menu, který chvíli "načítá" a pak zobrazí platební bránu místo menu.

3. QR na letáku / plakátu na ulici

"Naskenuj QR pro slevu 50 % v X". Plakát vypadá oficiální, QR jde na podvrženou stránku, která krade login na e-shopu nebo údaje karty. Často cílí na turistická místa (Karlův most, Václavské náměstí).

4. QR pro WiFi nebo Bluetooth

QR může v sobě obsahovat instrukce pro telefon: připojit se k Wi-Fi, otevřít Bluetooth párování, otevřít konkrétní aplikaci. Útočník postaví Evil Twin (viz public-wifi) a tvůj telefon se k němu připojí po jediném skenu.

5. QR v e-mailu jako náhrada za odkaz

Phishing e-maily někdy obsahují QR místo URL — protože spam filtery hůř detekují QR než textový odkaz. Otevíráš ho na telefonu, kde je menší obrazovka a útočná doména méně viditelná.

Praktické riziko v ČR:

  • Praha 1-3 — turistická centra, parkomaty s přelepenými QR jsou hlavní vlna.
  • Brno — podobné, ale menší rozsah.
  • Cestování v EU — Berlín, Vídeň, Amsterdam mají rozsáhlejší vlnu. Při cestě do zahraničí buď extra opatrný.

Jak se chránit

Před skenováním:

  • Sleduj fyzický stav QR — je nalepený? Vypadá jako čerstvá samolepka přes pravý kód? Roh povolený, nerovný okraj, odlišný papír = pozor. Pokud máš pochyby, použij oficiální aplikaci místo QR (parkování → ParkSimply / město; MHD → PID Lítačka).
  • Před skenováním pohled — některé QR scannery (iOS Camera, Google Lens) ti ukáží URL preview dřív, než stránku otevřou. Když uvidíš podezřelou doménu (prague-parking-fast.com, pay-parking.cz.click), neotevírej.

Po skenování v prohlížeči:

  • Zkontroluj URL doménu před vyplněním čehokoli. Pražské parkování má doménu praha.eu nebo pid.cz. Pokud doména obsahuje atypická slova nebo cizí TLD (.tk, .click, .xyz), zavři.
  • Pokud QR vede na platební bránu, kontroluj certificate (zámek v adrese). HTTPS sám o sobě nestačí (útočník má taky HTTPS), ale absence HTTPS = jasný red flag.
  • Pravidlo: NIKDY nezadávej údaje karty přes QR z veřejného místa. Použij oficiální aplikaci. Karty se ti budou platit za pár sekund navíc, ale máš jistotu.

Preventivní řešení:

  • Oficiální aplikace pro běžné služby — PID Lítačka (MHD Praha), Brno ID (Brno), ParkSimply (parkování), Lítaj (regionální), Idos (jízdní řády). Nainstaluj je předem, neházej se na QR v ulici.
  • Tap-to-pay přes Apple/Google Pay (viz apple-pay-google-pay) — kde to obchod podporuje, není potřeba QR. Telefon položíš na terminál, biometrie potvrdí.
  • iPhone má built-in QR detection v Camera aplikaci, která zobrazuje URL preview před otevřením. Použij Camera, ne extra QR app.
  • Pokud cestuješ v zahraničí, použij kartu s nízkým limitem nebo virtuální kartu (Revolut, Wise) místo hlavní debetky — když k podvodu dojde, ztráta je omezená.

Po útoku:

  1. Karta vyplněna → IHNED banku, zablokovat kartu.
  2. Login do služby vyplněn → změnit heslo, zkontrolovat aktivitu.
  3. Pokud QR vedl k Wi-Fi připojení → "Forget network" v Nastavení.
  4. Nahlas QR — vyfoť ho, místo, nahlas Policii ČR + městu (parkomat) / restauraci.

Časté mýty

  • Mýtus"QR kódy jsou bezpečnější než klasické URL, není možné je podvrhnout."

    RealitaQR kód je jen "obrázek obsahující URL". Útočník si vytiskne vlastní samolepku a přelepí ji přes pravý kód. Pro skener není žádný způsob, jak ověřit, kdo kód vyrobil. Hlavní obrana je behaviorální — kontrola URL po skenování, použití oficiálních aplikací, podezřívání nalepených kódů na veřejných místech.

  • Mýtus"Když je v restauračním menu, je to bezpečné — restaurace si to hlídá."

    RealitaRestaurace má 5 stolů a 50 hostů denně — útočník přijde, sedne si, přelepí QR na sousedním stole, odejde. Hosté skenují celý den, restaurace nikdy nezjistí. QR menu (čtení) je OK; jakmile QR navádí k platbě nebo k zadání karty, je to mimo standardní flow restaurace.

  • Mýtus"Stačí mi mít VPN, QR útok mě nezasáhne."

    RealitaVPN šifruje provoz, ale neovlivní, na jakou STRÁNKU jdeš. QR útok je o tom, že tě nasměruje na podvrženou stránku, kterou si **dobrovolně otevřeš a vyplníš**. VPN ti nepomůže. Jediná obrana je kontrola URL a použití oficiálních kanálů.

Quick checklist

Standardní rutina:

  • Před skenováním: vypadá QR jako čerstvá samolepka přes původní? Nesken — použij oficiální app.
  • Po skenování: zkontrolovat URL doménu před vyplněním údajů.
  • Pokud QR žádá údaje karty → použij oficiální aplikaci namísto.

Nainstaluj oficiální aplikace (jednou):

  • PID Lítačka (MHD Praha / Středočeský kraj)
  • ParkSimply nebo městská parkovací app
  • Idos (jízdní řády)
  • Apple/Google Pay pro tap-to-pay na terminálech

Při cestování:

  • Karta s nízkým limitem / virtuální karta (Revolut, Wise) místo hlavní debetky.
  • Banking aplikace s push notifikacemi (uvidíš podezřelou transakci v reálném čase).

Po útoku:

  • Karta → zavolat banku (24/7 linka z karty).
  • Login vyplněn → změnit heslo + zkontrolovat aktivitu.
  • Wi-Fi sken → "Forget network".
  • Nahlásit (město pro parkomat, restaurace, Policii ČR).

Podobná témata

Souvisí s kategoriemi v testu: Mobilní platby (Apple/Google Pay), Rozpoznání podvodných zpráv

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.