QR kodovi: od zaboravljene tehnologije do sveprisutnog alata — i novi sigurnosni rizici
4,2 milijuna QR phishing prijetnji u prvoj polovici 2025. QR kod je vizualni URL koji ne možeš pročitati — i prevaranti to dobro znaju.
Restoran, parking, muzej, konferencija, paket od dostave, plakat na autobusnoj postaji, e-mail od "banke". QR kodovi su svugdje, i to je točno ono što ih čini opasnim.
QR kod (Quick Response) je matrični barkod koji kodira URL, tekst, kontakt ili drugu informaciju u matrici crno-bijelih kvadrata. Razvio ga je Denso Wave za japansku automobilsku industriju 1994. — za praćenje dijelova u tvornicama. Ideja je bila genijalna, ali javnost je ignorirala QR kodove gotovo 25 godina. Trebalo je globalno zatvaranje kafića i restorana da se situacija promijeni.
Zašto su QR kodovi "oživjeli" — i zašto nisu nestali
Pandemija COVID-19 bila je preokretnica. U 2020. i 2021., restorani širom svijeta zamijenili su fizičke menije QR kodovima da bi izbjegli dijeljenje predmeta između gostiju. Jednom kad je navika skeniranja usvojena — nije nestala. Prema istraživanjima, 89% korisnika smartphonea skeniralo je QR kod 2023., gore od 72% u 2021.
Razlog zašto QR kodovi imaju prednost nad tipkanjem URL-a: mogu pohraniti do 4.296 alfanumeričkih znakova u jednom kodu, skeniranje traje sekundu s ugrađenom kamerom, i cijeli marketing, plaćanje i onboarding flow može biti iniciran jednim skeniranjem.
Plaćanje QR kodovima posebno je exploditiralo u Aziji — WeChat Pay i Alipay u Kini obrađuju trilijune transakcija godišnje putem QR skeniranja. U Europi i Hrvatskoj, QR plaćanje je prisutno u nekim bankama i POS sustavima, ali penetracija je niža.
Problem koji nitko ne vidi — doslovno
Obični URL, kad ga pišete u browser, vidite ga. Možete primijetiti da je "paypai.com" umjesto "paypal.com". Možete vidjeti da URL ide na neočekivanu domenu.
QR kod je vizualni URL koji ne možete pročitati. Vidite matricu crno-bijelih kvadrata koja vam ništa ne govori o odredištu. Prevaranti su ovo prepoznali brzo.
Quishing (QR + phishing) je napad koji koristi QR kod umjesto klasičnog linka u phishing e-mailovima, plakat ili zalijepljenu naljepnicu preko originalnog QR koda. Razlog zašto je quishing posebno učinkovit: e-mail sigurnosni sustavi analiziraju tekstualne linkove, ali QR kod je slika — većina e-mail filtera ga jednostavno ne može skenirati i analizirati URL koji sadrži.
Statistike koje treba znati
Palo Alto Networks detektira prosjekom više od 11.000 malicioznih QR kodova dnevno. U prvoj polovici 2025., identificirano je 4,2 milijuna QR phishing prijetnji. Između kolovoza i studenog 2025., quishing e-mailovi porasli su s 47.000 na 249.000 mjesečno.
Posebno alarmantan podatak: direktori i viši menadžment primaju 42× više QR napadačkih poruka nego prosječni zaposlenici. Razlog je ciljanje — phishing napadi na visoko pozicionirane osobe (tzv. "whale phishing") donose više jer im je pristup sustavima i financijama veći.
Energetski sektor prima 29% svih malware-vezanih quishing e-mailova — najviše od bilo koje industrije — što je logično s obzirom na kritičnost infrastrukture i atraktivnost meta.
Kako prepoznati maliciozni QR kod
Fizički znakovi upozorenja: QR kod koji je nalijepljen naljepnicom IZNAD drugog QR koda — to je gotovo uvijek phishing. Posebno česta taktika na parkinzima, u restoranima, na bankomatima. Naljepnica koja nije poravnata s površinom, kod koji izgleda pixeliziranim ili iskrivljenim.
Kontekstualna sumnja: je li ovaj QR kod bio tu jučer? Zašto banka ili pošta šalje e-mail s QR kodom umjesto klasičnog linka? Hitnost ("skeniraj odmah ili izgubiš pristup") je klasični signal manipulacije.
Pregled URL-a prije otvaranja: i iOS i Android kamera aplikacija prikazuje URL QR koda u trenutku skeniranja — PRIJE nego što ga otvorite. Čitajte taj URL kao što biste čitali svaki drugi link: je li domena poznata, odgovara li servisu koji kod navodno zastupa, ima li neobičnih znakova?
"Fancy" QR kodovi su rizičniji: QR kodovi s ugrađenim logotipima, zaobljenim modulima i bojama izgledaju profesionalno, ali automatski sigurnosni skeneri koji analiziraju standardne crno-bijele mrežaste kodove imaju problema s njima.
Zaštita u praksi
Najvažnija navika: nikad automatski ne otvarajte URL koji QR kod dekodira — uvijek provjerite URL koji vam se prikaže u kameri PRIJE klika. Ova sekundu razmisliti može biti ključna razlika.
Za organizacije, posebno veće: security awareness trening koji uključuje quishing scenarije pokazao je 87% poboljšanje u detekciji napada unutar tri mjeseca. QR phishing je nov dovoljno da zaposlenici koji su prošli standardne phishing treninge nisu nužno pripremljeni.
Multi-faktor autentikacija ostaje najefikasnija zaštita čak i kad napadač dobije credential putem quishing napada — session token sam po sebi nije dovoljan za pristup ako MFA zahtijeva dodatnu provjeru.
QR kodovi su korisna tehnologija — ali i novi vektor napada koji se razvija brže nego što se razvija svjesnost o njemu. Skenirati sve što vidite jednako je opasno kao klikati na sve linkove koje primite.
Izvori i dodatno čitanje
- QR Code Phishing Statistics and Quishing Trends — Keepnet
- Alarming QR Code Phishing Statistics 2025 — QR Code Tiger
- Why QR Code Phishing Is the New 2026 Security Blind Spot — Acronis
- Data Shows C-Suite Execs Receive 42x More QR Code Attacks — Abnormal AI
- Phishing on the Edge Using QR Codes — Palo Alto Networks Unit 42
- Scan Safely: Quishing Awareness — RPI Information Technology
Više članaka
- digitalna ostavštinaonline računi
Digitalna ostavština: što se dogodi s vašim online računima kad umrete
31. svibnja 2026.
- Face IDWindows Hello
Prepoznavanje lica: kako radi Face ID, Windows Hello — i zašto nisu isti
31. svibnja 2026.
- društvene mrežealgoritam
Social media algoritmi: zašto vidite što vidite — i kako vas to mijenja
31. svibnja 2026.