Шахрайство з QR-кодами: як працює квішинг і як не втратити гроші
Квішинг - фішинг через QR-коди: підроблені наліпки на парковках, у оголошеннях і листах ведуть на фальшиві сторінки оплати. Розбираємо схеми і правила захисту.
Зміст
Шахрайство з QR-кодами, або квішинг (quishing), - одна з найшвидше зростаючих схем обману покупців. Коротко: шахраї друкують власний QR-код і наклеюють його поверх справжнього - на парковці, зарядній станції, у кафе чи в оголошенні - або надсилають у листі «від магазину». Код веде на підроблену сторінку оплати, яка краде дані картки. Захист простий: перевіряти адресу сайту після сканування, ніколи не вводити повні дані картки за QR-кодом з фізичного носія і платити лише через застосунки банків.
QR-код - це просто посилання, яке ви не бачите очима. Скануйте, але перед оплатою звіряйте домен у браузері символ у символ. Наліпка поверх іншої наліпки, код у несподіваному листі, вимога «терміново доплатити» - три головні маркери шахрайства.

Як працює квішинг і чому він такий ефективний?
Класичний фішинг ловлять поштові фільтри: підозрілі посилання в тексті листа видно і людині, і алгоритму. QR-код цю перевірку обходить - для фільтра це просто картинка. За даними звіту Cisco Talos, частка фішингових атак із QR-кодами у корпоративній пошті зросла в рази саме тому, що сканери безпеки погано розпізнають посилання всередині зображень. Людина сканує код телефоном, відкриває сторінку на маленькому екрані, де адресний рядок обрізаний, - і вводить дані картки на сайті-клоні.
Які схеми з QR-кодами найпоширеніші?
- Наліпка на парковці чи зарядній станції: фальшивий код поверх справжнього веде на «оплату паркування» - гроші йдуть шахраю, а ви ще й лишаєте дані картки
- QR у оголошенні на OLX чи в месенджері: «відскануйте для отримання передоплати» - код відкриває сторінку, що імітує банк і просить ПІН чи CVV
- Лист «від Нової пошти» або магазину: код нібито для відстеження чи доплати за посилку - класичний фішинг, про який ми писали в розборі СМС-шахрайства з посилками
- Меню чи «акція» в кафе: код на столику веде на сторінку збору даних замість меню
- Фальшиві QR на комунальних квитанціях у під'їздах - оплата йде на картку шахрая
Жодна легальна оплата за QR-кодом не вимагає ПІН-код картки, повний номер із CVV на сторонньому сайті чи код із СМС «для скасування операції». Будь-яка з цих вимог - стовідсоткова ознака шахрайства.
Як розпізнати підроблений QR-код?
- Огляньте фізичний код: наліпка поверх іншої, нерівно наклеєна плівка, код що відрізняється від дизайну решти вивіски - привід не сканувати
- Після сканування НЕ переходьте одразу: телефон показує посилання - прочитайте домен повністю, звертайте увагу на зайві символи (novaposhta-pay.com замість novaposhta.ua)
- Перевірте протокол: сторінка оплати без https - закривайте одразу
- Звірте суму і одержувача на сторінці оплати з тим, що очікуєте
- Якщо є офіційний застосунок сервісу - платіть через нього, а не через QR
Корисна звичка: сприймати кожен QR-код як незнайоме посилання з інтернету. Ви ж не вводите дані картки на випадковому сайті з листа - до кодів ставтесь так само. Загальні маркери підроблених сайтів ми зібрали у гіді як перевірити сайт на шахрайство.
Що робити, якщо вже заплатили за фальшивим QR-кодом?
- Негайно заблокуйте картку в застосунку банку і передзаміть її
- Зателефонуйте в банк і опишіть операцію - за свіжою транзакцією можливе оскарження через chargeback
- Змініть паролі, якщо вводили їх на фальшивій сторінці
- Подайте заяву в кіберполіцію через сайт cyberpolice.gov.ua - процедуру ми розписали у статті як подати заяву в кіберполіцію
- Збережіть скриншоти сторінки, чек і сам QR-код (сфотографуйте) як докази
Оплачуйте QR-платежі окремою віртуальною карткою з мінімальним балансом - навіть якщо дані витечуть, шахрай отримає доступ лише до кількох сотень гривень. Як створити таку картку за 2 хвилини - у нашій [[virtualna-kartka-yak-stvoryty:покроковій інструкції]].
Сім звичок безпечного сканування
- Скануйте штатною камерою телефона, а не сторонніми «QR-сканерами» з реклами
- Завжди читайте домен перед введенням будь-яких даних
- Не вводьте повні дані картки на сторінках із QR на фізичних носіях
- Оплату парковок, комуналки й сервісів робіть через офіційні застосунки
- Оновлюйте банківські застосунки і вмикайте двофакторну автентифікацію
- Ігноруйте QR-коди з листів про «виграш», «компенсацію» чи «доплату за посилку»
- Сумніваєтесь - не скануйте: справжній сервіс завжди має альтернативний спосіб оплати
Головне за 30 секунд
QR-код безпечний рівно настільки, наскільки безпечне посилання під ним. Фізичні наліпки може підмінити будь-хто, тому доменне ім'я після сканування - ваша єдина точка контролю. Платіть через офіційні застосунки, тримайте окрему віртуальну картку для разових оплат, а в разі втрати грошей дійте швидко: блокування картки, дзвінок у банк, заява в кіберполіцію.
- Оглянути фізичний код на наліпку поверх іншої наліпки
- Після сканування прочитати повний домен перед переходом
- Перевірити протокол https на сторінці оплати
- Ніколи не вводити ПІН чи CVV за QR з фізичного носія
- Платити через офіційні застосунки, а не за QR
- Оплачувати окремою віртуальною карткою з лімітом
- Сумніваєшся - не скануй, шукай альтернативний спосіб оплати
Відмічайте виконані пункти - прогрес зберігається у браузері.
Часті запитання
Що таке квішинг?
Квішинг (quishing) - фішинг через QR-коди: шахрай розміщує код, який веде на підроблену сторінку оплати чи збору даних. Назва походить від QR + phishing.
Чи може QR-код сам заразити телефон вірусом?
Сам код - ні, це лише посилання. Небезпека виникає, якщо за посиланням ви завантажите файл або введете дані на фальшивій сторінці. Сучасні телефони при скануванні спершу показують адресу - читайте її.
Як перевірити QR-код перед оплатою?
Після сканування прочитайте повний домен у попередженні телефона чи адресному рядку браузера. Звіряйте з офіційним сайтом сервісу символ у символ, звертайте увагу на дефіси і зайві слова в домені.
Чи безпечно платити за QR-кодом у ресторані?
Здебільшого так, якщо код веде на відомий сервіс оплати і домен коректний. Але наліпку на столику може підмінити будь-хто, тому правило те саме: перевіряйте адресу перед введенням даних.
Що робити, якщо відсканував шахрайський QR-код?
Якщо лише відкрили сторінку і нічого не вводили - просто закрийте її, загрози немає. Якщо ввели дані картки - негайно блокуйте картку, телефонуйте в банк щодо chargeback і подавайте заяву в кіберполіцію.
Чи повертає банк гроші, вкрадені через QR-шахрайство?
Якщо ви самостійно підтвердили платіж, банк не зобов'язаний компенсувати, але свіжу транзакцію інколи вдається оскаржити через chargeback. Що швидше звернетесь - то вищі шанси.
Джерела
- Кіберполіція України: як повідомити про шахрайство
- Cisco Talos: дослідження QR-фішингу в email-атаках
- НБУ: рекомендації щодо безпеки платежів


