Фішинг через QR-коди (квішинг) - шахрайство, яке ховається у всіх на увазі

Ви скануєте QR-код у ресторані, щоб переглянути меню. Скануєте код на парковці для оплати. Скануєте QR-код із повідомлення про доставку. Все здається невинним. Але що якщо цей QR-код — підробка?

Атаки фішингу через QR-коди виросли на 270% на місяць у 2025-2026 роках, а 12% усіх фішингових атак тепер містять QR-коди. У Великій Британії було зафіксовано 784 випадки квішингу зі збитками на 3,5 мільйона фунтів. Час ставитися до QR-кодів з тією ж обережністю, що і до підозрілих посилань.

Що таке квішинг?

Квішинг = QR + фішинг (Phishing)

Класичний фішинг надсилає підроблене посилання через Telegram або електронну пошту. Квішинг використовує підроблений QR-код, щоб перенаправити вас на шахрайський сайт. Ключова відмінність: QR-код не можна прочитати очима — це робить його ще небезпечнішим за текстове посилання.

Реальні випадки квішінгу

1. Підроблені QR-коди на парковках

Шахрай наклеює стікер поверх справжнього QR-коду
→ Ви скануєте та потрапляєте на підроблену сторінку оплати
→ Вводьте дані картки → вони миттєво вкрадені

У містах Росії та СНД виявлено підроблені QR-наклейки на паркоматах, станціях оренди самокатів та зарядних станціях для електромобілів.

2. Підроблені меню в ресторанах

Шахраї розміщують підроблений QR-код поверх реального коду ресторану. Замість меню ви потрапляєте на сторінку, яка запитує особисті дані чи платіжну інформацію.

3. QR-коди у фішингових листах

"Ваш обліковий запис вимагає перевірки безпеки - відскануйте QR-код"
→ Підроблена сторінка входу
→ Корпоративні облікові дані вкрадені

ІІ та LLM-інструменти тепер використовуються для створення переконливих фішингових листів з QR-кодами. Вони обходять традиційні спам-фільтри, тому що шкідливе посилання приховано всередині зображення.

4. Підроблені повідомлення про доставку з QR

"Доставка перенесена - відскануйте QR-код для оновлення даних"
→ Підроблений сайт служби доставки
→ Ім'я, адреса та платіжні дані перехоплені

Повідомлення в Telegram і по SMS, що маскуються під СДЕК, Пошту Росії або Wildberries з QR-кодами, стали одним з видів шахрайства, що швидко зростають.

5 ознак підробленого QR-коду

| # | Тривожний сигнал На що звернути увагу |---|---|---| | 1 | Наклейка поверх оригіналу Доторкніться до поверхні — якщо накладений стікер, швидше за все код підроблений | | 2 | URL не збігається з очікуваним доменом Відсканований URL повинен відповідати компанії (напр. parking-gorod.ru, а не p4rking-oplata.net) | | 3 | Відразу запитує особисті дані чи оплату | Легітимні QR-коди рідко вимагають карти негайно | | 4 | Ні HTTPS | Якщо URL починається з http:// замість https://, з'єднання не захищене | | 5 | Перенаправлення через скорочені URL | Множинні перенаправлення, що приховують кінцеву адресу - знак тривоги |

Як безпечно сканувати QR-коди

Крок 1: Використовуйте вбудовану камеру смартфона

Камера iPhone або Android показує перегляд URL перед відкриттям посилання. Не використовуйте інші програми, які автоматично відкривають посилання.

Крок 2: Перевірте URL перед переходом

Уважно прочитайте URL-адресу. Має бути sber.ru? А показує sb3r-oplata.com? Чи не відкривайте.

Крок 3: Ніколи не вводьте платіжні дані на сторінці, відкритій через QR

Якщо QR-код привів на сторінку оплати, закрийте її. Перейдіть безпосередньо до офіційної програми або на сайт для оплати.

Крок 4: Використовуйте QR-сканер з перевіркою URL

Сканери з функціями безпеки можуть виявити відомі шкідливі URL-адреси ще до відкриття.

Крок 5: Фізично перевірте QR-код

У громадських місцях перевіряйте, чи QR-код не наклеєний поверх іншого. Якщо наклейка піднята, відходить або зміщена, не скануйте.

Безпечні QR-коди vs небезпечні QR-коди

Легітимне використання

• WiFi: Кафе та готелі надають пароль WiFi через QR-код
• Офіційні меню: QR-коди, інтегровані в систему замовлень ресторану
• Надійні платежі: QR-коди, згенеровані всередині офіційних банківських додатків (СБП, Тінькофф)
• Обмін посиланнями через LOCK.PUB: QR-коди із захистом паролем та довіреним доменом lock.pub

Небезпечні ознаки

• QR-коди у небажаних електронних листах
• Наклейки у громадських місцях із невідомого джерела
• QR-коди на сумнівних листівках, плакатах чи візитках
• QR-коди, отримані через Telegram від незнайомих відправників

Що робити, якщо ви відсканували підозрілий QR-код

Не панікуйте. Дійте негайно:

1. Закрийте браузер — якщо ви не вводили жодних даних, швидше за все, ви в безпеці
2. Якщо ввели логін/пароль, негайно змініть пароль
3. Якщо ввели дані картки, зв'яжіться з банком для блокування картки
4. Перевірте, чи не встановилися невідомі програми, та видаліть підозрілі
5. Повідомте у поліцію або на гарячу лінію боротьби з шахрайством

Як LOCK.PUB безпечно використовує QR-коди

LOCK.PUB дозволяє ділитися посиланнями через QR-коди, але із вбудованими функціями безпеки:

• Захист паролем: навіть після сканування QR-коду для доступу до вмісту потрібен пароль
• Довірений домен: завжди веде на lock.pub - легко перевірити
• Термін дії: посилання автоматично деактивуються після закінчення встановленого часу
• Відстеження доступу: дивіться, хто і коли відкривав ваше посилання

Проблема не в QR-кодах, а в QR-кодах з невідомих джерел. Скануйте лише коди з надійних джерел і завжди перевіряйте URL-адресу перед переходом.

Висновок

QR-коди всюди завдяки своїй зручності. Але саме цю зручність використовують шахраї. Одне сканування може надіслати зловмисникам дані вашої картки, облікові записи або доступ до корпоративної мережі.

Перед скануванням будь-якого QR-коду приділіть 3 секунди перевірці. Ці 3 секунди можуть захистити ваші особисті дані, гроші та спокій.

Почніть ділитися посиланнями безпечно -->