QR kod kao nova bezbednosna rupa

U najnovijem godišnjem izveštaju o bezbednosnim pretnjama za 2025. godinu, koji je objavila međunarodna kompanija za sajber bezbednost Whalebone, stručnjaci upozoravaju na niz najnovijih trendova u digitalnim prevarama. 

Prema ovom izveštaju samo je u 2025. godini blokirano: 

• 30+ milijardi pretnji na zaštićenim mrežama tokom godine
• 2,5 milijardi malicioznih pokušaja mesečno

8,5 miliona opasnih domena svakog dana

I kao da ove cifre nisu dovoljne da shvatimo koliko su se sajber kriminalci izveštili i kako svaki klik može biti potencijalna pretnja, dodatno šokira informacija da je napadačima potrebno svega tri sata da kreiraju i lansiraju potpuno realističnu prevaru! 

AI nisu samo aplikacije poput Chat GPT-a i Gemini-a. Poput svakog velikog otkrića, i veštačka inteligencija nosi rizik od zloupotrebe ukoliko dospe u pogrešne ruke. Ovo istraživanje definitivno potvrđuje da AI menja pravila igre, a hakerima omogućava da lakše dolaze do potencijalnih žrtava. 

Među najčešćim prevarama u prethodnoj godini, a koje će sasvim sigurno dominirati i u ovoj, izdvaja se i porast napada putem QR kodova.Prema nalazima izveštaja, sajber kriminalci sve češće koriste QR kodove jer oni zaobilaze klasične bezbednosne filtere koji inače prepoznaju sumnjive linkove u mejlovima ili porukama. Drugim rečima, ono što bi vam mejl stavio u Junk ili Spam, kao potencijalno sumnjivo,  QR kod vam bez problema otvara. Ovo naravno ne znači da su QR kodovi sami po sebi opasni, već da su postali novi alat za prevare. 

Kako hakeri koriste QR kodove? 

Pikselizovani kvadrati, koje tako mahnito skeniramo, najčešće se koriste kao “ulazna vrata” ka tri vrste digitalnih zamki:

• Stranicama za krađu korisničkih podataka
• Lažnim stranicama za plaćanje
• Sajtovima za preuzimanje zlonamernih aplikacija

I, sad, mnogi bi se zapitali: kako će me neko prevariti da te podatke ostavim, da nešto platim, da preuzmem neku apliakciju? Stvar je u tome da hakeri koriste QR kodove upravo na onim mestima na kojim ga korisnici i očekuju – zato korisnik ne sumnja da je sajt lažan i sigurno ostavlja tražene podatke. 

Ovi napadi ne izgledaju dramatično. Nema upozorenja, crvenih lampica, jer sajtovi izgledaju potpuno realno, čak prilagođeni lokalnom tržištu i to upravo uz pomoć naprednih AI alata. 

Zašto su QR kodovi postali tako privlačni napadačima?

Postoji nekoliko osobina QR kodova koje ih čine idealnim za zloupotrebu:

• Korisnik ne vidi gde QR kod vodi: Za razliku od klasičnog linka, kod QR koda ne vidi se internet adresa sve dok se ne otvori stranica. Dakle, odluku donosimo “na slepo”, pa ne možemo da primenimo naša znanja o tome kako treba da izgleda bezbedna internet stranica – jer je u slučaju QR koda i ne vidimo.
• Najčešće se skenira putem telefona: Korisnici su skloniji brzom kliku i nepažnji, posebno kada su u pokretu.
• Deluje legitimno i poznato: QR kod na stolu u kafiću ili na plakatu deluje bezazleno. Napadači to koriste i lepe lažne QR nalepnice preko pravih – a to je posebno slučaj na javnim mestima (autobuske stanice, bilbordi, metro stanice i sl.)
• Zaobilaze standardnu zaštitu: Mnogi bezbednosni sistemi, koji su deo aplikacija, filtriraju mejlove, poruke – sa QR kodom je to retko slučaj, jer je to samo slika.

Kako QR kod prevara izgleda u praksi?

U realnosti, ovi crno-beli pikselizovani kvadratići mogu da nas odvedu bilo gde. Skenirali ste QR kod sa određenom namerom, a završili ste na: 

• Lažnoj stranici banke, pošte ili drugih institucija – gde vam traže da uneste lične podatke – kako biste dobili neku informaciju 
• Stranici za “brzu uplatu” – i sve izgleda kao poznata platforma, pa unosite podatke sa kartice
• Lažnoj nagradnoj igri – a sve što ste hteli jeste da se prijavite i okušate svoju sreću
• Linku za intalaciju aplikacije – Sve izgleda kao aplikacija koju ste nameravali da skinete, ali je zapravo u pitanju zlonamerni softver koji će instalirati virus na vaš telefon i  presresti vaše podatke o karticama

Ako ste od onih koji, čitajući ovo, misle da bi sigurno shvatili da je u pitanju lažna stranica, razmislite još jednom – koliko ste puta poverovali u istinitost nekog video zapisa ili fotografije,  a da se na kraju ispostavilo da je AI? Hmm… jeste li i dalje tako ubeđeni da biste prepoznali lažni sajt?

Ono što se posebno i ističe u izveštaju koji je Whalebone predstavio, jeste upravo i ta vizuelna uverljivost, stranice su često lokalizovane, usklađene sa domaćim brendovima, čak potpuno imitiraju ton i stil kojim se brendovi i obraćaju svojim klijentima.

Kako se zaštititi prilikom skeniranja QR kodova?

Dakle – ne treba paničiti, jer nije svaki QR kod lažan i zlonameran. Ipak, potrebno je da obratimo pažnju na nekoliko stvari:

• Izgled nalepnice
• Nalepnica preko nalepnice – Ukoliko vidite da je nalepnica zalepljena preko nalepnice, odustanite od skeniranja – to je ono što napadači najčešće rade.
• Obratite pažnju na kontekst – Da li je QR kodu tu mesto, ili vas je samo privukla nalepnica zalepljena na stub ulične rasvete ili zid zgrade? Ako je nalepnica samo nasumično zalepljena, vrlo je verovatno da je zamka, a hakeri upravo računaju na tu znatiželju. 
• Provera URL-a pre samog klika

Obratite pažnju na mali prozor sa adresom koji se pojavi kada otvorite kameru i skeniate QR kod.

• Sumnjivi linkovi – Ukoliko skenirate QR kod za plaćanje javnog parkinga, a link vodi na sajt jeftinparking.net.com.  sigurno se radi o prevari
• Skraćeni linkovi – Ovde posebno treba obratiti pažnju – ukoliko deluje sumnjivo, verovatno i jeste
• Analiza samog sajta

Ne treba odmah kliknuti na svaki prozorčić i uneti podatke. Važno je proveriti:

• Pravopis – AI je dobar, ali ume da napravi grešku. Problem je u tome što većina ljudi ne čita ili čita “dijagonalno”, nedovoljno detaljno, te propusti priliku da vidi da se u tekstu mešaju npr. ćirilica i latinica.
• Nedostatak HTTPS protokola – Većina modernih sajtova koristi ovaj protokol, čak preko 95% stranica koje se očitavaju na Google i Safari pretraživačima. Pa, ukoliko sajtu to nedostaje, znate šta vam je činiti.
• Agresivni pop-up prozori – Ako sajt odmah traži preuzimanje nekog fajla (“update” ili “antivirus”), to je siguran znak malvera.

Korišćenje bezbednih aplikacija za skeniranje

Dobra stvar je da danas postoje aplikacije koje prilikom skeniranja odmah proveravaju da li se sajt nalazi na crnoj listi, ili da li je sumnjiv. Najpoznatije su Kaspersky QR Scanner i Norton Snap. 

Bez unosa ličnih podataka i podataka o karticama 

Ukoliko želite da se prijavite na neki sajt ili platite uslugu, radije ukucajte sajt na pretraživaču nego da podatke ostavljate na sajtu do kojeg ste došli putem QR koda. Naravno, pre unosa podataka proverite sve ono što smo iznad naveli.

Isključivanje  automatskog otvaranja QR koda

U podešavanjima kamere na telefonu, može se isključiti opcija da se linkovi automatski otvaraju u pretraživaču čim ih kamera prepozna. To daje dragocene sekunde da bacimo pogled na URL i odlučimo da li je sajt siguran.