Kod QR, który kradnie dane. Sprytna sztuczka cyberprzestępców

Autor: Andrzej Sitek 2025.09.17, 11:00 Drukuj

Oszuści nie próżnują i coraz częściej stosują pewną pułapkę, w którą może wpaść każdy kierowca. W skrzynkach pocztowych albo na naszych pojazdach można znaleźć ulotki wyglądające jak wezwanie do zapłaty mandatu.

Wezwania zawierają wszystko, co wygląda na oficjalne dane: nagłówki w urzędowym tonie, numery spraw, cytaty z przepisów prawa i przede wszystkim kod QR, który prowadzi do płatności online. Problem w tym, że to czysta fikcja. Policja ostrzega, że mamy do czynienia z kolejną odsłoną cyberoszustw, a konsekwencje kliknięcia takiego linku mogą być bardzo bolesne.

Mechanizm działania naciągaczy jest prosty i opiera się na strachu. Fałszywe wezwania wyglądają jakby zostały wystawione przez Policję albo Krajową Administrację Skarbową. Oszuści liczą, że przestraszona osoba nie będzie dyskutować, tylko natychmiast zeskanuje kod i zapłaci. Pieniądze trafiają wtedy do przestępców, a dodatkowo wykradane są dane kart płatniczych lub loginy do bankowości. Jedno szybkie skanowanie kodu i ofiara może stracić oszczędności.

To oszustwo nie wzięło się znikąd. Eksperci od cyberbezpieczeństwa z CERT Polska, NASK czy CSIRT KNF od miesięcy ostrzegają, że przestępcy coraz rzadziej podszywają się pod banki, a częściej wybierają instytucje państwowe, spółki energetyczne, ministerstwa albo firmy kurierskie. W sierpniu CSIRT KNF raportował o setkach fałszywych reklam inwestycyjnych i dziesiątkach stron udających urzędowe serwisy. Teraz nadszedł czas na "mandaty z ulotki".

Schemat zawsze wygląda podobnie. Najpierw dostajesz coś, co wygląda jak urzędowe pismo: wiadomość SMS, reklamę albo właśnie dokument w skrzynce. Następnie link lub kod QR prowadzi na stronę, która wygląda niemal identycznie jak prawdziwy serwis instytucji. I tutaj wystarczy chwila nieuwagi - wpisanie danych logowania czy numeru karty płatniczej powoduje, że wszystkie informacje trafiają prosto do złodziei.

Policja apeluje o czujność i przypomina jedno: prawdziwe mandaty nigdy nie trafiają do nas w formie ulotek na wycieraczce czy w skrzynce pocztowej. Instytucje państwowe nie rozliczają się przez anonimowe kody QR, a każde oficjalne wezwanie można sprawdzić i zweryfikować. Nie ufajmy kartce papieru, która "udaje" urząd.

Jeszcze niedawno najpopularniejszym oszustwem były SMS-y o rzekomej paczce albo maile podszywające się pod e-Urząd Skarbowy. Dziś scenariusz stał się bardziej bezczelny, bo fałszywki łudząco przypominają dokumenty urzędowe. Oszuści stale ewoluują i szukają nowych metod. Dlatego zasada numer jeden jest prosta: nie daj się zaskoczyć, zawsze sprawdzaj dwa razy, zanim cokolwiek zapłacisz.

Jeśli dostaniesz takie wezwanie i masz wątpliwości, możesz łatwo sprawdzić jego autentyczność. Wystarczy zajrzeć do aplikacji mObywatel, by upewnić się, czy rzeczywiście masz nałożony mandat karny. Można też zadzwonić do instytucji, na którą powołuje się rzekome pismo. Najgorszym rozwiązaniem jest kliknięcie podejrzanego kodu QR, bo to może kosztować nie tylko pieniądze, ale też bezpieczeństwo twoich danych.