Nová past na bankovní karty: Stačí naskenovat tento podvodný QR kód a přijdete o všechno
Sledovat v Google Zprávách
Podvodníci vytáhli další trik, který působí až nepříjemně přesvědčivě. Lidem do schránek chodí dopisy s údajně novou platební kartou a výzvou k její aktivaci přes QR kód. Stačí ho naskenovat – a během několika minut může být účet prázdný.
Bezpečnostní experti mluví o takzvaném quishingu, tedy phishingu prováděném pomocí QR kódů. Oproti klasickým podvodným e‑mailům má papírový dopis jednu výhodu: působí oficiálněji. Logo banky, seriózně napsaný text, někdy dokonce plastová karta, která vypadá úplně stejně jako ta pravá.
Na jaře na podobné případy upozornila policie v belgickém Mortselu. Lidé tam dostali dopis s výzvou k aktivaci nové karty přes přiložený QR kód. Po jeho načtení se otevřela stránka, která věrně kopírovala internetové bankovnictví. Oběti zadaly své údaje – a útočníci jim účet vyčistili do posledního eura.
Jak podvod funguje a proč je tak účinný
Princip není složitý, ale je promyšlený. QR kód v dopise přesměruje na falešný web, graficky téměř totožný s oficiální stránkou banky. Člověk tam vyplní přihlašovací jméno a heslo, někdy i PIN nebo kód z SMS. V tu chvíli předává útočníkům přístup ke svému účtu.
QR kódy většina lidí bere jako běžnou věc. Používají se v restauracích, při platbách, ke stažení aplikací. Jenže kód samotný je jen obrázek, který skrývá odkaz – a ten na první pohled nevidíte. Právě tahle „neviditelnost“ z něj dělá ideální nástroj pro podvodníky, což si spousta lidí neuvědomuje.
Policie ve svém varování zdůraznila, že banky nikdy nechtějí aktivovat kartu přes QR kód zaslaný poštou. Pokud vám banka vystaví novou kartu, děje se to při konci její platnosti nebo na základě vaší žádosti. A rozhodně po vás nebude chtít znovu údaje, které už dávno má.
Co říkají banky a kyberbezpečnostní experti
Česká bankovní asociace opakovaně připomíná, že přihlašovací údaje patří výhradně do oficiální aplikace nebo na oficiální web banky. Útočníci dnes kombinují klasickou poštu s online útokem, aby obešli přirozenou nedůvěru lidí k e‑mailům. Papír v ruce zkrátka působí jinak.
Odborníci na kyberbezpečnost mluví o sociálním inženýrství. To je způsob manipulace, kdy oběť sama poskytne citlivé informace. U quishingu nahrazuje běžný odkaz v e‑mailu právě QR kód. A ten se navíc hůř kontroluje běžnými bezpečnostními filtry.
V poslední době se objevily i případy, kdy podvodníci posílají skutečné platební karty vystavené na falešné identity. Dopis pak obsahuje kartu se jménem adresáta, což celé věci dodá na důvěryhodnosti. Jakmile člověk vyplní údaje na falešném webu, útočníci kartu napojí na jeho účet a začnou okamžitě utrácet.
Škody bývají vysoké a hlavně rychlé. Pokud klient zadá autorizační kód z SMS, potvrzuje tím transakci. Banka ji pak může vyhodnotit jako řádně schválenou, a vrácení peněz je složité, někdy i nemožné.
Jak se bránit a co dělat při podezření
Základ je prostý: neskenujte QR kódy z dopisů, které jste si nevyžádali. I když vypadají oficiálně. Pokud vám přijde nová karta, ověřte si její původ přímo u banky – přes oficiální telefonní číslo nebo mobilní aplikaci, ne přes kontakt uvedený v dopise.
Doporučuje se také:
- nezadávat přihlašovací údaje po otevření stránky z QR kódu
- pečlivě zkontrolovat adresu webu, musí přesně souhlasit s oficiální doménou banky
- mít zapnuté okamžité notifikace o pohybech na účtu
- při jakémkoli podezření ihned kontaktovat banku a kartu zablokovat
Jestli už jste údaje vyplnili, nečekejte. Zavolejte do banky, požádejte o blokaci přístupu i karty a zvažte podání trestního oznámení. Čas hraje roli – někdy rozhodují minuty.
QR kódy samy o sobě problém nejsou. Rizikem je spíš naše rutina a spěch. Podvodníci na to spoléhají. Pár vteřin nepozornosti může znamenat ztrátu úspor, které jste budovali roky. Přitom krátké ověření informace zabere sotva chvíli.
Zdroje: politie.be, bankovniasociace.cz, nukib.cz, europol.eu
