Egidio
Raport · 2026

Fałszywe kody QR & quishing

Kod QR nie ma widocznego adresu — właśnie to czyni go wygodnym narzędziem oszustwa. Oto co dokumentują FBI i FTC na temat tego rosnącego wektora ataku.

Oficjalne ostrzeżenie, nie plotka

FBI — Internet Crime Complaint Center (IC3), ostrzeżenie PSA250731

Opublikowane 31 lipca 2025 roku, to ostrzeżenie opisuje konkretny schemat: niezamówione paczki dostarczane osobom prywatnym, zawierające notatkę z kodem QR zachęcającym do zeskanowania „po więcej informacji” — sposób na zainicjowanie schematów oszustwa za pomocą nieoczekiwanego pośrednika fizycznego.

FTC (Federal Trade Commission) — ostrzeżenia dla konsumentów

FTC opublikowała dwa odrębne ostrzeżenia w tej sprawie: w grudniu 2023 roku o oszustach ukrywających złośliwe linki w kodach QR; w styczniu 2025 roku specjalne ostrzeżenie o kodach QR otrzymywanych wraz z niespodziewanymi paczkami, przekierowujących na strony phishingowe zaprojektowane do kradzieży danych logowania lub numerów kart płatniczych.

82,6%
Przeanalizowanych e-maili phishingowych wykorzystywało generatywną AI — wzrost o 53,5% rok do roku — szerszy kontekst, w którym rośnie zjawisko quishingu.
KnowBe4, 2025 Phishing Threat Trends Report. Dostęp 14.07.2026.

Dlaczego ten wektor działa

Klasyczny link w e-mailu można najechać kursorem, by sprawdzić adres przed kliknięciem. Kod QR — nie: trzeba go zeskanować, by odkryć, dokąd prowadzi, a aparat w telefonie ukrywa etap weryfikacji, którego wiele osób nauczyło się stosować wobec linków tekstowych. Dokładnie dlatego FTC i FBI celują konkretnie w ten wektor w swoich najnowszych ostrzeżeniach — paczki, parkomaty, plakaty w przestrzeni publicznej: fizyczny nośnik daje wiarygodność, jakiej sam link by nie miał.

🔒 Link ukryty za kodem QR prowadzi niemal zawsze potem do SMS-a „potwierdzającego” lub telefonu „weryfikacyjnego” — właśnie wtedy interweniuje Egidio, łącząc to, co dzieje się po zeskanowaniu, z innymi kanałami. Zobacz globalny raport o oszustwach.

Najczęściej zadawane pytania

Czym jest quishing?

Skrót od „QR code” i „phishing”: oszustwo, w którym fałszywy kod QR, często naklejony na prawdziwy nośnik (paczkę, parkomat, plakat), przekierowuje ofiarę na oszukańczą stronę zamiast na stronę legalną.

Czy FBI naprawdę ostrzegało w tej sprawie?

Tak. Centrum skarg FBI (IC3) opublikowało 31 lipca 2025 roku specjalne ostrzeżenie dotyczące niezamówionych paczek zawierających kody QR wykorzystywane do uruchamiania schematów oszustw.

Jak rozpoznać fałszywy kod QR?

Systematyczna nieufność wobec kodu QR otrzymanego pocztą, naklejonego na istniejący nośnik lub towarzyszącego wiadomości wywołującej poczucie pilności. Najbezpieczniejszy odruch: nigdy nie skanować niespodziewanego kodu QR, a jeśli już się zeskanuje, sprawdzić wyświetlony adres przed kontynuowaniem.

Zobacz również