Jednou z najrýchlejšie rastúcich kybernetických hrozieb sa stáva takzvaný quishing, pri ktorom podvodníci zneužívajú QR kódy na krádež bankových údajov. Objavujú sa na parkovacích automatoch, v podvodných emailoch a lákajú na falošné platobné brány. Experiment českej technologickej spoločnosti ČMIS ukázal, že až dve tretiny ľudí sú ochotné bez overenia zadať svoje platobné údaje po naskenovaní neznámeho kódu. Téme sa venuje server e15.cz.
QR kódy nie sú bezchybné
Quishing je forma phishingu, pri ktorej sa útočníci snažia vylákať prístupové údaje k bankovému účtu alebo platobnej karte pomocou QR kódov. Podľa generálneho riaditeľa ČMIS Václava Svátka podvodníci využívajú viacero metód. Jednou z nich je vylepovanie falošných QR kódov na verejných miestach, napríklad na parkovacích automatoch, ktoré obeť presmerujú na podvodnú platobnú bránu.
Čoraz častejšie sa tiež objavujú v e-mailoch vo forme PDF príloh, kde vložené QR kódy dokážu obísť bežné bezpečnostné filtre, ktoré by inak škodlivý odkaz zachytili. Podľa Svátka je problém v tom, že QR kódy pôsobia na ľudí dôveryhodnejšie ako klasický internetový odkaz a zároveň sa dajú ľahko maskovať pred technickými opatreniami.
Ako sa brániť?
Neopatrnosť verejnosti potvrdil aj experiment spoločnosti ČMIS, ktorá na ulici ponúkala ľuďom pizzu za symbolickú korunu. Podmienkou bolo naskenovať QR kód a zadať údaje z platobnej karty. Urobili to takmer dve tretiny opýtaných. Tento test ukázal, ako ľahko môžu útočníci získať prístup k citlivým údajom alebo dokonca do firemnej siete.
Obrana je pritom podľa odborníkov jednoduchá. Základom je neskenovať neznáme a nedôveryhodné QR kódy, najmä na verejných priestranstvách. Banky sa zhodujú, že najdôležitejším krokom pri platbe je vždy si v bankovej aplikácii dôkladne skontrolovať všetky načítané údaje, predovšetkým číslo účtu príjemcu (IBAN) a presnú sumu, a až potom platbu potvrdiť. Týmto krokom sa dá predísť platbe na cudzí účet.
Rastúci trend
Quishing je celosvetovo na vzostupe. Zatiaľ čo vo Veľkej Británii nahlásili v roku 2019 len 100 takýchto prípadov, minulý rok to bolo už takmer 1 400. Zaujímavé je, že veľké české banky ako Komerční banka či Česká spořitelna zatiaľ od svojich klientov hlásenie o quishingu nezaznamenali. Napriek tomu už vydávajú preventívne odporúčania.
Celkový počet kybernetických incidentov v Česku podľa Národného úradu pre kybernetickú a informačnú bezpečnosť (NÚKIB) dosiahol vlani rekordné číslo 268. Hoci špecifické dáta o quishingu zatiaľ chýbajú, odborníci očakávajú, že jeho výskyt bude kopírovať zahraničné trendy a bude narastať.
QR kódy na Slovensku
Už dlhšie sa debatuje o tom, že QR kódy budú na Slovensku od budúceho roka povinné. To je ale tak trochu nepresná, respektíve nesprávne interpretovaná informácia.
Povinné nebudú samotné QR kódy, ale od 1. marca 2026 vznikne pre väčšinu obchodníkov povinnosť ponúknuť zákazníkom aspoň jednu formu bezhotovostnej platby. Štátom podporovaný systém platieb cez QR kódy je len jednou z možností, ako si môžu túto povinnosť splniť. Obchodník si bude môcť vybrať, či bude akceptovať platobné karty, zavedie tento nový systém QR kódov, alebo bude používať nejaké vlastné komerčné riešenie. Cieľom štátu je teda rozšíriť dostupnosť bezhotovostných platieb ako takých.
Štátom podporovaný systém platieb cez QR kódy bude fungovať na princípe okamžitých bankových prevodov. Technologicky to bude prepojené s pokladničným systémom eKasa a novým štátnym systémom nazvaným Notifikátor okamžitých platieb (NOP).
V praxi bude proces vyzerať nasledovne: Keď zákazník príde k pokladnici, obchodník naúčtuje tovar a pokladnica vygeneruje na displeji alebo na lístku unikátny, tzv. dynamický QR kód pre danú transakciu. Tento kód bude obsahovať všetky potrebné údaje – číslo účtu obchodníka, presnú sumu a jedinečný identifikátor platby.
Zákazník si tento kód jednoducho naskenuje fotoaparátom svojho smartfónu. Telefón mu automaticky ponúkne otvorenie jeho bankovej aplikácie, kde už bude čakať predvyplnený platobný príkaz. Zákazník si už len vizuálne skontroluje príjemcu a sumu a platbu potvrdí svojou bezpečnostnou metódou (napríklad odtlačkom prsta alebo PIN kódom).
Vďaka systému okamžitých platieb budú peniaze pripísané na účet obchodníka v priebehu niekoľkých sekúnd. Jeho pokladnica zároveň dostane z notifikačného systému NOP okamžité potvrdenie o úspešnej úhrade a vytlačí zákazníkovi doklad.
Hlavným cieľom štátu je boj proti daňovým únikom zvýšením transparentnosti finančných tokov. Pre obchodníkov má byť tento systém výrazne lacnejšou alternatívou k drahým platbám kartou, keďže nebudú musieť platiť vysoké percentuálne poplatky bankám. Pre zákazníka to znamená väčšie pohodlie a možnosť platiť bezhotovostne aj v malých prevádzkach, kde to doteraz nebolo možné. Voľba spôsobu platby však vždy zostane na zákazníkovi.
