Bezpečné skenování QR kódů: audit oprávnění a ochrana proti QR phishingu

Proč jsou QR kódy rizikové a proč na nich záleží

QR kódy urychlují přístup k webovým stránkám, platbám či konfiguracím Wi-Fi, avšak současně obcházejí přirozenou vizuální verifikaci adresy a cílí na nejslabší článek: uživatele a jeho oprávnění. Útočníci využívají falešné nálepky, „přelepování“ legitimních kódů, zneužití URI schémat (např. sms:, tel:, wifi:, geo:), přesměrování a zkracovače odkazů. Cílem bezpečného skenování je minimalizovat udělený souhlas, kontrolovat destinaci a omezit, co může aplikace po naskenování provést.

Model hrozeb: od phishingu po tiché změny nastavení

• Quishing (QR phishing): QR kód směřuje na falešný přihlašovací formulář, požaduje MFA kód nebo číslo karty.
• Malvertising a přesměrování: řetězec zkracovačů skrývá konečný cíl; vkládá sledovací parametry.
• Tichá iniciace akcí: mailto: s předvyplněným obsahem, sms: s odesláním na prémiové číslo, tel: s voláním, wifi: s připojením ke škodlivé síti.
• Konfigurace zařízení: některé enterprise/proprietární skenery dokáží zapisovat profily (VPN, MDM) – riziko mimo důvěryhodné zdroje.
• Dodatečné sledování: dynamické QR obsahují identifikátor kampaně, UTM parametry nebo jedinečný token uživatele.

Minimalismus oprávnění: zásada „co nejméně a na co nejkratší dobu“

1. Přístup ke kameře: povolte jen aplikacím, které skutečně skenují; preferujte systémový skener v aplikaci fotoaparátu. V nastavení zvolte možnost „Pouze při používání“ a pravidelně odebírejte přístup nepoužívaným aplikacím.
2. Poloha, mikrofon, úložiště: skener QR kódů nepotřebuje polohu ani mikrofon. Ukládejte snímky jen pokud je to nezbytné a pouze do privátního úložiště.
3. Odkazy a výchozí akce: deaktivujte automatické otevírání odkazů po naskenování; vyžadujte potvrzení a náhled URL.
4. Integrace a analytika: vypněte „zlepšování produktu“ a sdílení diagnostiky v aplikaci skeneru; minimalizujte telemetrii.

Bezpečné skenování krok za krokem

1. Zkontrolujte fyzické prostředí: není QR kód přelepený? Nesedí branding? Není kód na podezřelém místě (např. parkovací automaty, kde se často falšuje)?
2. Náhled adresy: použijte skener, který zobrazuje plnou URL. Dávejte pozor na domény, homoglifové znaky, subdomény a zkracovače odkazů.
3. Ověřte protokol: trvejte na https. U nestandardní schématu (např. wifi:, mailto:) si nechte zobrazit detaily a nespouštějte akci automaticky.
4. Žádné přihlašování a platby bez verifikace: pokud QR vyžaduje přihlašovací údaje nebo platební informace, ověřte si cíl jiným kanálem (oficiální aplikace, web organizace, telefonická verifikace).
5. Nepovolujte instalace: QR kód by neměl směřovat na APK nebo konfigurační profil mimo oficiálního obchodu/portálu.

URL hygiena: na co si všímat v náhledu odkazu

• Doména vs. subdoména: rozhodující je registrující doména (např. priklad.com), nikoliv login.priklad.com.badhost.net.
• Parametry a přesměrování: dlouhé řetězce, redirect=, url=, r= a utm_* mohou skrývat jiný cíl a sledování.
• Homoglifové triky: znaky podobné latince (např. „а“ v azbuce). Podezřelý název vždy raději otevřete manuálním zadáním adresy do prohlížeče.

Platby a faktury: bezpečné používání platebních QR kódů

• Bankovní aplikace: skenujte přímo v oficiální bankovní aplikaci, nikoliv v obecné aplikaci pro skenování. Před potvrzením porovnejte IBAN, částku a variabilní symbol.
• Statické vs. dynamické QR kódy: dynamické kódy mohou vytvářet jedinečné odkazy s identifikátorem. Pokud je to možné, preferujte statické formáty bez sledovacích parametrů a bez nutnosti webového přesměrování.
• Ověření dodavatele: u faktur ověřujte QR kód vůči záznamům v účetnictví; podezřelé změny IBAN jsou signálem podvodu.

Wi-Fi, vCard a další schémata: co se stane po naskenování

• wifi: schéma: nedovolte automatické připojení. Skener by měl zobrazit SSID, typ zabezpečení a heslo; manuálně potvrďte.
• vCard / MeCard: skener může importovat kontakt se skrytými poznámkami nebo sledovacími URL. Buďte opatrní při ukládání do adresáře; použijte dočasné kontakty.
• Kalendářní pozvánky: kontrolujte název, organizátora a URL; nepovolujte automatické přidání s upozorněními a sdílením.

Firemní a veřejný kontext: procesy a politika

1. Politika skenování: povolené aplikace, povinný náhled URL, zákaz instalací z QR, logování incidentů.
2. Vzdělávání: školte o quishing útocích, o fyzickém přelepování a o rozpoznávání podezřelých domén.
3. MDM/EMM: vynucujte oprávnění „pouze při používání“, blokujte neznámé URI schémata a instalaci neznámých zdrojů.
4. Kontrola materiálů: před publikováním vlastních QR odstraňte UTM a identifikátory; používejte krátkou dobu uchovávání logů.

Ochrana soukromí při vlastních QR kódech

• Statické odkazy: pokud nepotřebujete analytiku, nepoužívejte dynamické směrování ani zkracovače.
• Data-minimalizace: u mailto: nevyplňujte citlivá pole; u sms: neuvádějte celé osobní údaje.
• Transparentnost: pokud sbíráte metriky, uveďte to na stránce po naskenování a nabídněte opt-out.
• Bezpečná grafika: neschovávejte do QR konfigurace, které mění systém (VPN/MDM profily) pro širokou veřejnost.

Výběr aplikace pro skenování: kritéria

• Bez reklam a trackerů: vybírejte aplikace s minimem knihoven třetích stran nebo používejte vestavěný fotoaparát systému.
• Náhled a potvrzení: aplikace musí zobrazit celou URL a požadovat souhlas před akcí.
• Historie a soukromí: možnost vypnout historii skenů nebo nastavit její krátkou dobu uchovávání, lokální ukládání bez cloudu.
• Oprávnění: pouze kamera, žádná poloha, mikrofon, kontakty či SMS.

Nastavení smartphonu: Android a iOS

• Android: v nastavení aplikací zkontrolujte oprávnění skenerů. V prohlížeči povolte blokování „otevře aplikaci“ (App Links) pro neznámé domény. Zapněte upozornění na škodlivé weby a izolaci profilů (např. pracovní profil pro služební QR).
• iOS: preferujte skenování vestavěným fotoaparátem; v Safari zapněte blokování cross-site trackingu a upozornění na podezřelé weby. Zkontrolujte, které aplikace mají přístup ke kameře.

Rozpoznávání podvrhů v terénu

• Přelepené nálepky: vrásky, jiný materiál, přesah mimo oficiální grafiku. Porovnejte s plakáty a vývěskami organizátora.
• QR na parkovacích automatech a sdílených kolech: raději otevřete oficiální aplikaci ručně; QR může směřovat na falešný platební portál.
• Náhlé „akce“: QR slibuje „výhru“, vyžaduje přihlášení – vysoké riziko. Nezadávejte MFA kódy mimo oficiální domény.

Incident response: co dělat po chybném naskenování

1. Okamžitě ukončete akci: zavřete stránku/aplikaci; neudělujte další oprávnění.
2. Změňte hesla/MFA: pokud jste zadali přihlašovací údaje, změňte je a odhlaste relace; aktivujte 2FA, rotujte recovery kódy.
3. Zkontrolujte transakce: u plateb kontaktujte banku a nastavte dočasné limity, chargeback pokud možno.
4. Forenzní minimum: uložte historii skenů, náhledy URL a čas; nahlaste bezpečnostnímu týmu správce sítě.

Specifika pro organizátory akcí a veřejné instituce

• Oficiální kanál: uvádějte zkrácenou čitelnou adresu vedle QR (např. doménu 2. úrovně) pro manuální zadání.
• Ochrana před přelepením: používejte embosované nebo holografické nálepky, fyzické ochranné vrstvy a náhodné rozložení, aby bylo přelepení zjevné.
• Bez trackingu: pokud to není nezbytné, nepoužívejte jedinečné identifikátory v QR; respektujte principy minimalizace a informování.

Kontrolní seznam pro uživatele

• Skener zobrazuje plnou URL a vyžaduje potvrzení.
• Aplikaci skeneru jste udělili pouze přístup ke kameře, a to pouze při používání.
• Neskenujete QR kódy na místech náchylných k podvodům bez dodatečné verifikace.
• U plateb používáte oficiální bankovní aplikaci a kontrolujete údaje.
• Neinstalujete aplikace ani profily z QR; nepřihlašujete se přes neznámé domény.

Shrnutí: bezpečnost QR jako kombinace opatrnosti a limitovaných oprávnění

Bezpečné skenování QR stojí na třech pilířích: vizuální a logické verifikaci cíle, minimalismu oprávnění (pouze kamera, nic jiného) a správných výchozích nastaveních aplikace – náhled, potvrzení, žádné automatické akce. Dodržením těchto zásad snížíte pravděpodobnost podvodu i riziko nechtěného sdílení osobních údajů na minimum.