- Quishing to odmiana phishingu, w której fałszywy kod QR prowadzi do podstawionej strony logowania, płatności albo pobrania złośliwego pliku.
- Najczęstsze scenariusze to parkowanie, dopłata do przesyłki, fałszywe wezwanie do zapłaty, ogłoszenia sprzedażowe oraz podszycie pod bank, urząd lub operatora usługi.
- Największe ryzyko pojawia się wtedy, gdy po skanie wpisujesz dane karty, login, hasło, kod BLIK albo instalujesz aplikację lub plik.
- Najbezpieczniejsza zasada: przy płatnościach, bankowości i sprawach urzędowych wchodź do usługi przez oficjalną aplikację albo ręcznie wpisany adres, a nie przez przypadkowo zeskanowany kod QR.
- Po błędzie działaj natychmiast: zastrzeż kartę lub zablokuj instrument, zmień hasła, zbierz dowody i zgłoś sprawę do banku, CERT Polska, a przy szkodzie również na Policję.
Quishing rozpoznasz po tym, że kod QR uruchamia pośpiech, prowadzi do obcej domeny i żąda danych lub płatności, których nie da się potwierdzić w oficjalnym kanale. To phishing ukryty w kodzie QR.
W praktyce wygląda to niewinnie. Skanujesz kod z parkomatu, tablicy, ulotki, ogłoszenia albo wiadomości. Telefon otwiera stronę, która przypomina legalny serwis płatności, bank albo urząd. Dopiero po chwili okazuje się, że trafiłeś na podstawioną witrynę, która zbiera dane karty, hasło, kod BLIK albo nakłania do pobrania pliku.
Dlatego przy quishingu działa prosty nawyk: najpierw weryfikujesz źródło i domenę, dopiero potem robisz cokolwiek dalej. Jeśli sprawa dotyczy pieniędzy, parkowania, banku albo urzędu, skan nie powinien zastępować standardowej procedury bezpieczeństwa.
Warianty sytuacji w skrócie – co robić zależnie od scenariusza?
| Sytuacja | Co robisz | Co zyskujesz | Czego nie rób | Największe ryzyko |
|---|---|---|---|---|
| Kod QR na parkomacie, słupku lub tablicy | Uruchom płatność przez oficjalną aplikację operatora lub miasta zainstalowaną wcześniej | Omijasz podstawione strony i fałszywe bramki płatnicze | Nie skanuj doklejonych naklejek ani kodów zasłaniających oryginalny nadruk | Wyłudzenie danych karty, kodu BLIK albo instalacja malware |
| Kartka z rzekomym wezwaniem do zapłaty za wycieraczką | Zweryfikuj sprawę przez oficjalną stronę, infolinię albo właściwą instytucję | Nie wpadasz w scenariusz presji i fałszywej należności | Nie płać wyłącznie dlatego, że kartka straszy dopłatą, odsetkami albo blokadą | Kradzież pieniędzy, danych albo infekcja telefonu |
| Kod QR w wiadomości, ogłoszeniu lub e-mailu | Wejdź do usługi samodzielnie, poza kodem QR | Weryfikujesz, czy nadawca i usługa są prawdziwe | Nie loguj się do banku i nie wpisuj danych karty po samym skanie | Przejęcie konta, skrzynki e-mail albo danych płatniczych |
| Zeskanowałeś kod i podałeś dane | Zastrzeż kartę lub zablokuj instrument, zmień hasła, zbierz dowody i złóż reklamację | Ograniczasz dalsze szkody i porządkujesz dokumentację sprawy | Nie odkładaj reakcji na kolejny dzień | Kolejne obciążenia, reset haseł i użycie danych w innych usługach |
Przykład decyzji: jeżeli opłata parkingowa ma wynieść 6,50 zł, a po skanie widzisz nową domenę, żądanie pełnych danych karty i komunikat o pilnej dopłacie, przerwij. Taka ścieżka nie przypomina standardowej, legalnej płatności za parkowanie.
Czym jest quishing i dlaczego kody QR stały się narzędziem phishingu?
Kod QR budzi zwykle mniejszą czujność niż zwykły link, bo użytkownik nie widzi od razu pełnego adresu docelowego. Oszust wykorzystuje ten mechanizm i podmienia albo dokleja własny kod na parkomacie, plakacie, tablicy, ulotce, ogłoszeniu albo w wiadomości.
Atak działa szczególnie dobrze tam, gdzie liczy się pośpiech. Chcesz opłacić parking, dopłacić do przesyłki, sprawdzić rzekome wezwanie do zapłaty albo potwierdzić coś związanego z kontem. Gdy sytuacja wygląda pilnie, wiele osób pomija weryfikację domeny i źródła.
- Ukryty cel: przed skanem zwykle nie widzisz pełnej domeny.
- Presja: komunikat sugeruje, że trzeba zapłacić albo potwierdzić coś natychmiast.
- Pozorna wygoda: kod ma skrócić drogę, a w praktyce odcina użytkownika od normalnej, bezpiecznej ścieżki.
Jak wygląda quishing krok po kroku, od kodu QR do utraty pieniędzy?
Najpierw pojawia się kod, który wygląda legalnie. Potem telefon otwiera stronę łudząco podobną do serwisu płatności, banku, urzędu albo operatora parkingu. Następnie ofiara wpisuje dane karty, login, hasło, kod BLIK albo pobiera aplikację, która rzekomo ma sfinalizować operację.
Na końcu dochodzi do szkody. Przestępca może obciążyć kartę, podpiąć ją do własnego portfela cyfrowego, przejąć dostęp do poczty albo zebrać dane do kolejnych ataków. Zdarza się też scenariusz, w którym pierwsza płatność wygląda na drobną i wiarygodną, a właściwa szkoda pojawia się dopiero później.
- Kontakt: kod QR pojawia się w przestrzeni publicznej albo wiadomości.
- Przekierowanie: otwiera się podstawiona witryna lub żądanie pobrania pliku.
- Wyłudzenie: użytkownik wpisuje dane albo zatwierdza operację.
- Wykorzystanie: dochodzi do obciążeń, przejęcia kont lub dalszych prób oszustwa.
Na jakie sygnały ostrzegawcze uważać przy kodach QR na parkomatach i tablicach?
Najpierw spójrz na sam nośnik. Jeśli kod jest krzywo naklejony, zasłania wcześniejszy nadruk, ma inną grafikę niż reszta urządzenia albo wygląda jak później dodany element, przerwij. W praktyce oszuści często doklejają własne etykiety na legalne oznaczenia.
Druga czerwona flaga to nielogiczny proces. Opłata parkingowa nie powinna wymagać logowania do banku, zakładania konta w nieznanym serwisie ani pobierania pliku. Jeśli telefon prowadzi do obcej domeny albo sugeruje instalację aplikacji poza oficjalnym sklepem, kończysz operację natychmiast.
Jak rozpoznać fałszywe wezwanie do zapłaty z kodem QR za wycieraczką?
W Polsce ostrzegano już przed ulotkami z bezprawnie użytym logo KAS i kodem QR. Taki kod może prowadzić do strony wyłudzającej dane albo do pobrania malware. Sam papier, logo i urzędowy ton nie dowodzą autentyczności.
Jeżeli znajdujesz takie „wezwanie” za wycieraczką, nie skanujesz kodu. Sprawdzasz wystawcę niezależnym kanałem, na przykład przez oficjalną stronę instytucji, numer telefonu z tej strony albo informację miejską. Oszust liczy właśnie na to, że zapłacisz, zanim zdążysz zweryfikować sprawę.
Co grozi po zeskanowaniu złośliwego kodu QR?
Samo zeskanowanie kodu nie zawsze oznacza natychmiastową stratę pieniędzy. Ryzyko wyraźnie rośnie dopiero wtedy, gdy po skanie otwierasz podejrzaną stronę, wpisujesz dane, zatwierdzasz operację albo pobierasz aplikację czy plik. To ważne rozróżnienie, bo wiele osób utożsamia sam odczyt kodu z pełnym skutkiem oszustwa.
Najlżejszy scenariusz to próba wyłudzenia zakończona bez szkody. Cięższy oznacza przejęcie danych karty lub dostępu do poczty i bankowości. Jeszcze inny wariant to instalacja aplikacji, która podszywa się pod aktualizację albo narzędzie płatnicze, a w praktyce przechwytuje dane lub komunikaty.
| Co zrobiłeś po skanie | Co grozi | Co robisz od razu |
|---|---|---|
| Tylko zeskanowałeś i nic nie podałeś | Ryzyko ograniczone, ale sprawdź, czy nie doszło do pobrania pliku lub automatycznego przekierowania | Zamknij stronę, niczego nie pobieraj i nie wykonuj dalszych działań |
| Wpisałeś dane karty | Nieuprawnione obciążenia i użycie danych płatniczych | Zastrzeż kartę lub zablokuj instrument i zgłoś sprawę bankowi |
| Wpisałeś login i hasło | Przejęcie konta albo poczty e-mail | Natychmiast zmień hasła i wyloguj aktywne sesje |
| Pobrałeś aplikację lub plik | Infekcja urządzenia i dalsza kradzież danych | Odłącz internet i potraktuj telefon jako potencjalnie zagrożony |
Przykład mechaniki szkody: myślisz, że płacisz 8 zł za parking, wpisujesz dane karty, a potem widzisz kilka kolejnych obciążeń po wyższych kwotach. Pierwsza operacja była przynętą, a nie właściwym celem ataku.
Jak bezpiecznie skanować kody QR na telefonie i sprawdzać, dokąd prowadzą?
Jeżeli telefon pokazuje podgląd adresu, przeczytaj go w całości. Liczy się pełna domena, a nie sama nazwa w nagłówku strony. Fałszywe witryny często wyglądają poprawnie wizualnie, ale działają pod obcym adresem.
Przy płatnościach, bankowości i sprawach urzędowych przyjmij prosty standard: kod QR nie powinien wymuszać logowania do banku, pobrania aplikacji, wpisania pełnych danych karty ani szybkiej decyzji pod presją. Jeśli widzisz którykolwiek z tych elementów, przerywasz operację.
| Sygnał po skanie | Co oznacza | Twoja reakcja |
|---|---|---|
| Obca lub dziwnie wyglądająca domena | Strona może być podstawiona | Nie otwieraj jej dalej i zweryfikuj usługę niezależnie |
| Prośba o pełne dane karty albo login do banku | To nie wygląda jak standardowa ścieżka dla parkingu lub urzędu | Przerwij i przejdź do oficjalnego kanału |
| Prośba o pobranie aplikacji lub pliku | Ryzyko malware lub niechcianego oprogramowania | Nie pobieraj niczego i zamknij stronę |
| Presja czasu, dopłata, groźba blokady | To klasyczny mechanizm wymuszenia szybkiej decyzji | Najpierw potwierdź sprawę w oficjalnym źródle |
Co zrobić, jeśli zeskanowałeś podejrzany kod QR i podałeś dane?
Jeśli podałeś dane karty, zastrzegasz kartę albo blokujesz instrument w aplikacji banku. Jeżeli podałeś login i hasło, zmieniasz je od razu, zaczynając od poczty e-mail i bankowości. Jeśli pobrałeś aplikację z podejrzanego źródła, przerywasz transmisję danych i traktujesz telefon jako potencjalnie przejęty.
Potem dokumentujesz sprawę. Zrób zrzuty ekranu, zapisz adres strony, godzinę, lokalizację, treść ulotki lub komunikatu, a także listę podejrzanych transakcji. Taka dokumentacja przyda się w banku, przy zgłoszeniu do CERT Polska i na Policji.
| Rodzaj błędu | Pierwszy ruch | Drugi ruch | Trzeci ruch |
|---|---|---|---|
| Wpisałeś dane karty | Zastrzeż kartę lub zablokuj instrument | Sprawdź historię transakcji i alerty | Zgłoś sprawę bankowi i złóż reklamację |
| Wpisałeś login i hasło | Zmień hasło | Wyloguj aktywne sesje | Zmień też hasło do poczty e-mail |
| Pobrałeś aplikację lub plik | Odłącz internet | Nie loguj się do banku z tego urządzenia | Zabezpiecz urządzenie przed dalszym użyciem |
- Zablokuj kartę albo instrument płatniczy.
- Zmień hasła do poczty i bankowości.
- Zapisz domenę, godziny, zrzuty ekranu i treść komunikatów.
- Skontaktuj się z bankiem i złóż reklamację.
- Zgłoś incydent do CERT Polska.
Jak wygląda spór z bankiem po quishingu i kiedy mowa o transakcji nieautoryzowanej?
Transakcja nieautoryzowana to operacja wykonana bez zgody użytkownika. Co do zasady dostawca usług płatniczych powinien zwrócić kwotę takiej transakcji nie później niż do końca następnego dnia roboczego po zgłoszeniu lub stwierdzeniu sprawy. Spór dotyczy zwykle tego, czy rzeczywiście nie było zgody na transakcję oraz czy nie zachodzą ustawowe wyjątki.
Ważne doprecyzowanie: samo prawidłowe użycie instrumentu płatniczego, loginu, hasła albo mechanizmu uwierzytelnienia nie przesądza jeszcze automatycznie, że transakcja była autoryzowana. Z drugiej strony bank może twierdzić, że użytkownik wyraził zgodę albo że doszło do rażącego naruszenia zasad bezpieczeństwa. Właśnie dlatego liczy się precyzyjny opis mechanizmu oszustwa i pełna dokumentacja incydentu.
Po incydencie nie ograniczaj się do samej blokady karty. Zgłoś sprawę bankowi możliwie najszybciej i złóż reklamację. Od 13/02/2026 r. standardem stała się powszechniejsza możliwość składania reklamacji drogą elektroniczną, przy zachowaniu pozostałych form. W zgłoszeniu wskaż, czego żądasz: blokady instrumentu, wyjaśnienia transakcji, zwrotu środków przy operacji nieautoryzowanej i potwierdzenia przyjęcia sprawy.
| Sytuacja | Co to oznacza | Co robisz |
|---|---|---|
| Ktoś użył Twojej karty lub danych bez Twojej zgody | Może chodzić o transakcję nieautoryzowaną | Zgłaszasz incydent, żądasz wyjaśnienia i zwrotu środków zgodnie z trybem ustawowym |
| Sam zatwierdziłeś operację na podstawionej stronie | Spór z bankiem bywa trudniejszy, ale nie przekreśla automatycznie Twoich roszczeń | Zgłaszasz sprawę, opisujesz mechanizm oszustwa i składasz reklamację z pełną dokumentacją |
| Nie wiesz, jak zakwalifikować operację | To częsta sytuacja przy oszustwach cyfrowych | Nie rozstrzygaj tego samodzielnie, tylko zgłoś sprawę bankowi i zachowaj pełne dowody |
- Bezsporne: zgłaszasz incydent, blokujesz instrument, zabezpieczasz rachunek i składasz reklamację.
- Sporne: czy transakcja była autoryzowana, czy bank może odmówić zwrotu oraz czy użytkownik naruszył zasady bezpieczeństwa w stopniu kwalifikowanym.
Gdzie zgłosić próbę quishingu, aby ograniczyć szkody u siebie i innych?
Bank potrzebuje zgłoszenia, by zablokować instrument, uruchomić procedurę reklamacyjną i zabezpieczyć rachunek. CERT Polska przyjmuje zgłoszenia incydentów i szkodliwych domen. Policja przyjmuje zawiadomienie o oszustwie. Jeżeli kod był naklejony na parkomacie, zgłoś to także operatorowi strefy albo miastu, żeby pułapka została usunięta, zanim zeskanują ją kolejne osoby.
W zgłoszeniu podaj datę, godzinę, lokalizację, adres strony, zrzuty ekranu, treść komunikatu, listę transakcji i informację, czy doszło do pobrania pliku lub aplikacji. Im lepsza dokumentacja, tym sprawniejsza analiza sprawy.
| Gdzie zgłaszasz | Po co | Co przygotować |
|---|---|---|
| Bank | Blokada instrumentu, zabezpieczenie rachunku, reklamacja | Dane transakcji, godziny, zrzuty ekranu, opis zdarzenia |
| CERT Polska | Zgłoszenie incydentu, domeny albo strony wykorzystywanej do oszustwa | Adres strony, zdjęcie kodu, zrzuty ekranu, treść komunikatów |
| Policja | Zawiadomienie o oszustwie i zabezpieczenie materiału dowodowego | Pełna dokumentacja zdarzenia i lista szkód |
| Operator parkomatu lub zarządca miejsca | Usunięcie pułapki i ostrzeżenie innych użytkowników | Zdjęcie urządzenia, lokalizacja i godzina stwierdzenia problemu |
Checklista, co zrobić krok po kroku
- Sprawdź nośnik kodu: oceń, czy to oryginalny nadruk, czy doklejona naklejka.
- Zobacz domenę docelową: nie otwieraj strony finansowej bez weryfikacji adresu.
- Nie podawaj danych karty ani loginu: jeśli proces wygląda inaczej niż zwykle, przerywasz.
- Po błędzie zastrzeż kartę lub zablokuj instrument: zacznij od banku.
- Zmień hasła: najpierw bankowość i poczta e-mail.
- Zbieraj dowody: zrzuty ekranu, adres strony, miejsce zdarzenia, godzina, zdjęcie kodu.
- Zgłoś incydent: bank, CERT Polska, Policja, a przy parkomacie także operator strefy albo miasto.
- Złóż reklamację: opisz dokładnie mechanizm oszustwa, skutki i swoje żądanie.
- Obserwuj rachunek: sprawdź historię transakcji i ustaw alerty na przyszłość.
Słowniczek pojęć
FAQ, najczęściej zadawane pytania
Czy każdy kod QR na parkomacie jest podejrzany?
Nie. Podejrzany jest kod doklejony, prowadzący do obcej domeny albo wymagający nietypowych działań, na przykład pobrania pliku lub wpisania danych logowania.
Czy samo zeskanowanie kodu QR oznacza utratę pieniędzy?
Nie zawsze. Ryzyko rośnie wyraźnie wtedy, gdy po skanie wpiszesz dane, zatwierdzisz operację albo pobierzesz aplikację lub plik z podejrzanego źródła.
Czy bank odda pieniądze po quishingu?
Jeśli doszło do transakcji nieautoryzowanej, bank co do zasady powinien zwrócić środki najpóźniej do końca następnego dnia roboczego po zgłoszeniu lub stwierdzeniu sprawy. Spór zwykle dotyczy tego, czy operacja rzeczywiście była nieautoryzowana oraz czy nie zachodzą ustawowe wyjątki.
Czy samo poprawne uwierzytelnienie oznacza, że transakcja była autoryzowana?
Nie. Sam fakt użycia loginu, hasła, karty albo mechanizmu uwierzytelnienia nie przesądza jeszcze automatycznie o autoryzacji. W praktyce znaczenie mają okoliczności zdarzenia i materiał dowodowy.
Jak sprawdzić, dokąd prowadzi kod QR przed płatnością?
Najpierw odczytaj pełny adres i porównaj go z oficjalną domeną usługi. Gdy sprawa dotyczy pieniędzy, bezpieczniej wejść do serwisu przez znaną aplikację albo ręcznie wpisany adres.
Czy po wpisaniu danych karty trzeba od razu ją zastrzec?
Tak. To najszybszy sposób ograniczenia dalszych obciążeń. Równolegle zgłaszasz sprawę bankowi i sprawdzasz historię transakcji.
Gdzie zgłosić podejrzany kod QR, żeby ochronić innych użytkowników?
Zgłoś incydent do CERT Polska i na Policję, a w przypadku parkomatu lub urządzenia w mieście także do operatora strefy albo zarządcy miejsca. Dzięki temu kod można szybciej usunąć.
Źródła
- Gov.pl, „Quishing – oszustwo z wykorzystaniem kodów QR”, 13/02/2023 r.
- Ministerstwo Cyfryzacji, „Oszustwa z wykorzystaniem QR kodów”, 09/11/2023 r.
- Krajowa Administracja Skarbowa, „Fałszywe wezwania do zapłaty”, 05/12/2024 r.
- CERT Polska, „Raport roczny 2024”, 03/04/2025 r.
- Rzecznik Finansowy, „Co robić w przypadku nieautoryzowanej transakcji?”, 27/10/2025 r.
- Rzecznik Finansowy, „Jak złożyć reklamację do banku lub ubezpieczyciela – ważne zmiany od 13 lutego 2026 r.”, 13/02/2026 r.
- Rzecznik Finansowy, „Rzecznik TSUE potwierdza dotychczasowe stanowisko Rzecznika Finansowego w sporach dotyczących nieautoryzowanych transakcji”, 05/03/2026 r.
- Rzecznik Finansowy, „Transakcje nieautoryzowane w pytaniach i odpowiedziach”, 17/11/2022 r.
- ISAP, „Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych”, data dostępu 11/03/2026 r.
- CERT Polska, formularz zgłoszenia incydentu, data dostępu 11/03/2026 r.
Dane i stan prawny weryfikowane na dzień: 11/03/2026 r.
Jak czytać przykłady liczbowe: pokazują mechanikę szkody i sposób działania oszustwa. Nie opisują jednej urzędowo ustalonej opłaty parkingowej ani jednej typowej kwoty straty.
Co możesz zrobić po przeczytaniu tego artykułu?
- Przyjmij jedną zasadę: fałszywy kod QR przegrywa z oficjalną aplikacją albo ręcznie wpisanym adresem.
- Ustaw alert o każdej transakcji i obniż limity płatności internetowych, jeśli nie są Ci potrzebne wyższe wartości.
- Zapisz adres zgłoszenia incydentu i numer infolinii banku, żeby przy quishingu działać bez zwłoki.
- Jeśli prowadzisz firmę albo odpowiadasz za zespół, przeszkol pracowników z tego schematu, bo oszuści celują w automatyzm i pośpiech.
Aktualizacja artykułu: 11 marca 2026 r.
Autor: Jacek Grudniewski
Kontakt za pośrednictwem LinkedIn:
https://www.linkedin.com/in/jacekgrudniewski/
Artykuł ma charakter informacyjny i nie stanowi porady finansowej, prawnej ani inwestycyjnej. Decyzje podejmujesz na własną odpowiedzialność. Treść nie uwzględnia Twojej indywidualnej sytuacji, dlatego przed działaniem skonsultuj się ze specjalistą. Nie gwarantuję pełnej aktualności i kompletności informacji ani nie odpowiadam za skutki decyzji podjętych na ich podstawie. Artykuł może zawierać linki afiliacyjne bez dodatkowego kosztu dla Ciebie.
