arrow_backBlog
·5 min čtení·Super QR Code Generator Team

Přesměrovací řetězce QR kódů: Skrytá bezpečnostní hrozba v roce 2026

Přesměrovací řetězce v QR kódech vystavují vaše zákazníky phishingu a malwaru. Naučte se auditovat své kódy a zůstat v bezpečí.

bezpečnost qr kódůquishingpřesměrovací řetězceochrana před phishingemdynamické qr kódy
Přesměrovací řetězce QR kódů: Skrytá bezpečnostní hrozba v roce 2026
AI-generated

Když někdo naskenuje váš QR kód, adresa URL zakódovaná v tomto kódu zřídka vede na konečný cíl. Přesměrovací řetězec — jedna nebo více mezilehlých adres, které uživatele postupně přeposílají — je běžný v QR kampaních, zejména u dynamických kódů a zkrácení URL třetích stran. Většinou je to neškodné. Ale kompromitovaný nebo špatně nakonfigurovaný přesměrovací řetězec je jedním z nejjednoduššího způsobů, jak útočník může převzít kontrolu nad vaším QR kódovým provozem bez jakýchkoli úprav tištěných materiálů.

Tento příspěvek vysvětluje, jak se přesměrovací řetězce tvoří, co je činí nebezpečnými, jak si své vlastní auditovat a jaké ochranné opatření skutečně fungují.

Jak se tvoří přesměrovací řetězec QR kódu

Typický řetězec vypadá takto:

QR kód → zkracovač URL (např. bit.ly/xxx) → vaše URL pro sledování kampaně → konečná cílová stránka

Každý skok je HTTP přesměrování, obvykle 301 (trvalé) nebo 302 (dočasné). Řetězce rostou, když:

  • Používáte dynamickou QR platformu, která zabaluje vaši URL do své vlastní krátké adresy
  • Přidáváte UTM parametry přes samostatnou vrstvu přesměrování
  • Migrujete svůj web z HTTP na HTTPS bez vyčištění starých přesměrování
  • Používáte affiliate či partnerské odkazy, které procházejí jejich vlastní sledovací doménou

Tři až čtyři skokování není neobvyklé. Pět nebo více je místo, kde prohlížeče začínají ztrácet bezpečnostní kontext a kde se bezpečnostní riziko výrazně mění.

Proč přesměrovací řetězce vytvářejí bezpečnostní riziko

Otevřená přesměrování jsou jádrem problému

Otevřené přesměrování je URL, které návštěvníky přeposílá na libovolný cíl, nejen na důvěryhodné. Vypadají takto:

https://trusted-site.com/go?url=https://attacker.com/fake-login

Pokud kterýkoli skok v přesměrovacím řetězci projde otevřeným přesměrováním — i když je schován v skriptu třetí strany — útočník může vytvořit verzi vašeho QR kódu, který přesměruje na škodlivou stránku, přičemž se bude zdát, že pochází z vaší domény. Uživatelé, kteří si zkontrolují zakódovanou URL před skenováním, vidí vaši značku a snížят svoji ostražitost.

DNS Hijacking uprostřed řetězce

Pokud váš přesměrovací řetězec prochází doménou, kterou již nevlastníte — vypršenou subdoménou, starou SaaS aplikací, kterou jste zrušili, partnerem, jehož smlouva skončila — tuto doménu si může znovu zaregistrovat kdokoli. Nový majitel ji může nasměrovat kamkoli. Tomuto se říká „zanechaná přesměrování" a je běžnější, než si většina marketérů uvědomuje.

Rizika snížení HTTPS na HTTP

Řetězec, který začíná HTTPS, ale obsahuje HTTP skok uprostřed, zruší TLS připojení. Soubory cookie relace, údaje o referreru a všechny tokeny přenesené v URL se přenášejí otevřeně pro tento segment. U vysokoobchodních maloobchodních nebo zdravotnických QR kampaní je to skutečné riziko úniku dat.

Smíšené signály důvěry v prohlížečích

Moderní skenery QR na iOS a Androidu zobrazují první URL, na kterou se kód přeloží, ne konečný cíl. Pokud váš řetězec prochází doménou, kterou bezpečnostní prodejce označil — byť jen na krátkou dobu, byť omylem — skener může zobrazit varování. Toto varování zabije konverzi a poškodí důvěru v vaši značku, i když jste oběť, nikoli útočník.

Jak auditovat své přesměrovací řetězce

Pro začátek nepotřebujete speciální software. Tyto kroky pokrývají většinu případů:

1. Dekódujte obsah QR kódu Použijte jakýkoli skener QR, který zobrazuje raw URL místo automatického otevírání. Mnoho aplikací fotoaparátu ve smartphonu skryje tento krok — použijte aplikaci dedikovaného skeneru, která zobrazuje úplný zakódovaný řetězec.

2. Ručně trasujte každý skok Vložte URL do kontroléru přesměrovacího řetězce (nástroje jako redirect-checker.org a httpstatus.io jsou zdarma). Dokumentujte každou doménu, která se objeví.

3. Ověřte, že vlastníte nebo důvěřujete každé doméně v řetězci Označte libovolnou doménu, kterou neznáte nebo kterou jste v poslední době neověřili. Zkontrolujte registrační data WHOIS pro všechny subdomény zkrácovačů nebo staré domény kampaní.

4. Spočítejte svoje skoky Pokud máte více než tři skoky, zjistěte, zda je každý z nich nezbytný. Zmenšení řetězce z pěti skoků na dva je jednoduché, pokud máte kontrolu nad svojí dynamickou QR platformou.

5. Potvrďte, že každý skok používá HTTPS Jakékoliv HTTP přesměrování v řetězci by mělo být opraveno, než se kód otiskne. Pokud se spoléháte na skok třetí strany, který nemůžete upgradovat, vyberte jinou cestu.

6. Testujte po každé aktualizaci kampaně Když aktualizujete cílovou URL na své dynamické QR platformě — což je vlastně hlavní důvod pro použití dynamických kódů — znovu spusťte audit. Změna cíle může tiše zavést novou vrstvu přesměrování.

Rozumění rozdílu mezi statickými a dynamickými QR kódy je zde důležité: statické kódy nemají serverové přesměrování, takže řetězec začíná na jakékoli URL, kterou jste zakódovali. Dynamické kódy zavádějí alespoň jeden skok řízený platformou, což znamená, že bezpečnostní stav platformy se stává součástí vaší útočné plochy.

Ochranná opatření, která skutečně snižují riziko

Ochranné opatření Co řeší
Používejte QR platformu s whitelistingem cílové URL Blokuje otevřená přesměrování na úrovni platformy
Sledujte vypršení domén pro každý skok v řetězci Zabraňuje zanedbávaným přesměrováním
Vynuťte HTTPS na každém kroku Eliminuje útoky snižující HTTPS na HTTP
Nastavte Referrer-Policy: no-referrer hlavičku na mezilehlých stránkách Snižuje úniky tokenů mezi skoky
Přihlaste se k upozorněním na bezpečné procházení pro své domény Včasné varování, pokud se doména zaflaguje

Pokud chcete důkladné přezkoumání před spuštěním kampaně, aby jste věděli, kam vaše kódy ukazují, kontrolní seznam bezpečné destinace QR kódu pokrývá stránku určení rovnice do detailů.

Nejudržitelnější řešením je snížení délky řetězce. Pracujte s tím, kdo spravuje vaše QR kampaně, abyste nastavili přímé cílové adresy URL, kde je to možné, a rezervujte vrstvy přesměrování pouze pro sledování, které se nedá získat jiným způsobem. Platformy, které nabízejí vestavěnou analytiku skenů, mohou na mnohých místech nahradit některé vrstvy sledování založené na přesměrování. Podrobný rozbor analytiky QR kódů pokrývá toto téma do hloubky.

Klíčové poznatky

  • Přesměrovací řetězec, i s jedním kompromitovaným nebo otevřeným přesměrováním, může poslat vaše zákazníky na škodlivé stránky, přitom vypadaje legitimně.
  • Zanedbávaná přesměrování na vypršených nebo zrušených doménách jsou skutečným a podceňovaným rizikem v QR kampaních.
  • Auditujte každý skok ručně: dekódujte raw URL, trasujte všechna přesměrování, ověřte vlastnictví domény a potvrďte HTTPS na konci.
  • Udržujte řetězce krátké. Pokud vaše QR platforma nabízí vestavěnou analytiku, nemusíte vůbec používat externí sledování na základě přesměrování.
  • Znovu auditujte, kdykoli aktualizujete cílovou URL dynamického kódu — tato aktualizace může tiše zavést nové vrstvy přesměrování.

Často kladené otázky

Kolik přesměrování je pro QR kód příliš mnoho?expand_more
Více než tři skoky zavádějí významnou latenci a zvyšují počet domén třetích stran, které musíte důvěřovat a monitorovat. Nad pět skoků některé prohlížeče a bezpečnostní nástroje začínají ztrácet hlavičky nebo řetězec označují příznakem. Jako praktické pravidlo udržujte váš přesměrovací řetězec QR na maximálně dvě až tři skoky a auditujte každou doménu, která se v sekvenci objeví, před tiskem.
Jak zjistím, zda třetí strana využívá QR platformu s otevřenými přesměrováním?expand_more
Zkontrolujte, zda zkrácovací doména platformy přesměruje na libovolnou URL nebo pouze na cíle, které jste zaregistrovali. Rychlý test je upravit cílový parametr v jednom ze stávajících odkazů a vidět, zda platforma přijme nový cíl bez ověření. Renomované platformy vynucují whitelisting cílů, což znamená, že jsou přijímány pouze adresy URL, které jste přidali do svého účtu.
Co se stane, pokud doména v mém přesměrovacím řetězci vyprší?expand_more
Jakmile doména vyprší, může si ji znovu zaregistrovat kdokoli. Nový majitel ji může nakonfigurovat tak, aby přeposílal návštěvníky kamkoli — včetně phishingových stránek, stahování malwaru nebo webů konkurentů. Tento útok „zanedbávaného přesměrování" nevyžaduje přístup k vašemu původnímu QR kódu nebo vašemu webu. Nastavte si oznámení v kalendáři nebo používejte nástroje pro sledování domén, aby jste sledovali data vypršení pro každou doménu, kterou váš přesměrovací řetězec procházejí.
Mohou útočníci zachytit QR přesměrování bez změny tištěného kódu?expand_more
Ano. Pokud přesměrovací skok prochází doménou, kterou nyní kontroluje útočník — prostřednictvím DNS hijackingu, opakované registrace vypršené domény nebo kompromitovaného zkrácovače třetí strany — může tiše vyměnit konečný cíl bez jakéhokoliv fyzického přístupu k vašim vytištěným materiálům. Právě proto je auditování kompletního řetězce, nejen zakódované URL, nezbytné před každým spuštěním kampaně a po jakékoli změně cíle.
Zhoršuje přechod na dynamický QR kód rizika přesměrovacího řetězce?expand_more
Dynamické QR kódy zavádějí alespoň jedno další přesměrování spravované vaší QR platformou, což znamená, že infrastruktura a bezpečnostní kontroly platformy se nyní stávají součástí vaší útočné plochy. Dynamické kódy však umožňují mnohem snadnější opravu kompromitovaného cíle bez opětovného tisku. Čisté riziko závisí na tom, zda vaše platforma vynucuje HTTPS, ověřuje cílové adresy URL a nabízí monitoring — funkce, které stojí za ověření, než se zavážete dodavateli.

Další články z blogu

Jarní QR kampaně: 5 taktik, které skutečně konvertují

Podzimní QR kampaně: 7 taktik pro zvýšení podzimních tržeb

Dynamické QR směrování: Automaticky pošli skenery na různé adresy

Vytvořte svůj QR kód