QR kódy dnes lidé používají na menu v restauracích, k placení nebo k přihlášení do služeb. Právě tahle důvěra v jednoduchý čtvereček s tečkami ale začíná být problém. FBI v posledních dnech upozornila na aktivitu severokorejské skupiny Kimsuky, která QR kódy proměnila v nástroj kyberšpionáže.

Princip je přitom zrádně jednoduchý. Samotný QR kód nic nenainstaluje a nijak nepoškodí telefon nebo počítač. Funguje jen jako přesměrování. Jakmile ho ale uživatel naskenuje, dostane se na webovou stránku, kterou útočníci plně ovládají. A právě tam začíná skutečný útok.

Tyto stránky jsou navržené tak, aby vypadaly jako běžné přihlašovací portály služeb typu Microsoft 365, Okta nebo firemní VPN. Uživatel má pocit, že se přihlašuje do práce nebo do cloudového úložiště, ve skutečnosti ale odevzdává své jméno a heslo hackerům. Web si navíc dokáže zjistit základní údaje o zařízení, jako je IP adresa, typ systému nebo přibližná poloha, a podle toho zobrazí takovou verzi stránky, která působí co nejpřesvědčivěji.

Zdroj: Shutterstock

Právě QR kód v e-mailu je klíčový trik. Běžné firemní filtry dnes umí kontrolovat odkazy v textu zpráv a porovnávat je s databázemi škodlivých webů. Když je ale odkaz schovaný v obrázku, tedy v QR kódu, spousta ochran ho vůbec nevidí. Pro útočníky je to jednoduchý způsob, jak projít přes první obrannou linii.

Proč cílí právě Kimsuky

Skupina Kimsuky působí podle amerických úřadů už víc než deset let a je přímo napojená na severokorejskou vládu. Na rozdíl od běžných internetových podvodníků se ale nesnaží oslovit statisíce náhodných obětí. Jejich doménou je takzvaný spearphishing, tedy útoky na pečlivě vybrané lidi.

Mezi cíle patří zaměstnanci think tanků, akademici, výzkumníci nebo úředníci vládních institucí. Právě tito lidé mají přístup k informacím o mezinárodní politice, bezpečnosti nebo sankcích a to je pro severokorejský režim mimořádně cenné.

FBI v upozornění popisuje konkrétní případy z května 2025. V jednom z nich přišel řediteli think tanku e-mail, který se tvářil jako žádost o vyplnění dotazníku k situaci na Korejském poloostrově. Součástí zprávy byl QR kód, který měl otevřít formulář. Ve skutečnosti vedl na podvrženou stránku určenou ke krádeži přihlašovacích údajů.

O pár týdnů později následoval podobný scénář. Útočníci se vydávali za pracovníka ambasády a oslovili vysokého odborníka na lidská práva v Severní Koreji. E-mail působil důvěryhodně a QR kód měl údajně umožnit přístup k zabezpečenému úložišti dokumentů. Opět šlo o past.

To, co je na celé věci znepokojivé, není jen technický trik s QR kódy, ale i úroveň sociálního inženýrství. Zprávy jsou psané tak, aby odpovídaly práci a zájmům konkrétního člověka. Nejde o obecné výzvy typu aktualizujte si účet, ale o promyšlené oslovení, které má vzbudit dojem, že jde o běžnou odbornou komunikaci.

FBI proto varuje, že skenování nevyžádaných QR kódů by mělo být bráno stejně vážně jako klikání na podezřelé odkazy. Doporučuje ověřit si zdroj jinou cestou, například přímým kontaktem s odesílatelem, zvlášť pokud stránka po naskenování chce přihlášení nebo stažení souboru.