Cum au fost transformate codurile QR din invenție industrială în instrument de fraudă digitală
Frauda prin codurile QR-Codul QR pare unul dintre cele mai inofensive obiecte ale vieții moderne. Îl vezi pe masa unui restaurant, pe o factură, pe un panou de parcare, pe un bilet de avion, pe ușa unui muzeu sau pe ecranul unui aparat de plată. Îl scanezi aproape fără să gândești. Aici începe problema. Într-o lume în care oamenii au fost învățați să se ferească de linkuri dubioase, atacatorii au descoperit că un link ascuns într-un pătrat alb-negru trece mult mai ușor de vigilența noastră.
Fenomenul se numește quishing, de la QR și phishing. În esență, este aceeași logică veche a înșelătoriei digitale, dar îmbrăcată într-o formă nouă. În loc să primești un email suspect cu un link către o bancă falsă, scanezi un cod QR care te trimite către o pagină clonată, o plată frauduloasă sau un formular care îți cere date bancare, parole ori informații personale. Diferența psihologică este enormă. Linkul poate părea murdar. Codul QR pare oficial.
Ilustratie:Storyset.com
Istoria acestui obiect începe departe de restaurante și fraude. Codul QR a fost creat în 1994 de Denso Wave, o companie japoneză din ecosistemul industrial Toyota, pentru a urmări rapid piesele din industria auto. QR înseamnă „quick response”, adică răspuns rapid, iar ideea inițială era eficiența: mai multă informație stocată decât într-un cod de bare și citire rapidă din mai multe unghiuri. Denso Wave notează că sistemul QR a fost lansat în 1994 și dezvoltat inițial pentru producție industrială, nu pentru meniuri digitale sau plăți mobile.
Pandemia a schimbat însă destinul social al codului QR. Ceea ce fusese o unealtă logistică a devenit, peste noapte, interfața contactless a lumii. Restaurantele au înlocuit meniurile fizice, instituțiile au mutat formulare pe telefon, parcările au introdus plăți rapide, iar turiștii au fost antrenați să scaneze fără întrebări. În această accelerare, codul QR a căpătat o autoritate ciudată: dacă este lipit pe o masă, pare legitim; dacă apare pe un panou, pare oficial; dacă este într-un hotel, pare verificat.
Atacatorii au exploatat exact acest transfer de încredere. Quishing-ul funcționează pentru că nu atacă doar telefonul, ci reflexele noastre culturale. Omul modern este obosit de parole, aplicații, confirmări, ferestre de consimțământ și proceduri.
Când vede un cod QR, vrea să scurteze drumul. Scanează pentru că vrea eficiență. Iar eficiența, în securitate, este deseori locul unde începe vulnerabilitatea.
Datele recente arată că fenomenul nu este marginal. Un raport Egress privind evoluția phishingului nota că payload-urile prin QR erau rare în 2021 și 2022, reprezentând 0,8% și 1,4% din atacuri, dar au urcat la 12,4% în 2023 și au rămas la 10,8% în 2024, cel puțin în perioada analizată. Perception Point a raportat o creștere de 427% a utilizării codurilor QR malițioase doar între august și septembrie 2023, un salt care arată cât de repede se adaptează criminalitatea digitală atunci când descoperă un comportament social slab protejat.
De ce turiștii sunt victime ideale: meniuri false, parcări, hoteluri și orașe străine
Turistul este una dintre țintele perfecte pentru quishing. Nu pentru că ar fi mai naiv, ci pentru că se află într-o stare practică de vulnerabilitate. Este într-un oraș pe care nu îl cunoaște, folosește des telefonul pentru hărți, traduceri, rezervări, bilete, transport și plăți. Este grăbit, obosit, uneori cu baterie puțină, alteori cu roaming instabil. În aceste condiții, codul QR devine o promisiune de ordine: scanează și rezolvă.
În restaurante, scenariul este foarte simplu. Un cod QR fals poate fi lipit peste cel original sau plasat lângă el. Clientul scanează crezând că deschide meniul. Uneori ajunge pe o clonă credibilă a site-ului localului. Alteori i se cere să creeze un cont, să confirme o rezervare sau să introducă datele cardului pentru o comandă. Într-un mediu turistic, unde meniurile digitale au devenit normale, foarte puțini oameni cheamă ospătarul să întrebe dacă acel cod este autentic.
În parcări, metoda este și mai eficientă. Atacatorul lipește un QR fals peste cel oficial de plată. Șoferul scanează, introduce numărul mașinii, datele cardului și crede că a achitat parcarea. În realitate, a predat cardul unei pagini frauduloase. FBI a avertizat public asupra acestor fraude, arătând că infractorii pot modifica atât coduri digitale, cât și coduri fizice, direcționând victimele către site-uri care le fură datele financiare.
Aceeași logică apare în hoteluri, aeroporturi, stații de încărcare electrică, muzee sau evenimente. Acolo unde oamenii sunt obișnuiți să scaneze rapid, atacatorii nu mai au nevoie de tehnici spectaculoase. Le ajunge o imprimantă, un sticker și o înțelegere bună a comportamentului uman.
Aici quishing-ul devine interesant antropologic. Frauda nu se bazează doar pe tehnologie, ci pe faptul că omul modern a fost educat să asculte de interfețe. Când un ecran cere confirmare, confirmă. Când un QR promite acces, scanează. Când o pagină arată suficient de familiar, merge mai departe. În spatele acestui gest aparent banal se află o mutație culturală: încrederea s-a mutat de la oameni și instituții vizibile către semne digitale pe care aproape nimeni nu le mai verifică.
Frauda prin codurile QR ,ce spun specialiștii în securitate: QR-ul nu este imagine, este un link mascat
Specialiștii în cybersecurity insistă asupra unei idei simple, dar ignorate masiv: un cod QR nu este o imagine neutră. Este un link ascuns. Poate duce către un meniu real, dar poate duce la fel de bine către o pagină falsă, un formular de colectare a datelor, o aplicație malițioasă sau un site care imită o bancă, o instituție publică ori o platformă de plată.
Motivul pentru care quishing-ul este atât de eficient ține de arhitectura telefonului. Pe desktop, utilizatorii au mai multe repere: văd mai bine adresa URL, pot plasa cursorul peste link, pot compara taburi, observă mai ușor un domeniu ciudat. Pe telefon, interfața comprimă totul. Adresa completă se vede greu, paginile se deschid rapid, iar utilizatorul se află deseori într-un context fizic care îi cere viteză: plătește, comandă, intră, confirmă, pleacă.
Acesta este și motivul pentru care atacurile prin QR pot ocoli unele filtre clasice de securitate. Un email cu link malițios poate fi detectat mai ușor de sistemele de protecție. Un email care conține o imagine cu un QR poate părea, la prima verificare, mai puțin suspect. Unele campanii trimit codul într-un PDF, într-o imagine sau într-un document aparent administrativ, obligând victima să mute atacul de pe computerul protejat al companiei pe telefonul personal, unde protecțiile sunt adesea mai slabe.
Rapoartele recente confirmă această adaptare. Abnormal Security nota în raportul său H1 2024 că directorii de nivel C-suite primesc de 42 de ori mai multe atacuri prin QR code phishing decât angajatul mediu, tocmai pentru că atacatorii urmăresc conturi cu acces valoros și decizii rapide. KnowBe4 arăta în 2024 că aproximativ unul din trei utilizatori rămâne susceptibil să interacționeze cu linkuri malițioase sau cereri frauduloase, într-un context în care phishingul continuă să fie una dintre cele mai folosite metode de atac.
Pericolul crește și din cauza inteligenței artificiale. Mesajele care însoțesc codurile QR pot fi scrise impecabil, traduse corect, adaptate cultural și personalizate pentru o anumită țintă. Într-un oraș turistic, un atacator poate produce rapid pagini false în mai multe limbi, cu design credibil și instrucțiuni care par locale. În zona corporate, poate crea un mesaj care imită tonul departamentului IT sau al unei bănci.
Quishing-ul este periculos tocmai pentru că nu cere multă naivitate. Cere doar un moment de grabă.
Cum ne ferim fără să devenim paranoici într-o lume plină de coduri QR
Protecția reală începe cu schimbarea reflexului. Codul QR trebuie tratat ca un link, nu ca un decor. Înainte să apeși pe pagina deschisă, trebuie privit domeniul. Nu doar sigla, nu doar culorile, nu doar designul, ci adresa exactă. Un site fals poate copia meniul unui restaurant, logo-ul unei parcări sau interfața unei bănci, dar domeniul trădează adesea frauda: litere înlocuite, terminații ciudate, subdomenii lungi, combinații fără sens.
În restaurante, regula practică este simplă: dacă QR-ul pare lipit peste altceva, zgâriat, mutat, imprimat prost sau plasat neobișnuit, întreabă personalul. Nu este rușinos. Este igienă digitală. Un turist atent nu este un turist dificil, ci unul care înțelege că orașele moderne au devenit pline de interfețe vulnerabile.
În parcări, cel mai sigur este să folosești aplicația oficială a orașului sau operatorului, nu un cod scanat la întâmplare de pe un stâlp. Dacă pagina cere date bancare complete într-un mod agresiv sau te presează să acționezi rapid, oprește-te. Presiunea este una dintre semnăturile fraudei. La fel și senzația că trebuie să rezolvi totul imediat.
În hoteluri și aeroporturi, trebuie evitate codurile QR care cer autentificări inutile. Un meniu, o hartă sau un program de eveniment nu ar trebui să îți ceară parola de email, datele cardului sau autentificarea într-un cont personal. Dacă un cod QR îți cere informații disproporționate față de serviciul promis, ceva este greșit.
Specialiștii recomandă și actualizarea telefonului, folosirea unui browser sigur, activarea autentificării în doi pași pentru conturile importante și evitarea instalării aplicațiilor descărcate prin QR-uri necunoscute. Dar dincolo de aceste reguli tehnice, protecția fundamentală rămâne atenția. Nu atenția paranoică, ci atenția matură.
Quishing-ul spune ceva esențial despre epoca noastră. Nu mai suntem păcăliți doar pentru că nu știm tehnologie. Suntem păcăliți pentru că avem prea multă încredere în ritualurile digitale care ne promit confort. Codul QR a devenit un simbol al unei lumi fără contact, fără hârtie, fără așteptare. Dar exact această lume rapidă cere o formă nouă de prudență.
În spatele acestor transformări apare însă o întrebare tot mai importantă: cine stabilește regulile spațiului digital în care oamenii își mută banii, identitatea și datele personale? În articolul digital service Act, am analizat modul în care Uniunea Europeană încearcă să redefinească responsabilitatea platformelor și noile reguli ale ecosistemului online.
În fond, lecția este simplă: când un obiect banal devine poarta către bani, date personale și identitate digitală, banalitatea lui dispare. Un cod QR poate fi un meniu. Poate fi o plată. Poate fi un bilet. Dar poate fi și o capcană. Diferența nu stă în pătratul alb-negru, ci în câteva secunde de verificare pe care omul modern trebuie să învețe din nou să și le permită.
Antropolog |Broker Cultural
Cu peste 25 de ani de experiență în media și comunicare, fondator al proiectului Rețete de Viață, platforma unde analizează comportamente sociale, idei și fenomene culturale care modelează societatea contemporană.