Ce este quishing: frauda cu coduri QR false

Parchezi în grabă în centru, vezi un panou cu un cod QR și textul „Scanează pentru plata parcării", scanezi cu telefonul, se deschide o pagină care arată ca un serviciu de plată și îți cere numărul cardului, data expirării și codul CVV. Pare normal, plătești și pleci. Peste câteva ore vezi pe extras tranzacții pe care nu le-ai făcut. Codul de pe panou nu era al primăriei, ci un autocolant lipit deasupra de un escroc.

Asta este quishingul, una dintre cele mai noi forme de înșelăciune din România, și e periculoasă tocmai pentru că pare banală. Ghidul e pentru orice șofer, client sau proprietar de afacere mică, fără cunoștințe tehnice. Vei vedea ce este quishingul, unde apare deja la noi, de ce trece de filtrele clasice de securitate și, mai ales, ce faci concret ca să nu rămâi fără bani.

Ce este quishingul, pe scurt

Quishingul este phishing făcut prin coduri QR. Numele vine de la „QR" plus „phishing". În loc să-ți trimită un link scris, pe care l-ai putea citi cu atenție, atacatorul ascunde adresa periculoasă într-un cod QR, acel pătrățel alb-negru. Tu nu vezi unde duce, vezi doar pătratul. Îl scanezi din curiozitate sau ca să plătești rapid, iar telefonul deschide o pagină falsă care imită un site real: o aplicație de parcare, o pagină de plată, un formular bancar. Acolo introduci datele, iar ele ajung direct la escroc.

E aceeași logică din spatele oricărui atac de phishing: nu se sparge niciun sistem, ci ești convins tu să faci singur pasul greșit. Codul QR e doar un cârlig nou, mai modern și mai greu de bănuit, pentru o capcană veche. Funcționează pentru că ne-am obișnuit să scanăm coduri peste tot: la restaurant pentru meniu, pe ambalaje, la evenimente, la plăți. Reflexul de a scana a devenit automat, iar automatismele sunt exact ce caută ingineria socială.

Unde apare quishingul în România

Nu e o amenințare teoretică sau importată. Cazurile s-au întâmplat deja la noi, în plină stradă.

Autocolante false la parcări și parcometre

În vara lui 2025, în mai multe zone din București și la Constanța, șoferii au raportat coduri QR false lipite pe panourile de parcare. Mecanismul era simplu: un autocolant cu un cod QR pus deasupra celui oficial, uneori de o culoare ușor diferită, autocolante bej peste codurile albe originale. Cine scana ajungea pe o pagină falsă care cerea numărul cardului, data expirării și codul CVV, sub pretextul plății parcării. La Constanța, un șofer a povestit că a pierdut 700 de lei după ce a scanat un astfel de cod. Compania Municipală de Parcări București a atras atenția public și a transmis un detaliu esențial: parcometrele oficiale din București nu folosesc și nu au coduri QR pentru plată. Cu alte cuvinte, un cod QR pe un parcometru e, în sine, un semnal de fraudă.

Stații de încărcare pentru mașini electrice

Aceeași schemă a apărut la stațiile de încărcare auto. În Marea Britanie, Franța și Germania au fost semnalate coduri QR false lipite peste cele reale pe stații publice de încărcare. Șoferul, deseori grăbit și fără variantă, scanează ca să plătească energia, dar ajunge pe un portal de plată contrafăcut care îi fură datele cardului. E o țintă comodă: oamenii sunt obișnuiți să plătească încărcarea prin telefon, iar la o stație necunoscută nimeni nu știe cum arată pagina corectă. Pe măsură ce crește numărul mașinilor electrice în România, e doar o chestiune de timp până se extinde și la noi.

Emailuri, bonuri și afișe cu cod QR

Quishingul nu e doar pe stradă. Tot mai multe campanii de phishing pun codul QR direct în email, ca să treacă de filtre. Primești un mesaj care pare de la o bancă, de la firma de curierat sau în numele ANAF și, în loc de un link, ai un cod QR cu mesajul „scanează pentru a-ți verifica contul" sau „scanează pentru a confirma plata". DNSC avertizează în mod repetat despre campanii care folosesc identitatea băncilor, a firmelor de curierat și a ANAF, iar codul QR este una dintre noile lor unelte. Mai apar și pe afișe false lipite în spații publice, pe bonuri sau fluturași, mereu cu o promisiune sau o urgență: o reducere, o amendă, o sumă de recuperat.

De ce ocolește quishingul filtrele clasice

Întrebarea firească e: dacă firmele au filtre de securitate, cum de trec mesajele astea. Răspunsul ține de felul în care funcționează un cod QR.

• Codul e o imagine, nu un text. Multe filtre de email citesc textul mesajului și verifică adresele din linkuri. Un cod QR e o poză cu un pătrat alb-negru, iar filtrul clasic nu vede ce link se ascunde în ea. Așa, mesajul ajunge liniștit în inbox.
• Verificarea se mută pe telefonul tău. Linkul nu se deschide pe calculatorul firmei, păzit de protecții, ci pe telefonul personal, unde de obicei nu ai aceleași filtre. Practic, scoți singur mesajul din zona protejată.
• Nu vezi adresa înainte. Într-un email poți trece cu mouse-ul peste un link și să vezi unde duce. La un cod QR nu ai cum, până nu îl scanezi. Asta îți răpește exact pasul la care ai fi prins înșelăciunea.

La toate astea se adaugă contextul. Un cod QR lipit pe un parcometru sau pe o stație pare oficial prin simplul fapt că e acolo, pe un obiect care inspiră încredere. Escrocul nu trebuie să te convingă de nimic, locul o face pentru el.

Cum te aperi de quishing, pas cu pas

Vestea bună e că nu îți trebuie cunoștințe tehnice. Îți trebuie un singur reflex nou: înainte să deschizi sau să introduci ceva, te uiți la adresă și te întrebi de unde vine codul.

Pentru email și SMS se aplică aceleași semne ca la orice mesaj fals: expeditor ciudat, presiune, o cerere de date sensibile. Dacă vrei să le recunoști mai ușor, vezi ghidul despre cum recunoști un email de phishing. Iar dacă ai obiceiul să refolosești parole, un cont compromis printr-un cod QR poate deschide ușa și spre altele, motiv pentru care merită să verifici dacă parola ți-a fost scursă și să activezi autentificarea în doi pași.

Dacă deja ai scanat și ai introdus datele

Important de știut: scanarea în sine, simplul fapt că ai deschis pagina, nu îți fură banii. Pericolul apare doar dacă ai introdus date sau ai instalat ceva. Dacă ai văzut pagina dar nu ai completat nimic, închide-o și ești în regulă. Dacă ai apucat să introduci datele cardului, acționează rapid.

• Sună imediat banca și blochează cardul. Folosește numărul de pe spatele cardului sau din aplicația oficială.
• Urmărește tranzacțiile și contestă orice plată pe care nu ai făcut-o.
• Schimbă parolele pe care le-ai introdus pe pagina falsă și pe orice cont unde foloseai aceeași parolă.
• Raportează tentativa la DNSC, la numărul 1911, ca să poată avertiza și pe alții.

Pașii detaliați, inclusiv ce le spui la bancă și cum ceri returnarea banilor, îi găsești în ghidul despre ce faci după ce ai dat datele cardului pe un site fals. Și mare atenție la pasul următor: după o astfel de țeapă apar repede firme care promit că îți recuperează banii contra cost. Multe sunt a doua țeapă, peste prima.

De ce contează asta și pentru o firmă

Quishingul nu lovește doar persoane fizice. Un cod QR fals trimis pe email către angajații tăi poate fura credențiale de serviciu, iar de acolo se ajunge la conturi de firmă, la facturi modificate sau la fraude. E același mecanism din spatele fraudei cu factura falsă și IBAN schimbat: un cont compromis devine punct de plecare pentru pagube mult mai mari. Dacă numele firmei tale e folosit ca momeală în astfel de mesaje false, suferă și clienții, și reputația ta.