Czym jest Quishing i co za to grozi?

Skanujesz kod QR na parkomacie, żeby szybko opłacić postój. Po kilku sekundach na koncie brakuje kilku tysięcy złotych, a aplikacja banku pokazuje przelew, którego nie zlecałeś. Tak właśnie wygląda quishing, czyli phishing z wykorzystaniem fałszywych kodów QR. To zjawisko rośnie w Polsce lawinowo, a poszkodowani często nie wiedzą, od czego zacząć dochodzenie swoich praw. W tym wpisie tłumaczymy, czym dokładnie jest to oszustwo, jakie przepisy kodeksu karnego mają tu zastosowanie i jak skutecznie zabezpieczyć dowody, zanim znikną z sieci.

Quishing, czyli phishing przebrany w kod QR

Quishing to połączenie słów „QR” i „phishing”. Mechanizm jest prosty i właśnie ta prostota czyni go niebezpiecznym. Sprawca przygotowuje kod QR, który po zeskanowaniu prowadzi do strony łudząco podobnej do prawdziwego serwisu Twojego banku, operatora płatności, urzędu czy firmy kurierskiej. Gdy wpiszesz tam login, hasło lub dane karty, trafiają one wprost do przestępcy.

Różnica między klasycznym phishingiem a quishingiem polega na tym, że fałszywego linku w mailu możesz dostrzec, zanim klikniesz. W kodzie QR nie widzisz nic. Pełny adres URL pojawia się dopiero w przeglądarce, a wielu użytkowników nigdy go nie sprawdza. Telefon automatycznie otwiera stronę, a Ty masz tylko ułamek sekundy, żeby zareagować.

Schemat działania zwykle wygląda tak:

• Etap pierwszy — sprawca tworzy fałszywą stronę logowania, bramki płatniczej lub formularza wpłaty.
• Etap drugi — generuje kod QR prowadzący do tej strony.
• Etap trzeci — umieszcza kod w miejscu, gdzie ofiara spodziewa się autentycznego przekierowania, np. na parkomacie, w mailu firmowym, na ulotce, fakturze lub fałszywym awizo.
• Etap czwarty — przejmuje dane logowania lub uruchamia transakcję, którą sam autoryzuje.

W praktyce skanowanie kodu QR z zewnątrz wygląda tak samo, niezależnie od tego, czy prowadzi do prawdziwej, czy do fałszywej strony. To dlatego quishing tak skutecznie omija ostrożność osób, które na co dzień radzą sobie z rozpoznawaniem podejrzanych wiadomości.

Najczęstsze scenariusze oszustwa na kod QR w Polsce

Polskie zespoły reagowania na incydenty komputerowe od kilku lat odnotowują rosnącą liczbę kampanii quishingowych. Schematy się powtarzają, więc warto je znać, zanim sam staniesz przed naklejką z kodem na ulicy.

• Fałszywe kody na parkomatach. Najgłośniejszy scenariusz ostatnich miesięcy. Sprawcy naklejają własne kody QR na obudowy parkomatów, najczęściej obok lub na wierzchu oficjalnego oznaczenia operatora. Kierowca skanuje, trafia na podrobiony portal płatności, podaje dane karty i autoryzuje rzekomo niską opłatę za postój. W rzeczywistości autoryzuje cykliczne obciążenia albo jednorazowy przelew o znacznie wyższej kwocie.
• Fałszywe mandaty i awizo. Pod wycieraczkę samochodu trafia kartka udająca wezwanie z urzędu miasta albo straży miejskiej. Zamiast danych do przelewu, mandat zawiera kod QR. Po zeskanowaniu otwiera się strona przypominająca bramkę płatności, gdzie wystarczy „uregulować” drobną kwotę. Tym samym przekazujesz przestępcy dane karty lub login do bankowości.
• Quishing w mailach firmowych. Pracownik dostaje wiadomość rzekomo od działu IT albo zarządu. Treść brzmi profesjonalnie, jest podpisana imieniem i nazwiskiem przełożonego. W środku znajduje się kod QR do „aktywacji nowej polityki bezpieczeństwa” lub „weryfikacji konta Microsoft 365”. Po skanowaniu telefonem służbowym lub prywatnym, pracownik trafia na fałszywy login, a sprawca przejmuje dostęp do firmowej poczty.
• Fałszywe ogłoszenia i ulotki. Kody QR pojawiają się także na słupach ogłoszeniowych, w komunikacji miejskiej i na ulotkach reklamowych. Atrakcyjna oferta, „rabat 70%”, „bilet promocyjny”, „kupon na paliwo”. Mechanizm identyczny.
• Przesyłki kurierskie i dopłaty. SMS lub e-mail informuje o konieczności dopłaty do paczki. Zamiast linku, wiadomość zawiera kod QR. Po jego zeskanowaniu na ekranie pojawia się formularz wymagający zalogowania do banku albo wpisania danych karty.

Kwalifikacja prawna quishingu w polskim kodeksie karnym

Quishing nie ma własnego, jednego przepisu w kodeksie karnym. To zjawisko mieszczące się w kilku istniejących regulacjach, w zależności od tego, jak konkretnie zadziałał sprawca i co osiągnął. Z perspektywy poszkodowanego ma to znaczenie praktyczne, bo od kwalifikacji zależy tryb postępowania, sąd właściwy i wysokość grożącej kary.

• Art. 286 kodeksu karnego — oszustwo klasyczne. Przepis obejmuje sytuację, w której sprawca wprowadza inną osobę w błąd lub wykorzystuje jej błąd po to, żeby skłonić ją do niekorzystnego rozporządzenia mieniem. W quishingu to wprowadzenie w błąd następuje w momencie, gdy ofiara wpisuje dane logowania na fałszywej stronie. Za oszustwo grozi kara pozbawienia wolności od 6 miesięcy do 8 lat. W wypadku mienia znacznej wartości (art. 294 kk) sąd może orzec karę do 10 lat.
• Art. 287 kodeksu karnego — oszustwo komputerowe. Ten przepis obejmuje przypadki, gdy sprawca bez upoważnienia wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych, zmienia, usuwa albo wprowadza nowy zapis takich danych, działając w celu osiągnięcia korzyści majątkowej lub wyrządzenia szkody. Jeśli przestępca, po przejęciu loginu i hasła, samodzielnie zaloguje się do Twojej bankowości i zleci przelew, jego zachowanie wypełnia znamiona właśnie tego czynu. Sankcja to kara pozbawienia wolności od 3 miesięcy do 5 lat.
• Art. 190a kodeksu karnego — podszywanie się. Gdy sprawca wykorzystuje wizerunek konkretnej osoby, logo urzędu, banku lub firmy, jego działanie może dodatkowo wypełniać znamiona przestępstwa podszywania się. Dotyczy to sytuacji, w których ktoś podaje się za inną osobę, używa jej wizerunku lub innych danych w celu wyrządzenia szkody majątkowej lub osobistej. Kara to pozbawienie wolności do 3 lat.

W praktyce te przepisy często występują w zbiegu. Jeden czyn quishingu może być jednocześnie oszustwem z art. 286 kk, oszustwem komputerowym z art. 287 kk i podszywaniem się z art. 190a kk. Dla sprawcy oznacza to wyższą karę. Dla poszkodowanego — szerszy zakres dochodzonych roszczeń, w tym zadośćuczynienia.

Co zrobić, gdy padniesz ofiarą quishingu?

Jeśli zorientujesz się, że zeskanowałeś fałszywy kod QR i podałeś dane, liczy się każda godzina. Im szybciej zareagujesz, tym większa szansa na odzyskanie pieniędzy i skuteczne ściganie sprawcy.

• Krok pierwszy — zablokuj kanały płatnicze. Natychmiast zadzwoń na infolinię banku i poproś o blokadę karty oraz dostępu do bankowości elektronicznej. Jeśli podałeś dane karty, bank powinien przekazać sprawę do reklamacji i rozpocząć procedurę chargeback.
• Krok drugi — zabezpiecz dowody cyfrowe. Zrób zrzuty ekranu fałszywej strony (o ile nadal jest dostępna), zachowaj e-maile, SMS-y, zdjęcia kodu QR na parkomacie lub mandacie. Nie usuwaj historii przeglądarki. Jeśli skanowałeś telefonem służbowym, zgłoś sprawę przełożonemu i działowi IT, bo logi z urządzenia mogą być rozstrzygające dla późniejszego postępowania.
• Krok trzeci — zgłoś incydent do CERT Polska. Pod adresem incydent.cert.pl znajdziesz formularz do zgłaszania kampanii phishingowych. Twoje zgłoszenie pomoże zablokować fałszywą stronę i ostrzec innych użytkowników.
• Krok czwarty — złóż zawiadomienie o popełnieniu przestępstwa. Możesz to zrobić w najbliższej jednostce policji albo w prokuraturze. W zawiadomieniu opisz, jak doszło do skanowania kodu, co podałeś na fałszywej stronie, jaką kwotę straciłeś i jakie kroki podjąłeś u operatora płatności.
• Krok piąty — nie kasuj telefonu i nie resetuj go do ustawień fabrycznych. Dane z urządzenia, w tym logi systemowe i historia połączeń z fałszywym serwerem, mogą być potrzebne biegłemu z zakresu informatyki śledczej.

Im lepiej zabezpieczysz materiał dowodowy, tym sprawniej organy ścigania ustalą, kto stał za kampanią, i tym większa szansa na realne odzyskanie środków.

Jak chronić się przed quishingiem na co dzień?

Najlepsza obrona to nawyk weryfikacji. Kilka prostych zasad znacząco zmniejsza ryzyko, że padniesz ofiarą.

• Sprawdzaj kod, zanim go zeskanujesz. Na parkomacie zwróć uwagę, czy kod nie wygląda na naklejkę nałożoną na oryginalne oznaczenie. Jeśli QR odstaje, ma inny kolor papieru albo widać pod nim ślad innej grafiki, nie skanuj.
• Weryfikuj adres URL po skanowaniu. Większość aparatów w telefonach pokazuje podgląd linku, zanim go otworzy. Jeśli adres odbiega od oczekiwanego (literówki, dziwne domeny, brak https), zamknij podgląd.
• Nie loguj się do bankowości po skanowaniu kodu QR z miejsca publicznego. Korzystaj z oficjalnej aplikacji banku albo wpisz adres ręcznie w przeglądarce.
• Uważaj na pośpiech. Komunikaty „opłać w 2 minuty”, „twoja paczka zostanie zwrócona”, „ostatnia szansa” to typowe sygnały socjotechniki.
• Korzystaj z uwierzytelniania dwuskładnikowego. Nawet jeśli sprawca przejmie hasło, kod SMS lub potwierdzenie w aplikacji bankowej zatrzyma transakcję.
• W firmie zgłaszaj podejrzane maile z kodami QR działowi IT. Skanowanie z telefonu służbowego nie czyni z urządzenia bezpiecznego kanału.

Dobre nawyki nie zastąpią technologii, ale technologii samej w sobie też nie warto przeceniać. Filtry antyspamowe i antywirusy radzą sobie z linkami tekstowymi znacznie lepiej niż z obrazami zawierającymi kody QR.

Kiedy potrzebujesz adwokata w sprawie o quishing?

Większość poszkodowanych ogranicza się do zawiadomienia o przestępstwie i czeka na ruch policji. To zrozumiałe, ale często niewystarczające. Jeśli straciłeś znaczną kwotę, jesteś przedsiębiorcą, którego konto firmowe ucierpiało na skutek ataku, albo jeśli organy ścigania umorzyły postępowanie z powodu „niewykrycia sprawcy”, warto skonsultować sprawę z adwokatem specjalizującym się w prawie karnym.

W praktyce adwokat w sprawie o quishing pomaga przede wszystkim w:

• przygotowaniu pełnego zawiadomienia o przestępstwie z prawidłową kwalifikacją prawną i wskazaniem wszystkich istotnych dowodów,
• reprezentacji jako pełnomocnik pokrzywdzonego w postępowaniu przygotowawczym i sądowym,
• dochodzeniu roszczeń cywilnych od sprawcy (zwrot skradzionej kwoty, zadośćuczynienie),
• kontakcie z bankiem w sprawie procedury chargeback i odpowiedzialności operatora płatności,
• zaskarżeniu postanowienia o umorzeniu śledztwa, jeśli prokuratura zbyt szybko zamknęła sprawę,
• obronie podejrzanych, którzy zostali wciągnięci w kampanię quishingową w roli słupów (np. nieświadomych właścicieli kont bankowych wykorzystanych do przelewów).

Sprawy o cyberprzestępstwa są szczególnie wymagające, bo wymagają znajomości przepisów karnych i podstaw informatyki śledczej. Dobrze poprowadzone postępowanie potrafi zmienić bieg sprawy, w której początkowo wydawało się, że pieniędzy nie da się odzyskać.

Co warto zapamiętać?

Quishing to dziś jedna z najczęściej spotykanych form cyberprzestępczości w Polsce. Mechanizm jest tani dla sprawcy, anonimowy i wyjątkowo skuteczny, bo opiera się na codziennej rutynie zeskanowaniu kodu bez sprawdzania, dokąd prowadzi. Polskie prawo karne daje narzędzia do ścigania takich oszustw poprzez art. 286, art. 287 i art. 190a kodeksu karnego, a poszkodowany może domagać się zarówno zwrotu utraconych środków, jak i zadośćuczynienia. Kluczowe jest jednak szybkie działanie: blokada konta, zabezpieczenie dowodów cyfrowych i fachowe poprowadzenie sprawy od pierwszego zawiadomienia.

Jeśli padłeś ofiarą oszustwa z fałszywym kodem QR albo postawiono Ci zarzuty związane z cyberprzestępczością, Kancelaria Adwokacka OWO Adwokaci pomoże Ci ułożyć strategię działania. Specjalizujemy się w prawie karnym, prowadzimy sprawy zarówno pokrzywdzonych, jak i osób oskarżonych w postępowaniach o oszustwa komputerowe i klasyczne oszustwa z art. 286 kk. Działamy we Wrocławiu i Jeleniej Górze, a w razie potrzeby reprezentujemy klientów z całej Polski, także zdalnie. Adwokat Artur Obarzanek prowadzi sprawę osobiście, bez obiecywania gotowych scenariuszy. Dostajesz realną ocenę szans, jasną strategię procesową i kontakt na każdym etapie postępowania.