What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Příručka

Podvody s QR kódy, na které si dát pozor v roce 2026

QR kód je jen zakódovaný řetězec. Nebezpečí není ve formátu, ale v tom, co ten řetězec dělá po naskenování. Tato příručka pokrývá nejčastější techniky zneužití QR kódů v roce 2026.

Zkontrolovat QR kód → Standardy QR, které dekódujeme →

1. Záměna nálepkou na parkovacích automatech, jídelních lístcích a nabíječkách EV

Jak to vypadá: Malá samolepicí nálepka umístěná přesně přes legitimní QR kód na parkovacím automatu, menupult nebo nabíječce elektromobilu.

Jak to rozpoznat: Podívejte se na QR kód. Je vytištěn přímo na podpůrném materiálu, nebo je to nálepka přilepená přes tisk? Pokud cíl URL neodpovídá provozovateli, neskenujte.

Více informací: QR kódy plateb obchodníků EMVCo →

2. Falešné Wi-Fi na letištích, v hotelích a na konferenčních centrech

Jak to vypadá: Vytištěná kartička nebo nálepka inzerující bezplatné Wi-Fi na letišti, v hotelu nebo na konferenci s QR kódem pro připojení.

Jak to rozpoznat: Ověřte, zda SSID odpovídá tomu, co místo zveřejňuje officiálně. Pokud nejste jisti, zeptejte se personálu nebo se připojte přes mobilní data.

Více informací: QR kódy přihlašovacích údajů Wi-Fi →

3. Phishing přes passkey-QR

Jak to vypadá: Přihlašujete se na stránku na desktopu. Stránka nebo zpráva vás vyzve k naskenování QR kódu pro autentizaci passkey.

Jak to rozpoznat: Před naskenováním passkey QR potvrďte, že doména stránky přesně odpovídá službě, do které se přihlašujete. Phishingové stránky napodobují přihlášení, ale provozují jiný origin.

Více informací: QR kódy FIDO2 passkey →

4. Krádež exportu autentizátoru

Jak to vypadá: Někdo si půjčí váš odemčený telefon "na chvíli" a naskenuje QR kód pomocí vaší aplikace autentizátoru pod záminkou přenosu účtů.

Jak to rozpoznat: Obrana nespočívá ve sledování QR kódu, ale v nikdy nepůjčování odemčeného telefonu pro úkoly, které vyžadují přístup k autentizátoru.

Více informací: QR kódy otpauth-migration →

5. Zveřejňování fotografií palubních vstupenek

Jak to vypadá: Cestující zveřejní fotografii palubní vstupenky na sociálních sítích. QR kód kóduje BCBP data čitelná leteckými systémy.

Jak to rozpoznat: Nezveřejňujte fotografie palubních vstupenek. Pokud musíte, zakryjte QR kód, čárový kód a referenční číslo rezervace.

Více informací: QR kódy palubní vstupenky IATA BCBP →

6. Sklizeň čárového kódu řidičského průkazu

Jak to vypadá: Bar, klub, obchod s e-cigaretami, prodejna nebo ověřovač věku vás požádá, abyste nechali naskenovat zadní stranu řidičského průkazu.

Jak to rozpoznat: Zeptejte se, co se skenuje a proč. Některé podniky skenují pouze k ověření věku; jiné ukládají celý obsah čárového kódu bez vašeho vědomí.

Více informací: AAMVA řidičský průkaz PDF417 →

7. Krypto drainer QR kódy na NFT akcích a fyzickém umění

Jak to vypadá: QR kód na akci NFT, vernisáži galerie, konferenci nebo fyzické umělecké práci vás vyzve k naskenování pro "claim" tokenu nebo zobrazení díla.

Jak to rozpoznat: Přečtěte si výzvu transakce ve své peněžence před potvrzením. Drainer transakce vás žádají o schválení přístupu ke všem tokenům, ne jen o odeslání jednoho.

8. Nálepka přes QR kód charity / darování

Jak to vypadá: Leták pro skutečnou charitu je vyvěšen na veřejném místě. Útočník přelepí QR kód nálepkou odkazující na svůj vlastní platební účet.

Jak to rozpoznat: Stejně jako u #1, je QR kód nálepka přes tisk? Ověřte, zda doména URL odpovídá officiální webové stránce charity, než přejdete k platbě.

9. Padělaný QR produktového pasu

Jak to vypadá: QR kód na textilii, baterii, elektronickém zařízení nebo jiném produktu podléhajícímu předpisům EU o digitálním produktovém pasu.

Jak to rozpoznat: Zkontrolujte, zda pole výdejce v DPP odpovídá ověřenému výrobci. Falzifikáty kopírují formát, ale odkazují na jiný server nebo vynechávají povinná pole ověření.

Více informací: EU Digital Product Passport →

10. Nepřátelský ověřovatel mDL požadující příliš mnoho

Jak to vypadá: Prezentujete svůj mobilní řidičský průkaz (mDL) na kontrolním bodu. Ověřovatel vás požádá o naskenování QR kódu nebo klepnutí na NFC.

Jak to rozpoznat: Přečtěte si výzvu požadavku. Pokud ověřovatel chce více polí, než potřebuje pro daný účel (např. celé rodné číslo pro kontrolu věku), odmítněte.

Více informací: Mobilní řidičský průkaz (ISO 18013-5) →

Co dělat, když jste již naskenovali něco špatného

Platební web: Pokud jste zadali údaje karty, okamžitě kontaktujte svou banku. Požádejte o chargeback a sledujte výpisy.
Wi-Fi: Zapomeňte síť v telefonu. Spusťte rychlou kontrolu nedávné aktivity účtu pro e-mail a bankovnictví.
Passkey: Přihlaste se do postiženého účtu, přejděte do nastavení zabezpečení a odvolejte neznámá zařízení nebo passkeys.
Export autentizátoru: Považujte to za úplné prolomení. Ihned resetujte 2FA na každém účtu, kde tento autentizátor používáte.
Zveřejněná palubní vstupenka: Kontaktujte leteckou společnost, změňte referenční číslo rezervace a zkontrolujte věrnostní program, zda nedošlo ke zneužití.
Podepsáno krypto drainerem: Okamžitě přesuňte zbývající aktiva do nové peněženky. Vypněte všechna schválení tokenů pro postižené smlouvy.

Zkontrolujte před skenováním

Vložte jakýkoliv QR kód (obrázek, vložením nebo kamerou) do našeho skeneru. Uvidíte dekódovaný payload, výsledek prochodu řetězce přesměrování a celkový verdikt bezpečnosti.

Otevřít skener →