Pułapka czterech kliknięć: fałszywe kody QR to jedno z najszybciej rosnących oszustw podróżniczych tego lata

Quishing, czyli phishing z użyciem kodów QR, wzrósł o 146% w pierwszym kwartale 2026 roku, a według danych threat intelligence opublikowanych na początku czerwca tylko w marcu odnotowano około 18,7 miliona incydentów. Kody QR pojawiają się już w około 12% wszystkich ataków phishingowych, podczas gdy w 2021 roku było to mniej niż 1%.

Straty są realne i coraz większe. W Wielkiej Brytanii krajowe centrum ds. oszustw odnotowało w ciągu jednego roku ponad 780 zgłoszeń quishingu i około 3,5 mln GBP skradzionych środków. Liczba zgłoszeń wzrosła mniej więcej 14-krotnie w ciągu pięciu lat, a śledczy łączą ten trend z przestępczością zorganizowaną.

Amerykańscy regulatorzy również ostrzegają przed tym zagrożeniem. FTC zwraca uwagę konsumentów na oszustwa wykorzystujące skanowane kody, a według jednego z szacunków ponad 26 milionów Amerykanów trafiło już przez kod QR na złośliwą stronę.

To działa nie dlatego, że mechanizm jest wyjątkowo zaawansowany technicznie, ale dlatego, że wykorzystuje ludzkie nawyki. Badania sugerują, że około trzy czwarte osób skanuje kod bez sprawdzania, dokąd prowadzi, a większość ataków celuje bezpośrednio w telefony, gdzie skrócony link i mały ekran skutecznie ukrywają sygnały ostrzegawcze.

Gdzie zastawiane są pułapki

Klasyczny schemat to fałszywa naklejka z kodem QR umieszczona na prawdziwym kodzie w zatłoczonym miejscu, które budzi zaufanie. Na początku szczególnie często wykorzystywano parkomaty - FBI wydało ostrzeżenie po tym, jak podmienione kody w Austin, San Antonio i Houston po cichu przekierowywały kierowców na fałszywą stronę płatności.

Od tego czasu metoda rozprzestrzeniła się na menu w restauracjach, oznaczenia na lotniskach, hotelowe lobby, etykiety paczek, a nawet drukowane listy. Wersja typowo podróżnicza, która krąży obecnie, to „oszustwo na cztery kliknięcia”:

1. Skanujesz kod
2. Otwierasz wiarygodnie wyglądającą stronę
3. Wpisujesz dane płatnicze
4. Zatwierdzasz płatność - i zanim cokolwiek zacznie wyglądać podejrzanie, jest już po wszystkim.

Równolegle pojawia się fala maili, w których fałszywe potwierdzenia rezerwacji są dopracowane na tyle, by zmęczony po podróży odbiorca dał się skłonić do „weryfikacji” karty lub rezerwacji.

Dlaczego podróżni korzystający z eSIM są szczególnie narażeni

Konfiguracja podróżnej karty eSIM zwykle polega na zeskanowaniu kodu QR od dostawcy, więc samo skanowanie kodu w celu uzyskania dostępu do internetu wydaje się całkowicie rutynowe. Właśnie dlatego fałszywy kod tak łatwo wtapia się w tło. Warto pamiętać o dwóch rzeczach:

1. Pierwszy typ ataku celuje w twój portfel: fałszywe kody obiecujące „darmowe WiFi na lotnisku” lub „tanie dane”, podrobione strony logowania do publicznej sieci WiFi, które przechwytują dane, oraz strony eSIM podszywające się pod prawdziwe serwisy, oferujące nierealistyczne plany bez limitu albo proszące o płatność w kryptowalutach. Jeśli nie wiesz, komu w ogóle ufać, warto zrozumieć, jak serwisy z recenzjami, na których polegasz, naprawdę wybierają swoich zwycięzców.
2. Drugi typ ataku celuje w twój numer telefonu: oszuści podszywają się pod operatora komórkowego, twierdzą, że musisz „przejść” na eSIM albo zaktualizować dane KYC, i próbują wyłudzić kod aktywacyjny lub kod QR. Dzięki temu mogą przenieść twój numer na własne urządzenie i przechwytywać jednorazowe kody chroniące bankowość oraz pocztę - to tzw. SIM swap.

Policyjne jednostki cybernetyczne, w tym te w Indiach, udokumentowały dokładnie taki scenariusz: jeden udostępniony kod dał przestępcom pełną kontrolę nad bankowością ofiary.

Jak rozpoznać fałszywy kod i zachować bezpieczeństwo

Kilka prostych nawyków pozwala zatrzymać prawie wszystkie takie ataki:

• Kod eSIM pobieraj wyłącznie z oficjalnej aplikacji lub strony dostawcy - nigdy z kodu umieszczonego publicznie ani przesłanego bez twojej prośby.
• Zanim klikniesz zeskanowany link, sprawdź adres URL. Jeśli zawiera literówki, wygląda obco albo wywiera presję, by działać szybko, zamknij stronę.
• „Darmowe dane za skan” traktuj jak przynętę. W przypadku każdego fizycznego kodu przeciągnij po nim palcem. Naklejka umieszczona na oryginalnym kodzie to jeden z najczęstszych sygnałów ostrzegawczych. Jeśli kod wygląda na naruszony, zgłoś to obsłudze miejsca.
• Warto też znać szerszy schemat sezonowych oszustw: wiele tych samych grup prowadzi oszustwa zakupowe i biletowe online wokół dużych wydarzeń, więc odruch, by zwolnić i wszystko sprawdzić, przydaje się nie tylko przy kodach QR.

Chroń numer telefonu, nie tylko kartę

Wariant SIM swap to ten, który może doprowadzić do wyczyszczenia kont, dlatego trzeba chronić sam numer. Ustaw PIN lub hasło na koncie u operatora, aby nie dało się przenieść numeru podczas jednej rozmowy telefonicznej. Przenieś kody uwierzytelniania dwuskładnikowego z SMS-ów do aplikacji uwierzytelniającej, aby skradziony numer nie otwierał dostępu do banku. I nigdy nie podawaj kodu aktywacyjnego ani weryfikacyjnego komuś, kto do ciebie zadzwonił - prawdziwy operator nigdy o to nie poprosi.

Jeśli podejrzewasz, że padłeś ofiarą ataku

Działaj szybko, w tej kolejności:

• Skontaktuj się z bankiem, aby zablokować karty i zgłosić oszustwo
• Zadzwoń do operatora, jeśli nagle stracisz zasięg - może to być pierwszy sygnał SIM swapu
• Zmień hasła do poczty i bankowości
• Złóż zgłoszenie do właściwej instytucji zajmującej się oszustwami lub na lokalnej policji, a jeśli jesteś za granicą, także w swojej ambasadzie.

Szybkość ma tu większe znaczenie niż cokolwiek innego, bo większość szkód powstaje w pierwszej godzinie.

Najprostsza obrona ze wszystkich

Najlepsze rozwiązanie to w ogóle nie potrzebować kodu QR na lotnisku. Kup i zainstaluj eSIM od zaufanego, sprawdzonego dostawcy jeszcze przed wyjazdem z domu. Aktywuje się po przylocie, więc wychodzisz z samolotu już z dostępem do internetu, bez skanowania czegokolwiek i bez szukania „darmowego WiFi”.

Jeśli nie wiesz, którą opcję wybrać, nasz ranking najlepszych eSIM podróżnych na 2026 porównuje dostawców, których faktycznie sprawdziliśmy pod kątem ceny, zasięgu i prędkości.