Шахрайство з QR-кодами: як працює квішинг і як не втратити гроші

ОКОлена Кравченко · Оновлено 9 липня 2026 · 5 хв читання ·4.0(3)

Квішинг - фішинг через QR-коди: підроблені наліпки на парковках, у оголошеннях і листах ведуть на фальшиві сторінки оплати. Розбираємо схеми і правила захисту.

Зміст

Шахрайство з QR-кодами, або квішинг (quishing), - одна з найшвидше зростаючих схем обману покупців. Коротко: шахраї друкують власний QR-код і наклеюють його поверх справжнього - на парковці, зарядній станції, у кафе чи в оголошенні - або надсилають у листі «від магазину». Код веде на підроблену сторінку оплати, яка краде дані картки. Захист простий: перевіряти адресу сайту після сканування, ніколи не вводити повні дані картки за QR-кодом з фізичного носія і платити лише через застосунки банків.

Коротка відповідь

QR-код - це просто посилання, яке ви не бачите очима. Скануйте, але перед оплатою звіряйте домен у браузері символ у символ. Наліпка поверх іншої наліпки, код у несподіваному листі, вимога «терміново доплатити» - три головні маркери шахрайства.

Шахрайство з QR-кодами: як працює квішинг і як не втратити гроші

Як працює квішинг і чому він такий ефективний?

Класичний фішинг ловлять поштові фільтри: підозрілі посилання в тексті листа видно і людині, і алгоритму. QR-код цю перевірку обходить - для фільтра це просто картинка. За даними звіту Cisco Talos, частка фішингових атак із QR-кодами у корпоративній пошті зросла в рази саме тому, що сканери безпеки погано розпізнають посилання всередині зображень. Людина сканує код телефоном, відкриває сторінку на маленькому екрані, де адресний рядок обрізаний, - і вводить дані картки на сайті-клоні.

Які схеми з QR-кодами найпоширеніші?

  • Наліпка на парковці чи зарядній станції: фальшивий код поверх справжнього веде на «оплату паркування» - гроші йдуть шахраю, а ви ще й лишаєте дані картки
  • QR у оголошенні на OLX чи в месенджері: «відскануйте для отримання передоплати» - код відкриває сторінку, що імітує банк і просить ПІН чи CVV
  • Лист «від Нової пошти» або магазину: код нібито для відстеження чи доплати за посилку - класичний фішинг, про який ми писали в розборі СМС-шахрайства з посилками
  • Меню чи «акція» в кафе: код на столику веде на сторінку збору даних замість меню
  • Фальшиві QR на комунальних квитанціях у під'їздах - оплата йде на картку шахрая
Банк ніколи не просить ПІН

Жодна легальна оплата за QR-кодом не вимагає ПІН-код картки, повний номер із CVV на сторонньому сайті чи код із СМС «для скасування операції». Будь-яка з цих вимог - стовідсоткова ознака шахрайства.

Як розпізнати підроблений QR-код?

  1. Огляньте фізичний код: наліпка поверх іншої, нерівно наклеєна плівка, код що відрізняється від дизайну решти вивіски - привід не сканувати
  2. Після сканування НЕ переходьте одразу: телефон показує посилання - прочитайте домен повністю, звертайте увагу на зайві символи (novaposhta-pay.com замість novaposhta.ua)
  3. Перевірте протокол: сторінка оплати без https - закривайте одразу
  4. Звірте суму і одержувача на сторінці оплати з тим, що очікуєте
  5. Якщо є офіційний застосунок сервісу - платіть через нього, а не через QR

Корисна звичка: сприймати кожен QR-код як незнайоме посилання з інтернету. Ви ж не вводите дані картки на випадковому сайті з листа - до кодів ставтесь так само. Загальні маркери підроблених сайтів ми зібрали у гіді як перевірити сайт на шахрайство.

Що робити, якщо вже заплатили за фальшивим QR-кодом?

  1. Негайно заблокуйте картку в застосунку банку і передзаміть її
  2. Зателефонуйте в банк і опишіть операцію - за свіжою транзакцією можливе оскарження через chargeback
  3. Змініть паролі, якщо вводили їх на фальшивій сторінці
  4. Подайте заяву в кіберполіцію через сайт cyberpolice.gov.ua - процедуру ми розписали у статті як подати заяву в кіберполіцію
  5. Збережіть скриншоти сторінки, чек і сам QR-код (сфотографуйте) як докази
Віртуальна картка для оплат

Оплачуйте QR-платежі окремою віртуальною карткою з мінімальним балансом - навіть якщо дані витечуть, шахрай отримає доступ лише до кількох сотень гривень. Як створити таку картку за 2 хвилини - у нашій [[virtualna-kartka-yak-stvoryty:покроковій інструкції]].

Сім звичок безпечного сканування

  • Скануйте штатною камерою телефона, а не сторонніми «QR-сканерами» з реклами
  • Завжди читайте домен перед введенням будь-яких даних
  • Не вводьте повні дані картки на сторінках із QR на фізичних носіях
  • Оплату парковок, комуналки й сервісів робіть через офіційні застосунки
  • Оновлюйте банківські застосунки і вмикайте двофакторну автентифікацію
  • Ігноруйте QR-коди з листів про «виграш», «компенсацію» чи «доплату за посилку»
  • Сумніваєтесь - не скануйте: справжній сервіс завжди має альтернативний спосіб оплати

Головне за 30 секунд

QR-код безпечний рівно настільки, наскільки безпечне посилання під ним. Фізичні наліпки може підмінити будь-хто, тому доменне ім'я після сканування - ваша єдина точка контролю. Платіть через офіційні застосунки, тримайте окрему віртуальну картку для разових оплат, а в разі втрати грошей дійте швидко: блокування картки, дзвінок у банк, заява в кіберполіцію.

  • Оглянути фізичний код на наліпку поверх іншої наліпки
  • Після сканування прочитати повний домен перед переходом
  • Перевірити протокол https на сторінці оплати
  • Ніколи не вводити ПІН чи CVV за QR з фізичного носія
  • Платити через офіційні застосунки, а не за QR
  • Оплачувати окремою віртуальною карткою з лімітом
  • Сумніваєшся - не скануй, шукай альтернативний спосіб оплати

Відмічайте виконані пункти - прогрес зберігається у браузері.

Часті запитання

Що таке квішинг?

Квішинг (quishing) - фішинг через QR-коди: шахрай розміщує код, який веде на підроблену сторінку оплати чи збору даних. Назва походить від QR + phishing.

Чи може QR-код сам заразити телефон вірусом?

Сам код - ні, це лише посилання. Небезпека виникає, якщо за посиланням ви завантажите файл або введете дані на фальшивій сторінці. Сучасні телефони при скануванні спершу показують адресу - читайте її.

Як перевірити QR-код перед оплатою?

Після сканування прочитайте повний домен у попередженні телефона чи адресному рядку браузера. Звіряйте з офіційним сайтом сервісу символ у символ, звертайте увагу на дефіси і зайві слова в домені.

Чи безпечно платити за QR-кодом у ресторані?

Здебільшого так, якщо код веде на відомий сервіс оплати і домен коректний. Але наліпку на столику може підмінити будь-хто, тому правило те саме: перевіряйте адресу перед введенням даних.

Що робити, якщо відсканував шахрайський QR-код?

Якщо лише відкрили сторінку і нічого не вводили - просто закрийте її, загрози немає. Якщо ввели дані картки - негайно блокуйте картку, телефонуйте в банк щодо chargeback і подавайте заяву в кіберполіцію.

Чи повертає банк гроші, вкрадені через QR-шахрайство?

Якщо ви самостійно підтвердили платіж, банк не зобов'язаний компенсувати, але свіжу транзакцію інколи вдається оскаржити через chargeback. Що швидше звернетесь - то вищі шанси.

Джерела

  1. Кіберполіція України: як повідомити про шахрайство
  2. Cisco Talos: дослідження QR-фішингу в email-атаках
  3. НБУ: рекомендації щодо безпеки платежів

ОК
Автор
Олена Кравченко
Редакторка напрямку «Споживчі гайди»

10 років пише про електронну комерцію та захист прав споживачів. Тестувала десятки маркетплейсів і служб доставки, консультувала редакції з питань безпечних онлайн-покупок.

Усі статті автора

Читайте також