Фишинг через QR-коды (квишинг) — как распознать поддельные QR-коды и защититься
Сканирование QR-кода может привести к краже персональных данных за считанные секунды. Узнайте, что такое квишинг, как распознать поддельный QR-код и защитить себя от мошенников.
Фишинг через QR-коды (квишинг) — мошенничество, которое прячется у всех на виду
Вы сканируете QR-код в ресторане, чтобы посмотреть меню. Сканируете код на парковке для оплаты. Сканируете QR-код из уведомления о доставке. Всё кажется безобидным. Но что, если этот QR-код — подделка?
Атаки фишинга через QR-коды выросли на 270% в месяц в 2025-2026 годах, а 12% всех фишинговых атак теперь содержат QR-коды. В Великобритании было зафиксировано 784 случая квишинга с убытками на 3,5 миллиона фунтов. Пора относиться к QR-кодам с той же осторожностью, что и к подозрительным ссылкам.
Что такое квишинг?
Квишинг = QR + фишинг (Phishing)
Классический фишинг отправляет поддельную ссылку через Telegram или электронную почту. Квишинг использует поддельный QR-код, чтобы перенаправить вас на мошеннический сайт. Ключевое отличие: QR-код нельзя прочитать глазами — это делает его ещё опаснее текстовой ссылки.
Реальные случаи квишинга
1. Поддельные QR-коды на парковках
Мошенник наклеивает стикер поверх настоящего QR-кода
→ Вы сканируете и попадаете на поддельную страницу оплаты
→ Вводите данные карты → они мгновенно украдены
В городах России и СНГ обнаружены поддельные QR-наклейки на паркоматах, станциях аренды самокатов и зарядных станциях для электромобилей.
2. Поддельные меню в ресторанах
Мошенники размещают поддельный QR-код поверх реального кода ресторана. Вместо меню вы попадаете на страницу, которая запрашивает личные данные или платёжную информацию.
3. QR-коды в фишинговых письмах
«Ваш аккаунт требует проверки безопасности — отсканируйте QR-код»
→ Поддельная страница входа
→ Корпоративные учётные данные украдены
ИИ и LLM-инструменты теперь используются для создания убедительных фишинговых писем с QR-кодами. Они обходят традиционные спам-фильтры, потому что вредоносная ссылка скрыта внутри изображения.
4. Поддельные уведомления о доставке с QR
«Доставка перенесена — отсканируйте QR-код для обновления данных»
→ Поддельный сайт службы доставки
→ Имя, адрес и платёжные данные перехвачены
Сообщения в Telegram и по SMS, маскирующиеся под СДЭК, Почту России или Wildberries с QR-кодами, стали одним из самых быстрорастущих видов мошенничества.
5 признаков поддельного QR-кода
| # | Тревожный сигнал | На что обратить внимание |
|---|---|---|
| 1 | Наклейка поверх оригинала | Потрогайте поверхность — если наложен стикер, скорее всего код поддельный |
| 2 | URL не совпадает с ожидаемым доменом | Отсканированный URL должен соответствовать компании (напр., parking-gorod.ru, а не p4rking-oplata.net) |
| 3 | Сразу запрашивает личные данные или оплату | Легитимные QR-коды редко требуют данные карты немедленно |
| 4 | Нет HTTPS | Если URL начинается с http:// вместо https://, соединение не защищено |
| 5 | Перенаправление через сокращённые URL | Множественные перенаправления, скрывающие конечный адрес — тревожный знак |
Как безопасно сканировать QR-коды
Шаг 1: Используйте встроенную камеру смартфона
Камера iPhone или Android показывает предпросмотр URL перед открытием ссылки. Не используйте сторонние приложения, которые автоматически открывают ссылки.
Шаг 2: Проверьте URL перед переходом
Внимательно прочитайте URL. Должен быть sber.ru? А показывает sb3r-oplata.com? Не открывайте.
Шаг 3: Никогда не вводите платёжные данные на странице, открытой через QR
Если QR-код привёл на страницу оплаты, закройте её. Перейдите непосредственно в официальное приложение или на сайт для оплаты.
Шаг 4: Используйте QR-сканер с проверкой URL
Сканеры с функциями безопасности могут обнаружить известные вредоносные URL ещё до открытия.
Шаг 5: Физически проверьте QR-код
В общественных местах проверяйте, не наклеен ли QR-код поверх другого. Если наклейка приподнята, отходит или смещена — не сканируйте.
Безопасные QR-коды vs опасные QR-коды
Легитимное использование
- WiFi: Кафе и отели предоставляют пароль WiFi через QR-код
- Официальные меню: QR-коды, интегрированные в систему заказов ресторана
- Надёжные платежи: QR-коды, сгенерированные внутри официальных банковских приложений (СБП, Тинькофф)
- Обмен ссылками через LOCK.PUB: QR-коды с защитой паролем и доверенным доменом
lock.pub
Опасные признаки
- QR-коды в нежелательных электронных письмах
- Наклейки в общественных местах из неизвестного источника
- QR-коды на сомнительных листовках, плакатах или визитках
- QR-коды, полученные через Telegram от незнакомых отправителей
Что делать, если вы отсканировали подозрительный QR-код
Не паникуйте. Действуйте немедленно:
- Закройте браузер — если вы не вводили никаких данных, скорее всего, вы в безопасности
- Если ввели логин/пароль, немедленно смените пароль
- Если ввели данные карты, свяжитесь с банком для блокировки карты
- Проверьте, не установились ли неизвестные приложения, и удалите подозрительные
- Сообщите в полицию или на горячую линию по борьбе с мошенничеством
Как LOCK.PUB безопасно использует QR-коды
LOCK.PUB позволяет делиться ссылками через QR-коды, но со встроенными функциями безопасности:
- Защита паролем: даже после сканирования QR-кода для доступа к содержимому необходим пароль
- Доверенный домен: всегда ведёт на
lock.pub— легко проверить - Срок действия: ссылки автоматически деактивируются по истечении установленного времени
- Отслеживание доступа: смотрите, кто и когда открывал вашу ссылку
Проблема не в самих QR-кодах, а в QR-кодах из неизвестных источников. Сканируйте только коды из надёжных источников и всегда проверяйте URL перед переходом.
Заключение
QR-коды повсюду благодаря своему удобству. Но именно это удобство используют мошенники. Одно сканирование может передать злоумышленникам данные вашей карты, учётные записи или доступ к корпоративной сети.
Перед сканированием любого QR-кода уделите 3 секунды проверке. Эти 3 секунды могут защитить ваши личные данные, деньги и спокойствие.
Ключевые слова
Читайте также
Как делиться информацией через временные ссылки с истечением срока
Узнайте, как создавать ссылки, которые автоматически деактивируются через заданное время. Безопасно делитесь паролями, приглашениями, кодами WiFi и конфиденциальными документами с помощью ссылок с ограниченным сроком действия.
Как добавить защиту паролем к QR-кодам для офлайн-безопасности
QR-коды не имеют встроенной защиты. Узнайте, как объединить QR-коды с защищенными паролем ссылками для контроля доступа к офлайн-контенту.
Не только блокировка ссылок: полное руководство по 7 типам секретного контента LOCK.PUB
LOCK.PUB — это гораздо больше, чем инструмент для блокировки ссылок. Узнайте обо всех 7 типах контента: блокировка URL, секретная заметка, зашифрованный чат, секретный опрос, секретное изображение, секретная доска и секретное аудио.
Создайте защищенную паролем ссылку сейчас
Создавайте бесплатно защищённые ссылки, секретные заметки и зашифрованные чаты.
Начать Бесплатно