Experiment ČMIZZA ukázal, jak jsou lidi náchylní na útok typu Quishing

2025-10-13T20:00:41+01:002025-10-13T20:00:41+01:00Přemysl Vaculík

Přemysl Vaculík • 13. 10. 2025#Aplikace

Zdroj: ČMIS

Každou chvíli se objevují nové způsoby kybernetických hrozeb, které mají za cíl obrat lidi o peníze, ukrást jim data, přístupové údaje nebo jednoduše napadnout jejich zařízení za účel zneužití pro další trestnou činnost. Mezi takové hrozby patří i Quishing Technologická společnosti ČMIS ukázala na experimentu ČMIZZA, jak jednoduše jde lidi podvést.

Quishing

Samotná technika Quishing spoléhá na modifikovaných QR kódech, které se mohou objevovat ve veřejném prostoru, i v tom digitálním. Ostatně není nic jednoduššího, když podvodník nalepí svůj vlastní QR kód například na parkovací automat. Následně odkáže jedince na falešnou stránku s platební bránou, také falešnou. Vzhledem k tomu, že podvrhnutý QR kód byl na automatu, může vzbuzovat pocit, že jde o oficiální informace a platební bránu. Podvedený se mnohdy dozví až později, že se stal objetí.

Společnost ČMIS vytvořila experiment nazvaný jako ČMIZZA, kde lidem nabízela pizzu za 1 Kč, pokud si naskenují QR kód a zaplatí přes platební bránu. Ta byla samozřejmě falešná.

„Chtěli jsme ukázat, jak snadno lidé naletí atraktivní nabídce. Pizza za korunu byla neškodná, ale stejný scénář v reálném světě může znamenat, že útočníci získají přihlašovací údaje nebo otevřou přístup do firemní sítě. Obrana je přitom jednoduchá: neskenujte neznámé QR kódy, vždy ověřte, kam vedou, a nikdy nezadávejte citlivé údaje na podezřelých stránkách. Proto musejí firmy kromě technických opatření pravidelně školit své zaměstnance, protože lidská chyba zůstává hlavní vstupní branou útoků,“ vysvětluje Václav Svátek, generální ředitel společnosti ČMIS.

Problém této techniky spočívá i v tom, že QR kódy se čím dál více rozšiřují, například ve fakturách. Stačí tak ve své podstatě napodobit fakturu s QR kódem a zaslat někomu. Pakliže tomu nevěnuje dostatečnou pozornost, může se stát objetí podvodu. Zde asi neexistuje nějaké sofistikované řešení a je nutná jen osvěta a zvýšena pozornost.

„Quishing má mnoho podob. Útočníci vylepují falešné QR kódy na parkovacích automatech nebo plakátech a oběti pak přesměrují na podvodné platební brány. V e-mailech se stále častěji objevují PDF přílohy s vloženým QR kódem, který vede na škodlivý web a dokáže obejít běžné bezpečnostní filtry. Kódy ale mohou směřovat i na stránky s falešnou reklamou nebo malwarem, případně na podvodné Wi-Fi sítě. Setkáváme se také s podvrženými aplikacemi pro čtení QR kódů, které útočníkům umožňují přístup k soukromí zařízení. Problém je, že QR kódy působí na uživatele důvěryhodněji než odkaz v e-mailu a zároveň je dokážou snadno maskovat i před technickými opatřeními. To z nich dělá atraktivní a velmi účinný nástroj pro útoky,“ upozorňuje Svátek.

Statistika

Každý den je po celém světě rozesláno přibližně 3,4 miliardy phishingových e-mailů, meziročně vzrostl počet útoků o 21 procent.
QR kód se objevuje ve 22 procentech phishingových kampaní.
V 90 procentech quishingových útoků jde o krádež přihlašovacích údajů a dalších citlivých dat, obvykle zaměřených na firemní e-mailové systémy, cloudové úložiště nebo nástroje pro vzdálený přístup.
Experiment ČMIS ukázal, že více než 60 procent lidí bez rozmyslu načte QR kód a zadá platební údaje, aniž řeší potenciální riziko.

Firma si také připravila speciální stránku, kde se snaží informovat o samotném problému Quishingu.

Zdroj: Tisková zpráva

💡 Získejte Dotekománie Premium a využijte web naplno.

Následující článek