Falošná nálepka na parkovacom automate, podvodný e-mail s PDF prílohou alebo leták za stieračom auta: quishing sa na Slovensku šíri od začiatku roka 2026 a polícia SR ho označila za hrozbu, ktorá „zaplavila Slovensko“. MIRRI v apríli varoval pred novou vlnou útokov v Bratislave.
Načasovanie nie je náhoda. Od 1. mája 2026 musia podnikatelia evidujúci tržby v eKase umožniť bezhotovostnú platbu pri každej transakcii nad jedno euro, pričom si môžu vybrať medzi platobným terminálom, bankovým prevodom a QR kódom. Pre menšie prevádzky bez terminálu je vytlačený kód lacné a rýchle riešenie. Útočníci to vedia, informoval server TECHBYTE.sk.
Prelepená nálepka
Quishing kombinuje QR kód a phishing. Útočník vymení legitímny kód za vlastný, falošný. Naskenovaním sa dostanete na stránku, ktorá vizuálne napodobňuje platobnú bránu banky alebo obchodu a buď kradne prihlasovacie údaje do internet bankingu, alebo prevedie platbu priamo útočníkovi. Obeť sa o tom dozvie až pri pohľade na výpis z účtu.
Najrozšírenejšia technika: prelepenie QR kódu na parkovacom automate vlastnou nálepkou. Zákazník zaplatí, peniaze odídu útočníkovi. Rovnaký princíp funguje pri letákoch sľubujúcich zľavy, pri falošných vstupenkách na udalosti, ktoré neexistujú, aj pri „upozorneniach“ podstrčených za stierač auta s výzvou na zaplatenie pokuty. Portál Techbyte.sk uvádza, že práve tento posledný trik sa na Slovensku šíri vo väčšej miere od začiatku roka.
PDF, ktoré prejde filtrom
Sofistikovanejší variant využíva e-mailové prílohy. Útočník pošle PDF dokument s QR kódom vo vnútri. Antivírusové filtre skenujú súbory, nie vizuálny obsah, takže príloha prejde bez varovania. Podvodné e-maily napodobňujúce komunikáciu bánk pritom polícia SR identifikovala ako jeden z hlavných kanálov šírenia falošných kódov.
MIRRI aj polícia SR zhodne upozorňujú: slovenské banky nevkladajú QR kódy do e-mailov ako výzvu na platbu ani na overenie účtu. Ak takýto e-mail dostanete, ide o okamžitý varovný signál, bez ohľadu na to, ako presvedčivo vyzerá logo banky v hlavičke správy.
Čo QR kód skrýva
Pri klasickom phishingovom e-maile vidíte URL adresu odkazu. Skúsenejší používateľ si všimne nesprávne znaky alebo neznámu doménu. Pri QR kóde URL pred skenovaním nevidíte vôbec. Kód je pre ľudské oko nečitateľný a originál od falzifikátu nerozoznáte pohľadom. Na mobilnom telefóne sa adresa po naskenovaní zobrazuje len čiastočne alebo ju zariadenie pred presmerovaním vôbec nezobrazí.
Falošné platobné stránky používajú adresy ako „slovenska-banka.sk.payments-verify.com“. Legitímna banka má krátku a jednoduchú doménu. Tento rozdiel je viditeľný, ale len vtedy, ak si adresu pred zadaním údajov skutočne prečítate.
Kontrola pred skenovaním
Ochrana nevyžaduje technické znalosti. Pred skenovaním skontrolujte fyzický stav kódu: dôveryhodný QR kód je vytlačený priamo na zariadení, nie dodatočne nalepený. Viditeľne prelepená nálepka na automate je dostatočný dôvod nič neskenúvať.
Po naskenovaní vždy skontrolujte URL adresu skôr, než zadáte akékoľvek údaje. Natívna aplikácia fotoaparátu adresu pred otvorením často nezobrazí, preto server odporúča používať dedikovanú aplikáciu na skenovanie, ktorá URL ukáže vopred. Ak si nie ste istí pôvodom QR kódu v prevádzke alebo reštaurácii, opýtajte sa obsluhy: poctivý podnikateľ vie potvrdiť, kde je správny kód a na čo slúži.
Zákon o evidencii tržieb za nesplnenie povinnosti akceptovať bezhotovostnú platbu predpokladá pokutu. Podnikatelia, ktorí si vybrali QR kód ako najjednoduchšiu cestu k splneniu tejto povinnosti, zároveň preberajú zodpovednosť za to, že kód na ich prevádzke nikto nevymenil.
