Restoran, parking, muzej, konferencija, paket od dostave, plakat na autobusnoj postaji, e-mail od "banke". QR kodovi su svugdje, i to je točno ono što ih čini opasnim.

QR kod (Quick Response) je matrični barkod koji kodira URL, tekst, kontakt ili drugu informaciju u matrici crno-bijelih kvadrata. Razvio ga je Denso Wave za japansku automobilsku industriju 1994. — za praćenje dijelova u tvornicama. Ideja je bila genijalna, ali javnost je ignorirala QR kodove gotovo 25 godina. Trebalo je globalno zatvaranje kafića i restorana da se situacija promijeni.

Zašto su QR kodovi "oživjeli" — i zašto nisu nestali

Pandemija COVID-19 bila je preokretnica. U 2020. i 2021., restorani širom svijeta zamijenili su fizičke menije QR kodovima da bi izbjegli dijeljenje predmeta između gostiju. Jednom kad je navika skeniranja usvojena — nije nestala. Prema istraživanjima, 89% korisnika smartphonea skeniralo je QR kod 2023., gore od 72% u 2021.

Razlog zašto QR kodovi imaju prednost nad tipkanjem URL-a: mogu pohraniti do 4.296 alfanumeričkih znakova u jednom kodu, skeniranje traje sekundu s ugrađenom kamerom, i cijeli marketing, plaćanje i onboarding flow može biti iniciran jednim skeniranjem.

Plaćanje QR kodovima posebno je exploditiralo u Aziji — WeChat Pay i Alipay u Kini obrađuju trilijune transakcija godišnje putem QR skeniranja. U Europi i Hrvatskoj, QR plaćanje je prisutno u nekim bankama i POS sustavima, ali penetracija je niža.

Problem koji nitko ne vidi — doslovno

Obični URL, kad ga pišete u browser, vidite ga. Možete primijetiti da je "paypai.com" umjesto "paypal.com". Možete vidjeti da URL ide na neočekivanu domenu.

QR kod je vizualni URL koji ne možete pročitati. Vidite matricu crno-bijelih kvadrata koja vam ništa ne govori o odredištu. Prevaranti su ovo prepoznali brzo.

Quishing (QR + phishing) je napad koji koristi QR kod umjesto klasičnog linka u phishing e-mailovima, plakat ili zalijepljenu naljepnicu preko originalnog QR koda. Razlog zašto je quishing posebno učinkovit: e-mail sigurnosni sustavi analiziraju tekstualne linkove, ali QR kod je slika — većina e-mail filtera ga jednostavno ne može skenirati i analizirati URL koji sadrži.

QR kodovi kao phishing vektor — udio u ukupnim napadima QR kod kao phishing vektor — udio u svim phishing napadima 0% 5% 10% 15% 0,8% 2021 5,1% 2022 12,4% 2023 10,8% 2024 12,0% 2025

Statistike koje treba znati

Palo Alto Networks detektira prosjekom više od 11.000 malicioznih QR kodova dnevno. U prvoj polovici 2025., identificirano je 4,2 milijuna QR phishing prijetnji. Između kolovoza i studenog 2025., quishing e-mailovi porasli su s 47.000 na 249.000 mjesečno.

Posebno alarmantan podatak: direktori i viši menadžment primaju 42× više QR napadačkih poruka nego prosječni zaposlenici. Razlog je ciljanje — phishing napadi na visoko pozicionirane osobe (tzv. "whale phishing") donose više jer im je pristup sustavima i financijama veći.

Energetski sektor prima 29% svih malware-vezanih quishing e-mailova — najviše od bilo koje industrije — što je logično s obzirom na kritičnost infrastrukture i atraktivnost meta.

Kako prepoznati maliciozni QR kod

Fizički znakovi upozorenja: QR kod koji je nalijepljen naljepnicom IZNAD drugog QR koda — to je gotovo uvijek phishing. Posebno česta taktika na parkinzima, u restoranima, na bankomatima. Naljepnica koja nije poravnata s površinom, kod koji izgleda pixeliziranim ili iskrivljenim.

Kontekstualna sumnja: je li ovaj QR kod bio tu jučer? Zašto banka ili pošta šalje e-mail s QR kodom umjesto klasičnog linka? Hitnost ("skeniraj odmah ili izgubiš pristup") je klasični signal manipulacije.

Pregled URL-a prije otvaranja: i iOS i Android kamera aplikacija prikazuje URL QR koda u trenutku skeniranja — PRIJE nego što ga otvorite. Čitajte taj URL kao što biste čitali svaki drugi link: je li domena poznata, odgovara li servisu koji kod navodno zastupa, ima li neobičnih znakova?

"Fancy" QR kodovi su rizičniji: QR kodovi s ugrađenim logotipima, zaobljenim modulima i bojama izgledaju profesionalno, ali automatski sigurnosni skeneri koji analiziraju standardne crno-bijele mrežaste kodove imaju problema s njima.

Zaštita u praksi

Najvažnija navika: nikad automatski ne otvarajte URL koji QR kod dekodira — uvijek provjerite URL koji vam se prikaže u kameri PRIJE klika. Ova sekundu razmisliti može biti ključna razlika.

Za organizacije, posebno veće: security awareness trening koji uključuje quishing scenarije pokazao je 87% poboljšanje u detekciji napada unutar tri mjeseca. QR phishing je nov dovoljno da zaposlenici koji su prošli standardne phishing treninge nisu nužno pripremljeni.

Multi-faktor autentikacija ostaje najefikasnija zaštita čak i kad napadač dobije credential putem quishing napada — session token sam po sebi nije dovoljan za pristup ako MFA zahtijeva dodatnu provjeru.

QR kodovi su korisna tehnologija — ali i novi vektor napada koji se razvija brže nego što se razvija svjesnost o njemu. Skenirati sve što vidite jednako je opasno kao klikati na sve linkove koje primite.


Izvori i dodatno čitanje