Справжня небезпека QR-кодів: будьте пильними

Ймовірно, цього місяця ви без зайвих роздумів відсканували десятки QR-кодів — у ресторані, на паркоматі, можливо, на платіжному терміналі біля каси. Саме цю автоматичну довіру зараз і використовують шахраї, а цифри важко ігнорувати.

Фішинг за допомогою QR-кодів — більш відомий як «квішинг» — зріс на 587% з 2022 по 2023 рік і підскочив ще на 25% у 2025 році, причому понад 26 мільйонів американців вже потрапили на шкідливі сайти таким чином. І ось що найнеприємніше: лише 39% споживачів можуть надійно виявити заражені QR-коди, перш ніж стане занадто пізно, а це означає, що переважна більшість сканує їх, абсолютно не знаючи, на що натрапляє.

То що ж насправді відбувається, як зловмисники це роблять і що ви можете з цим зробити? Давайте розберемося.

Що таке «квішинг» і чому він такий ефективний

Квішинг (QR + фішинг) — це практика приховування небезпечних посилань у QR-кодах для перенаправлення людей на підроблені веб-сайти, викрадення облікових даних або встановлення шкідливого програмного забезпечення. Уявіть це як класичний злом QR-коду, але в форматі, який людське око просто не може розшифрувати.

У цьому полягає основна проблема безпеки QR-кодів: на відміну від звичайного посилання в електронному листі, на яке можна навести курсор і переглянути попередній перегляд, QR-код нічого не розкриває, доки ваш браузер не завантажить сторінку призначення. Немає помилок у домені, які можна виявити, немає підозрілого анкор-тексту, на який можна звернути увагу. Небезпека QR-кодів є невидимою за своєю суттю — і саме це робить квішинг-фішинг таким ефективним порівняно з традиційними шахрайськими схемами.

Ось чому QR-коди з'являлися у 22% усіх фішингових атак у 2024–2025 роках. Вони обходять більшість автоматизованих фільтрів електронної пошти, оскільки засоби безпеки не можуть прочитати URL-адресу, закодовану всередині зображення.

Чи можна стати жертвою хакерів, сканувавши QR-код?

Розуміння повного спектру загроз, пов'язаних із QR-кодами, допоможе вам розпізнати загрози, перш ніж ви станете жертвою. Ось найпоширеніші схеми атак у 2025 році.

Трюк із підробленими наклейками

Найпоширеніший фізичний метод передбачає наклеювання підроблених наклейок із QR-кодами безпосередньо поверх справжніх кодів — на паркоматах, столах у ресторанах, транспортних знаках або вітринах магазинів. Ви думаєте, що відкриваєте посилання на карту або розраховуєтеся на платіжному терміналі. Насправді ж дані вашої картки надходять прямо на підроблений портал шахрая. Швидка візуальна перевірка — чи лежить код рівно або виглядає так, ніби його наклеїли поверх іншого — може повністю вберегти вас від цього.

Атака через електронну пошту та офісні програми

Оскільки люди зазвичай сканують QR-коди своїми телефонами, вбудовані URL-адреси обходять настільні засоби безпеки, такі як брандмауери та блокувальники URL-адрес на кінцевих точках. Це робить хакерські атаки через QR-коди в електронній пошті особливо ефективними. Повідомлення виглядає так, ніби воно надійшло від Microsoft, вашого банку або ІТ-відділу вашої компанії — з логотипами та професійним оформленням.

Значні 27% цих атак квішингу використовують підроблені сповіщення про багатофакторну автентифікацію: «Ваша сесія закінчилася – скануйте, щоб підтвердити». Ця терміновість створена для того, щоб ви не замислювалися двічі.

QR-коди, приховані в документах та фізичній пошті

Це одна з найбільш недооцінених небезпек сканування QR-кодів: лише в середині 2024 року було виявлено півмільйона фішингових електронних листів із QR-кодами, вбудованими у PDF-вкладення. Документ виглядає як справжній — рахунок-фактура, виписка про виплати, повідомлення про доставку — а QR-код усередині здається зручним скороченням. Федеральна торгова комісія (FTC) також зафіксувала сплеск шахрайства у фізичній пошті, де посилання на шкідливе програмне забезпечення у вигляді QR-кодів надходять надрукованими на підроблених накладних або рахунках за комунальні послуги.

Кампанії з квішингу на основі штучного інтелекту

Найновіша і найтривожніша еволюція кіберзагроз типу «квішинг» пов'язана з фішинговими сторінками, згенерованими штучним інтелектом, які майже не відрізняються від справжніх. Тепер зловмисники можуть за лічені хвилини створити переконливу підроблену сторінку бронювання або входу в PayPal, адаптовану під конкретну ціль, з реалістичним брендингом та персоналізованим текстом. Це значно ускладнило запобігання шахрайству з QR-кодами як для приватних осіб, так і для організацій.

Але загроза виходить далеко за межі підроблених сторінок входу. Штучний інтелект зараз використовується на кожному етапі ланцюжка атаки — від вибору цілі до доставки та ухилення від виявлення.

Гіперперсоналізоване заманювання. Традиційний фішинг спирався на загальну приманку — «ваш обліковий запис було заблоковано». Кампанії на базі штучного інтелекту використовують загальнодоступні дані: ваш роботодавець, ваше місто, ваші останні покупки. Результатом є шахрайство з QR-кодом, яке здається написаним спеціально для вас, бо в певному сенсі так і є. Фальшива накладна від постачальника, ім'я якого ви впізнаєте. Повідомлення про «неуспішну доставку», що відповідає вашій фактичній адресі. Саме такий рівень конкретності робить сучасний фішинг за допомогою QR-кодів таким важким для розпізнання з першого погляду.
Підкріплення голосом та діпфейком. У більш серйозних атаках — зазвичай спрямованих на співробітників фінансових або кадрових відділів — перед зловмисним QR-кодом тепер надходять голосові дзвінки, згенеровані штучним інтелектом, або відеоповідомлення з використанням технології діпфейк. Дзвінок встановлює довіру («Привіт, це служба ІТ-підтримки — незабаром ви отримаєте код підтвердження»), а QR-код надходить через кілька хвилин електронною поштою або SMS. До того часу, як жертва його сканує, вона вже налаштована на виконання вимог.
Автоматизована інфраструктура у великому масштабі. Те, що раніше вимагало технічних знань для налаштування — підроблені домени, SSL-сертифікати, схожі веб-сайти — тепер можна генерувати та змінювати автоматично. Зловмисники одночасно розгортають сотні короткочасних фішингових сторінок, швидко перемикаючись між доменами, щоб випереджати списки блокування. Ось чому традиційні засоби безпеки на основі URL-адрес не справляються: до того часу, як домен буде позначений, його вже замінили.
Ухилення, вбудоване в дизайн. Моделі штучного інтелекту, навчені на шаблонах виявлення загроз, тепер можуть генерувати QR-коди та цільові сторінки, спеціально розроблені для уникнення спрацьовування фільтрів. Вони з високою точністю імітують візуальну структуру легітимних сторінок — правильну товщину шрифту, автентичні поля форм, реалістичні повідомлення про помилки при введенні неправильних облікових даних (класичний трюк для збору даних про спроби введення пароля).

Практичний висновок простий: візуальні та контекстуальні підказки, які колись допомагали людям розпізнавати шахрайство, стають ненадійними. Скептицизм щодо джерела — а не лише зовнішнього вигляду — тепер є важливішим фільтром.

Хто є основною мішенню?

Ризики безпеки, пов'язані з QR-кодами, розподіляються нерівномірно. Деякі галузі стикаються з набагато більшою вразливістю через характер використання QR-кодів та цінність даних, з якими вони працюють.

Галузь	Чому вона є мішенню	Типові вектори атак
Фінанси та банківська справа	Цінні облікові дані, платіжні дані	Підроблені сторінки входу в банківські додатки, підроблені портали PayPal / Venmo з викраденням облікових даних
Охорона здоров'я	Конфіденційні дані пацієнтів, застарілі системи	Підроблені форми для пацієнтів, надіслані електронною поштою, QR-коди на друкованих документах для прийому пацієнтів
Освіта	Велика база користувачів, низький рівень обізнаності з питань безпеки	Підроблені портали входу в Wi-Fi на території кампусу, QR-коди в навчальних матеріалах у форматі PDF
Роздрібна торгівля та електронна комерція	Обробка платежів, великий потік відвідувачів	Шахрайство з наклейками на легальних платіжних терміналах, підроблені коди на знижки або бонуси
Ресторани та туризм	Широке використання QR-кодів, розміщення в громадських місцях	Заміна QR-кодів у меню на фальшиві сторінки замовлення, фальшиві Wi-Fi-портали у вестибюлях
Уряд	Зловживання довірою населення	Підроблені бланки дозволів, фальшиві портали для сплати податків, що імітують офіційні веб-сайти
Логістика	Терміновість доставки посилок	Підроблені URL-адреси для відстеження, надіслані через SMS, QR-коди на підроблених накладних
Нерухомість	Транзакції на великі суми	Підроблені сторінки з оголошеннями про нерухомість, шахрайські форми для підписання документів із викраденням облікових даних

Співробітники роздрібної торгівлі мають найвищий рівень пропусків при виявленні зловмисної діяльності з використанням QR-кодів, тоді як фінанси, виробництво та охорона здоров'я постійно входять до числа секторів, що найчастіше стають мішенями атак. Варто зазначити, що проблеми безпеки, пов'язані з QR-кодами в сфері охорони здоров'я, мають особливо серйозні наслідки – під загрозою опиняються дані пацієнтів, страхові дані та внутрішні системи.

Створіть
QR-код зараз!

Додайте посилання на свій QR-код, додайте назву свого QR-коду, виберіть категорію вмісту та створіть!

Згенеруйте QR-код

Як запобігти квішингу: найкращі практики безпеки QR-кодів

Ось практичні поради щодо забезпечення безпеки — незалежно від того, чи є ви приватним користувачем, власником бізнесу або відповідальним за маркетингові матеріали, що містять QR-коди.

1. Завжди переглядайте URL-адресу перед тим, як відкривати її

Більшість сучасних смартфонів показують посилання призначення одразу після сканування, ще до того, як браузер завантажить будь-що. Ця десятисекундна звичка є основою безпеки QR-кодів — не пропускайте її.

Перевіряючи URL-адресу, зверніть увагу на:

HTTPS проти HTTP – відсутність шифрування є негайним сигналом тривоги;
Скорочені посилання – bit.ly, tinyurl та подібні сервіси приховують справжнє місце призначення;
Домени з помилками в написанні – «paypa1.com» або «arnazon.com» є класичними прикладами;
Непов'язані домени – QR-код ресторану, що веде на домен, який не має жодного відношення до закладу;
Ланцюжки перенаправлень – кілька переходів до фактичної сторінки часто вказують на вектор атаки QR-коду.

Використовуйте безпечний додаток для сканування QR-кодів – не лише стандартну камеру вашого телефону. Належний засіб перевірки безпеки QR-кодів позначатиме відомі шкідливі домени ще до відкриття будь-чого, забезпечуючи вам справжній рівень захисту, а не лише зручність.

2. Фізично перевіряйте QR-коди в громадських місцях

Виявлення підробки є реальною проблемою у місцях з великим трафіком. Перш ніж сканувати що-небудь у громадському місці, уважно придивіться: чи код прилягає рівно до поверхні, чи виглядає трохи піднятим? Чи краї рівні, чи здається, що це наклейка, наклеєна поверх чогось іншого?

Це особливо важливо біля паркоматів, на станціях громадського транспорту та в будь-яких місцях, де йдеться про безпеку платежів за допомогою QR-кодів — саме ці місця є найчастішою мішенню шахраїв, оскільки терміновість і відволікання уваги грають на їхню користь.

3. Ніколи не скануйте QR-коди з несподіваних електронних листів

Саме тут QR-фішинг завдає найбільшої шкоди. Легітимні компанії — банки, постачальники програмного забезпечення, кадрові відділи — не просять вас сканувати QR-код для підтвердження вашої особи або скидання пароля через електронну пошту. Якщо ви отримали таке повідомлення, перейдіть безпосередньо на офіційний веб-сайт компанії, ввівши адресу вручну.

Ніколи не скануйте QR-код із зображення або PDF-вкладення, якого ви не очікували, незалежно від того, наскільки офіційно воно виглядає. Це стосується також пересланих повідомлень у WhatsApp та SMS — хакери, які використовують QR-коди, вже давно вийшли за межі електронної пошти.

4. Використовуйте надійний інструмент перевірки безпеки QR-кодів

Не всі програми для сканування забезпечують однаковий рівень захисту. Звичайна камера лише зчитує візерунок, тоді як найбезпечніший сканер QR-кодів у режимі реального часу активно звіряє URL-адресу призначення з базами даних загроз. Шукайте програми, які явно пропонують функції безпеки для зчитування QR-кодів: попередній перегляд URL-адреси, виявлення шкідливого програмного забезпечення та перевірку репутації домену.

Перевірка QR-кодів перед тим, як діяти за ними, — це найефективніша звичка, яку ви можете виробити. Якщо додаток не показує посилання перед тим, як його відкрити, знайдіть такий, що це робить.

5. Чи безпечні QR-коди? Ознаки, які не слід ігнорувати

Звертайте увагу на ці тривожні ознаки незалежно від контексту — чи скануєте ви QR-код для сторінки в соціальній мережі, мережі Wi-Fi, контакту vCard чи посилання для оплати:

Мова, що викликає страх або відчуття терміновості, пов'язана з кодом («Скануйте зараз або втратите доступ»);
Коди, що надходять у небажаних SMS, електронних листах або повідомленнях WhatsApp;
QR-коди з PDF-файлів або зображень у вкладенні від невідомих відправників;
Коди, що вимагають встановити незнайомий додаток з магазинів додатків;
Посилання на оплату, які проходять через кілька перенаправлень, перш ніж дістатися до каси;
Будь-який код, що обіцяє безкоштовний доступ до Spotify, YouTube або преміум-контенту.

6. Вже відсканували щось підозріле? Дійте негайно

Помилки трапляються — ось як обмежити збитки. Негайно відключіть Wi-Fi та мобільні дані, щоб перервати зв'язок із сервером зловмисника. Запустіть сканування за допомогою надійного мобільного додатка для безпеки. Змініть усі паролі, введені після сканування, надаючи пріоритет фінансовим та робочим обліковим записам. Перевірте історію встановлень у магазинах додатків на наявність чогось незнайомого, скасуйте невідомі дозволи та негайно зв'яжіться зі своїм банком, якщо були задіяні платіжні реквізити.

Для підприємств: як зберегти надійність ваших QR-кодів

Якщо ваша організація використовує QR-коди в маркетингових кампаніях, процесах електронної комерції, оголошеннях про нерухомість, формах для медичного обслуговування або меню ресторанів – забезпечення безпеки QR-кодів є частиною вашої відповідальності перед користувачами.

Ефективні заходи безпеки QR-кодів для підприємств включають використання стилізованих кодів із вашим логотипом та кольорами бренду (які важче переконливо підробити), чітке інформування користувачів про те, що вони мають побачити після сканування, та регулярну перевірку загальнодоступних кодів на наявність ознак втручання.

Крім того, важливе значення має безпека генератора QR-кодів. Найбільш безпечний генератор QR-кодів перевіряє URL-адресу призначення під час створення коду, блокуючи шкідливі посилання, спам та заборонений контент ще до того, як код з'явиться в мережі. Саме це робить Me-QR: кожен динамічний QR-код, згенерований за допомогою цього сервісу, автоматично перевіряється на наявність шкідливого програмного забезпечення, фішингового контенту та порушень політик, завдяки чому ані ви, ані ваші клієнти не наражаєтеся на ризики безпеки, пов'язані з QR-кодами у ваших власних матеріалах.

Будьте пильні, скануйте розумно

Небезпека використання QR-кодів не пов'язана з самою технологією — вона полягає в тому, куди веде код і чи перевіряєте ви його. Щоб убезпечити себе, не потрібно уникати QR-кодів — потрібно знати, на що звертати увагу перед скануванням.

Перевірте URL-адресу. Огляньте фізичний код. Використовуйте сканер безпеки QR-кодів, який перевіряє код за вас. Шахраї, які стоять за цими хакерськими атаками з використанням QR-кодів, розраховують на те, що ви дієте на автопілоті. І, за статистикою, вони мають рацію — 61% людей досі сканують коди, не перевіряючи, куди вони ведуть. Ця цифра і є справжньою вразливістю. Усуньте її, і ви вже зробите більше, ніж більшість.