
Невидимая угроза за QR-кодом: как защититься от атак Quishing?
С развитием цифровых технологий наша жизнь становится все более удобной. Сегодня достаточно отсканировать QR-код, чтобы открыть меню ресторана, оплатить парковку, получить информацию о товаре, скачать мобильное приложение или совершить электронный платеж. За несколько секунд открывается нужная страница, и дело сделано.
Однако именно этой удобством пользуются киберпреступники в своих интересах. В последние годы резко возросло количество мошенничеств с использованием QR-кодов. Специалисты по кибербезопасности называют этот тип атак Quishing (QR + Phishing).
Что такое Quishing?
Quishing — это фишинговая атака, при которой с помощью QR-кода пользователь направляется на поддельный веб-сайт с целью получения его личной или финансовой информации.
В обычных фишинговых письмах вредоносная ссылка представлена в виде текста, и пользователь может хотя бы визуально ее оценить. В QR-коде ссылка невидима невооруженным глазом. Она открывается только после сканирования с помощью камеры телефона или QR-сканера. Поэтому многие пользователи доверяют QR-кодам, не проверяя, является ли ссылка подлинной или поддельной.
Именно это доверие становится главным преимуществом мошенников.
Почему атаки через QR-коды становятся все более распространенными?
Сегодня практически каждый человек в течение дня несколько раз использует QR-коды. Меню ресторанов, терминалы парковок, рекламные баннеры, государственные услуги, банковские приложения и электронные платежные системы широко используют QR-коды.
В результате у пользователей сформировалось ошибочное представление, что «QR-код — это безопасно». Киберпреступники используют именно этот психологический фактор.
Согласно анализу, в течение 2025 года по всему миру были обнаружены миллионы вредоносных фишинговых атак с использованием QR-кодов. В некоторых отчетах отмечается, что количество таких атак увеличилось в пять раз за несколько месяцев. Это указывает на то, что Quishing становится одной из самых быстрорастущих киберугроз сегодня.
Как действуют мошенники?
Атака Quishing обычно осуществляется в несколько этапов.
Сначала злоумышленник создает поддельный веб-сайт, очень похожий на официальный сайт известной компании, банка или государственной организации. Затем он генерирует QR-код, ведущий на этот сайт.
После этого вредоносный QR-код доставляется пользователям различными способами. Например:
- по электронной почте;
- в PDF или Word-документах;
- через Telegram и другие мессенджеры;
- на рекламных баннерах;
- в меню ресторанов;
- на терминалах парковок;
- в торговых центрах;
- в письмах, отправленных по почте.
Когда пользователь сканирует QR-код, браузер телефона автоматически открывает поддельный сайт. Сайт запрашивает у пользователя логин и пароль, данные банковской карты или другую конфиденциальную информацию.
В некоторых случаях пользователю предлагается загрузить вредоносное мобильное приложение под видом «обновления», «платежного приложения» или «программы безопасности».
Почему такие атаки трудно обнаружить?
Многие почтовые сервисы могут обнаруживать вредоносные ссылки. Однако, поскольку QR-код отправляется в виде обычного изображения, системы безопасности не всегда могут определить, какая ссылка скрыта внутри него.
Кроме того, когда пользователь сканирует QR-код со своего личного телефона, системы безопасности предприятия или организации также обходятся. В результате злоумышленник атакует не защищенный компьютер, а неконтролируемое мобильное устройство.
Примеры из реальной жизни
Представьте, что вы припарковали автомобиль на платной парковке. Для оплаты вы сканируете QR-код на терминале. Открывается страница, и вы вводите данные своей банковской карты.
Через несколько минут вы обнаруживаете, что с вашей карты были списаны неизвестные суммы.
Позже выясняется, что мошенники наклеили поверх оригинального QR-кода на терминале свою собственную наклейку.
Или вы сканируете QR-код, чтобы открыть меню в ресторане. Вместо меню открывается страница «получить скидку» или «подтвердить платеж». У вас запрашивают реквизиты банковской карты.
По электронной почте приходят письма с QR-кодами на такие темы, как «Ваш аккаунт Microsoft будет заблокирован», «Новая информация по зарплате», «Призовые деньги», «Счет требует подтверждения». Пользователь сканирует код, попадает на поддельный сайт, похожий на страницу Microsoft или Google, и после ввода логина и пароля его аккаунт переходит в руки мошенников.
Что пытаются получить мошенники?
С помощью атак Quishing могут быть похищены следующие данные:
- учетные записи электронной почты;
- аккаунты Microsoft 365 или Google;
- реквизиты банковских карт;
- данные интернет-банкинга;
- личные идентификационные данные;
- учетные данные для доступа к VPN и корпоративным системам;
- контакты, SMS и другие личные данные на мобильном устройстве.
Такая информация впоследствии может быть использована для финансового мошенничества, подделки личности, проникновения в корпоративные сети или вымогательства.
Как определить подделку QR-кода?
Прежде чем сканировать любой QR-код, обратите внимание на его расположение.
Если QR-код выглядит как наклейка или его дизайн отличается от окружающих элементов, не используйте его.
После сканирования QR-кода экран телефона покажет интернет-адрес, на который ведет ссылка. В этот момент внимательно проверьте доменное имя. Если в нем заменена одна буква или присутствуют необычные символы, не открывайте страницу.
Если сайт без видимой причины запрашивает логин, пароль, банковскую карту или личные данные, это может быть признаком мошенничества.
Как защитить себя?
Прежде всего, не сканируйте QR-коды из неизвестных источников. С осторожностью относитесь к QR-кодам, полученным по электронной почте или через мессенджеры.
Перед использованием QR-кодов в общественных местах убедитесь, что они не повреждены и не подменены.
По возможности используйте официальные мобильные приложения ресторанов, банков или парковочных служб вместо QR-кодов.
Регулярно обновляйте операционную систему телефона и приложения, включите двухфакторную аутентификацию и используйте надежные мобильные антивирусные программы.
Самое главное — никогда не торопитесь вводить логин, пароль или данные банковской карты на странице, открытой через QR-код. Потратьте несколько секунд на проверку интернет-адреса — это может спасти вас от серьезных финансовых потерь и утраты личных данных.
Заключение
Хотя QR-коды стали неотъемлемой частью современной жизни, это не означает, что они абсолютно безопасны. Сегодня киберпреступники активно используют QR-коды для злоупотребления доверием пользователей, кражи данных банковских карт, захвата аккаунтов и установки вредоносных программ на мобильные устройства.
Помните: опасность представляет не сам QR-код, а адрес, на который он ведет. Проверка интернет-адреса при каждом сканировании QR-кода, отказ от ввода личных данных на подозрительных страницах и использование только надежных источников — вот наиболее эффективные меры, которые защитят вас от атак Quishing.



