Как предотвратить Квишинг и мошенничество с использованием QR-кодов
План статьи
Вероятно, в этом месяце вы без раздумий отсканировали десятки QR-кодов — в ресторане, на парковочном счетчике, возможно, на платежном терминале у кассы. Именно этим автоматическим доверием сейчас и пользуются мошенники, и цифры трудно игнорировать.
Фишинг с использованием QR-кодов — более известный как «квишинг» — вырос на 587% с 2022 по 2023 год и подскочил еще на 25% в 2025 году, при этом более 26 миллионов американцев уже были перенаправлены на вредоносные сайты таким образом. И вот что неприятно: только 39% потребителей могут надежно распознать зараженные QR-коды, пока не стало слишком поздно, а это означает, что подавляющее большинство сканирует их вслепую.
Так что же на самом деле происходит, как злоумышленники это делают и что вы можете с этим поделать? Давайте разберемся.
Квишинг (QR + фишинг) — это практика сокрытия опасных ссылок внутри QR-кодов с целью перенаправления людей на поддельные веб-сайты, кражи учетных данных или установки вредоносного ПО. Считайте это классическим взломом QR-кода, но в формате, который человеческий глаз просто не может расшифровать.
В этом и заключается основная проблема безопасности QR-кодов: в отличие от обычной ссылки в электронном письме, на которую можно навести курсор и посмотреть предварительный просмотр, QR-код ничего не раскрывает, пока ваш браузер не загрузит целевую страницу. Здесь нет ошибок в доменном имени, которые можно было бы заметить, и нет подозрительного анкорного текста. Опасность QR-кодов по своей сути невидима — и именно это делает квишинг-фишинг настолько эффективным по сравнению с традиционными мошенническими схемами.
Именно поэтому QR-коды фигурировали в 22% всех фишинговых атак в 2024–2025 годах. Они обходят большинство автоматических почтовых фильтров, поскольку средства безопасности не могут прочитать URL-адрес, закодированный внутри изображения.
Понимание всех аспектов угроз, связанных с QR-кодами, поможет вам распознать угрозы, прежде чем вы станете жертвой. Вот самые распространенные схемы атак в 2025 году.
Самый распространенный физический метод заключается в размещении поддельных наклеек с QR-кодами прямо поверх подлинных кодов — на парковочных счетчиках, столах в ресторанах, транспортных знаках или витринах магазинов. Вы думаете, что открываете ссылку на карту или оплачиваете покупку на платежном терминале. На самом деле данные вашей карты попадают прямо на поддельный портал мошенника. Быстрая визуальная проверка — проверка того, лежит ли код ровно или выглядит так, будто на него наклеен еще один слой — может полностью уберечь вас от этой угрозы.
Поскольку люди обычно сканируют QR-коды с помощью своих телефонов, встроенные URL-адреса обходят настольные средства безопасности, такие как брандмауэры и блокировщики URL-адресов на конечных устройствах. Это делает взлом через QR-коды по электронной почте особенно эффективным. Сообщение выглядит так, будто оно пришло от Microsoft, вашего банка или ИТ-отдела вашей компании — с логотипами и профессиональным оформлением.
Значительная часть (27%) таких атак с использованием квишинга использует поддельные предупреждения о многофакторной аутентификации: «Ваша сессия истекла — отсканируйте, чтобы подтвердить». Такая срочность создана специально, чтобы вы не задумывались дважды.
Это одна из наиболее недооцененных опасностей сканирования QR-кодов: только в середине 2024 года было обнаружено полмиллиона фишинговых писем с QR-кодами, встроенными в PDF-вложения. Документ выглядит легитимно — счет, выписка о выплатах, уведомление о доставке — а QR-код внутри кажется удобным ярлыком. Федеральная торговая комиссия (FTC) также отметила всплеск мошенничества с физической почтой, когда ссылки на вредоносное ПО с QR-кодами приходят напечатанными на поддельных накладных или счетах за коммунальные услуги.
Новейшая и наиболее тревожная эволюция киберугроз, связанных с квишингом, включает в себя фишинговые страницы, сгенерированные с помощью ИИ, которые практически неотличимы от настоящих. Теперь злоумышленники могут за считанные минуты создать убедительную поддельную страницу бронирования или входа в PayPal, адаптированную под конкретную цель, с реалистичным брендингом и персонализированным текстом. Это значительно усложнило предотвращение мошенничества с использованием QR-кодов как для частных лиц, так и для организаций.
Но угроза выходит далеко за рамки поддельных страниц входа в систему. ИИ теперь используется на каждом этапе атаки — от выбора цели до доставки и уклонения от обнаружения.
Практические последствия очевидны: визуальные и контекстуальные подсказки, которые когда-то помогали людям распознавать мошенничество, становятся ненадежными. Скептицизм по отношению к источнику — а не только к внешнему виду — теперь является более важным фильтром.
Риски безопасности, связанные с QR-кодами, распределены неравномерно. Некоторые отрасли подвергаются значительно более высокому риску из-за характера использования QR-кодов и ценности данных, с которыми они работают.
| Отрасль | Почему она становится мишенью | Распространенные векторы атак |
|---|---|---|
| Финансы и банковское дело | Ценные учетные данные, платежные данные | Поддельные страницы входа в банковские приложения, поддельные порталы PayPal / Venmo с сбором учетных данных |
| Здравоохранение | Конфиденциальные данные пациентов, устаревшие системы | Поддельные формы для пациентов, отправленные по электронной почте, QR-коды на печатных документах для приема пациентов |
| Образование | Большая база пользователей, низкий уровень осведомленности о безопасности | Поддельные порталы входа в Wi-Fi на территории кампуса, QR-коды в учебных материалах в формате PDF |
| Розничная торговля и электронная коммерция | Обработка платежей, высокая посещаемость | Мошенничество с наклейками на легальных платежных терминалах, поддельные коды скидок или коды для бронирования по программам лояльности |
| Рестораны и туризм | Широкое использование QR-кодов, размещение в общественных местах | Замена QR-кодов в меню на поддельные страницы для заказа, поддельные Wi-Fi-порталы в холлах |
| Государственные органы | Злоупотребление доверием населения | Поддельные формы разрешений, поддельные порталы уплаты налогов, имитирующие официальные сайты |
| Логистика | Срочность доставки посылок | Поддельные URL-адреса для отслеживания, отправленные по SMS, QR-коды на поддельных накладных |
| Недвижимость | Сделки на крупные суммы | Поддельные страницы с объявлениями о продаже недвижимости, мошеннические формы для подписания документов с целью кражи учетных данных |
Сотрудники розничной торговли чаще всего не замечают вредоносную активность, связанную с QR-кодами, в то время как финансы, производство и здравоохранение неизменно входят в число секторов, подвергающихся наибольшему риску. Примечательно, что проблемы безопасности, связанные с QR-кодами в сфере здравоохранения, влекут за собой особенно серьезные последствия — на карту поставлены данные пациентов, страховые данные и внутренние системы.
Создайте
QR-код прямо сейчас!
Разместите ссылку на свой QR-код, добавьте имя для своего QR, выберите категорию контента и сгенерируйте!
Вот практические рекомендации по обеспечению безопасности — независимо от того, являетесь ли вы частным пользователем, владельцем бизнеса, или отвечаете за маркетинговые материалы, содержащие QR-коды.
Большинство современных смартфонов показывают ссылку назначения сразу после сканирования, до того как браузер что-либо загрузит. Эта десятисекундная привычка является основой безопасности QR-кодов — не пропускайте ее.
При проверке URL обращайте внимание на:
Используйте надежное приложение для сканирования QR-кодов, а не просто камеру вашего телефона по умолчанию. Надежный инструмент проверки безопасности QR-кодов выявит известные вредоносные домены, прежде чем что-либо откроется, обеспечив вам настоящую защиту, а не просто удобство.
Обнаружение подделок — реальная проблема в местах с высокой посещаемостью. Прежде чем сканировать что-либо в общественном месте, присмотритесь: прилегает ли код плотно к поверхности или выглядит слегка приподнятым? Края ровные или кажется, что это наклейка, наклеенная поверх чего-то другого?
Это особенно важно на парковочных счетчиках, станциях общественного транспорта и везде, где речь идет о безопасности платежей с помощью QR-кодов — именно эти места чаще всего становятся мишенью мошенников, поскольку спешка и отвлеченность играют им на руку.
Именно здесь QR-фишинг наносит наибольший ущерб. Легитимные компании — банки, поставщики программного обеспечения, отделы кадров — не просят вас сканировать QR-код для подтверждения личности или сброса пароля по электронной почте. Если вы получили такое сообщение, перейдите непосредственно на официальный сайт компании, введя адрес вручную.
Никогда не сканируйте QR-код из изображения или вложения в формате PDF, которое вы не ожидали, независимо от того, насколько официально оно выглядит. Это относится и к пересылкам в WhatsApp, и к SMS-сообщениям — хакеры, использующие QR-коды, уже давно вышли за пределы электронной почты.
Не все приложения для сканирования предлагают одинаковый уровень защиты. Обычная камера просто считывает узор, а самый безопасный сканер QR-кодов в режиме реального времени активно сверяет URL-адрес назначения с базами данных угроз. Ищите приложения, которые явно предлагают функции безопасности для считывания QR-кодов: предварительный просмотр URL-адреса, обнаружение вредоносных программ и проверку репутации домена.
Проверка QR-кодов перед тем, как действовать по ним, — это самая эффективная привычка, которую вы можете выработать. Если приложение не показывает ссылку перед открытием, найдите такое, которое это делает.
Обращайте внимание на эти «красные флажки» независимо от контекста — сканируете ли вы QR-код для страницы в социальной сети, сети Wi-Fi, контакта vCard или ссылки для оплаты:
Ошибки случаются — вот как ограничить ущерб. Немедленно отключите Wi-Fi и мобильные данные, чтобы прервать связь с сервером злоумышленника. Запустите сканирование с помощью надежного приложения для мобильной безопасности. Измените все пароли, введенные после сканирования, уделяя приоритетное внимание финансовым и рабочим учетным записям. Проверьте историю установок в магазинах приложений на наличие чего-либо незнакомого, отмените неизвестные разрешения и немедленно свяжитесь со своим банком, если были задействованы какие-либо платежные данные.
Если ваша организация использует QR-коды в маркетинговых кампаниях, процессах электронной коммерции, объявлениях о недвижимости, формах для приема пациентов в медицинских учреждениях или меню ресторанов — обеспечение безопасности QR-кодов является частью вашей ответственности перед пользователями.
Эффективные меры безопасности QR-кодов для предприятий включают использование стилизованных кодов с вашим логотипом и фирменными цветами (которые сложнее убедительно подделать), четкое информирование пользователей о том, что они должны увидеть после сканирования, а также регулярную проверку общедоступных кодов на наличие признаков взлома.
Кроме того, важен выбор безопасного генератора QR-кодов. Наиболее безопасный генератор QR-кодов проверяет URL-адрес назначения на этапе создания, блокируя вредоносные ссылки, спам и запрещенный контент ещё до того, как код попадёт в открытый доступ. Me-QR делает именно это: каждый динамический QR-код, сгенерированный с помощью этого сервиса, автоматически проверяется на наличие вредоносного ПО, фишингового контента и нарушений правил, благодаря чему ни вы, ни ваши клиенты не подвергаетесь рискам безопасности, связанным с QR-кодами, через ваши собственные материалы.
Опасности использования QR-кодов не связаны с самой технологией — они кроются в том, куда ведет код и проверяете ли вы его. Безопасность заключается не в том, чтобы избегать QR-кодов, а в том, чтобы знать, на что обратить внимание перед сканированием.
Проверьте URL-адрес. Осмотрите физический код. Используйте сканер безопасности QR-кодов, который выполнит проверку за вас. Мошенники, стоящие за этими взломами с помощью QR-кодов, рассчитывают на то, что вы действуете на автопилоте. И, судя по статистике, они правы — 61% людей по-прежнему сканируют коды, не проверяя, куда они ведут. Именно в этом заключается реальная уязвимость. Устраните ее, и вы уже сделали больше, чем большинство.
Управляйте своими QR-кодами!
Соберите все ваши QR-коды в одном месте, просматривайте статистику и меняйте содержимое, создав учетную запись
зарегистрироваться
Была ли эта статья полезной?
Нажмите на звезду, чтобы оценить!
Спасибо за ваш голос!
Средняя оценка: 5/5 Голоса: 2
Будьте первым, кто оценит этот пост!
Создайте коды с помощью нашего бесплатного генератора QR-кодов. Понятный интерфейс, разнообразие при выборе типа вашего QR-кода и возможность просматривать статистику!
Загрузите наше приложение
Теперь просто и быстро создавать и сканировать QR-коды!
Информация
Юридическая информация
Наша новостная рассылка
Создайте коды с помощью нашего бесплатного генератора QR-кодов. Понятный интерфейс, разнообразие при выборе типа вашего QR-кода и возможность просматривать статистику!
Загрузите наше приложение
Теперь просто и быстро создавать и сканировать QR-коды!
Copyright © 2018- Me-Team
