Мошенничество с QR-кодами: как работает квишинг и как не потерять деньги

ОКОлена Кравченко · Обновлено 9 июля 2026 · 5 мин чтения ·4.5(2)

Квишинг - фишинг через QR-коды: поддельные наклейки на парковках, в объявлениях и письмах ведут на фальшивые страницы оплаты. Разбираем схемы и правила защиты.

Содержание

Мошенничество с QR-кодами, или квишинг (quishing), - одна из самых быстрорастущих схем обмана покупателей. Коротко: мошенники печатают собственный QR-код и наклеивают его поверх настоящего - на парковке, зарядной станции, в кафе или в объявлении - либо присылают в письме «от магазина». Код ведёт на поддельную страницу оплаты, которая крадёт данные карты. Защита проста: проверять адрес сайта после сканирования, никогда не вводить полные данные карты по QR-коду с физического носителя и платить только через приложения банков.

Короткий ответ

QR-код - это просто ссылка, которую вы не видите глазами. Сканируйте, но перед оплатой сверяйте домен в браузере символ в символ. Наклейка поверх другой наклейки, код в неожиданном письме, требование «срочно доплатить» - три главных маркера мошенничества.

Мошенничество с QR-кодами: как работает квишинг и как не потерять деньги

Как работает квишинг и почему он так эффективен?

Классический фишинг ловят почтовые фильтры: подозрительные ссылки в тексте письма видны и человеку, и алгоритму. QR-код эту проверку обходит - для фильтра это просто картинка. По данным отчёта Cisco Talos, доля фишинговых атак с QR-кодами в корпоративной почте выросла в разы именно потому, что сканеры безопасности плохо распознают ссылки внутри изображений. Человек сканирует код телефоном, открывает страницу на маленьком экране, где адресная строка обрезана, - и вводит данные карты на сайте-клоне.

Какие схемы с QR-кодами самые распространённые?

  • Наклейка на парковке или зарядной станции: фальшивый код поверх настоящего ведёт на «оплату парковки» - деньги уходят мошеннику, а вы ещё и оставляете данные карты
  • QR в объявлении на OLX или в мессенджере: «отсканируйте для получения предоплаты» - код открывает страницу, имитирующую банк и запрашивающую ПИН или CVV
  • Письмо «от Новой почты» или магазина: код якобы для отслеживания или доплаты за посылку - классический фишинг, о котором мы писали в разборе СМС-мошенничества с посылками
  • Меню или «акция» в кафе: код на столике ведёт на страницу сбора данных вместо меню
  • Фальшивые QR на коммунальных квитанциях в подъездах - оплата уходит на карту мошенника
Банк никогда не просит ПИН

Ни одна легальная оплата по QR-коду не требует ПИН-код карты, полный номер с CVV на стороннем сайте или код из СМС «для отмены операции». Любое из этих требований - стопроцентный признак мошенничества.

Как распознать поддельный QR-код?

  1. Осмотрите физический код: наклейка поверх другой, неровно наклеенная плёнка, код, отличающийся от дизайна остальной вывески, - повод не сканировать
  2. После сканирования НЕ переходите сразу: телефон показывает ссылку - прочитайте домен полностью, обращайте внимание на лишние символы (novaposhta-pay.com вместо novaposhta.ua)
  3. Проверьте протокол: страница оплаты без https - закрывайте сразу
  4. Сверьте сумму и получателя на странице оплаты с тем, что ожидаете
  5. Если есть официальное приложение сервиса - платите через него, а не через QR

Полезная привычка: воспринимать каждый QR-код как незнакомую ссылку из интернета. Вы же не вводите данные карты на случайном сайте из письма - к кодам относитесь так же. Общие маркеры поддельных сайтов мы собрали в гиде как проверить сайт на мошенничество.

Что делать, если уже заплатили по фальшивому QR-коду?

  1. Немедленно заблокируйте карту в приложении банка и перевыпустите её
  2. Позвоните в банк и опишите операцию - по свежей транзакции возможно оспаривание через chargeback
  3. Смените пароли, если вводили их на фальшивой странице
  4. Подайте заявление в киберполицию через сайт cyberpolice.gov.ua - процедуру мы расписали в статье как подать заявление в киберполицию
  5. Сохраните скриншоты страницы, чек и сам QR-код (сфотографируйте) как доказательства
Виртуальная карта для оплат

Оплачивайте QR-платежи отдельной виртуальной картой с минимальным балансом - даже если данные утекут, мошенник получит доступ лишь к нескольким сотням гривен. Как создать такую карту за 2 минуты - в нашей [[virtualna-kartka-yak-stvoryty:пошаговой инструкции]].

Семь привычек безопасного сканирования

  • Сканируйте штатной камерой телефона, а не сторонними «QR-сканерами» из рекламы
  • Всегда читайте домен перед вводом любых данных
  • Не вводите полные данные карты на страницах с QR на физических носителях
  • Оплату парковок, коммуналки и сервисов делайте через официальные приложения
  • Обновляйте банковские приложения и включайте двухфакторную аутентификацию
  • Игнорируйте QR-коды из писем о «выигрыше», «компенсации» или «доплате за посылку»
  • Сомневаетесь - не сканируйте: настоящий сервис всегда имеет альтернативный способ оплаты

Главное за 30 секунд

QR-код безопасен ровно настолько, насколько безопасна ссылка под ним. Физические наклейки может подменить кто угодно, поэтому доменное имя после сканирования - ваша единственная точка контроля. Платите через официальные приложения, держите отдельную виртуальную карту для разовых оплат, а при потере денег действуйте быстро: блокировка карты, звонок в банк, заявление в киберполицию.

  • Осмотреть физический код на наклейку поверх другой наклейки
  • После сканирования прочитать полный домен перед переходом
  • Проверить протокол https на странице оплаты
  • Никогда не вводить ПИН или CVV по QR с физического носителя
  • Платить через официальные приложения, а не по QR
  • Оплачивать отдельной виртуальной картой с лимитом
  • Сомневаешься - не сканируй, ищи альтернативный способ оплаты

Отмечайте выполненные пункты - прогресс сохраняется в браузере.

Частые вопросы

Что такое квишинг?

Квишинг (quishing) - фишинг через QR-коды: мошенник размещает код, ведущий на поддельную страницу оплаты или сбора данных. Название происходит от QR + phishing.

Может ли QR-код сам заразить телефон вирусом?

Сам код - нет, это лишь ссылка. Опасность возникает, если по ссылке вы скачаете файл или введёте данные на фальшивой странице. Современные телефоны при сканировании сначала показывают адрес - читайте его.

Как проверить QR-код перед оплатой?

После сканирования прочитайте полный домен в предупреждении телефона или адресной строке браузера. Сверяйте с официальным сайтом сервиса символ в символ, обращайте внимание на дефисы и лишние слова в домене.

Безопасно ли платить по QR-коду в ресторане?

В основном да, если код ведёт на известный сервис оплаты и домен корректный. Но наклейку на столике может подменить кто угодно, поэтому правило то же: проверяйте адрес перед вводом данных.

Что делать, если отсканировал мошеннический QR-код?

Если только открыли страницу и ничего не вводили - просто закройте её, угрозы нет. Если ввели данные карты - немедленно блокируйте карту, звоните в банк насчёт chargeback и подавайте заявление в киберполицию.

Возвращает ли банк деньги, украденные через QR-мошенничество?

Если вы самостоятельно подтвердили платёж, банк не обязан компенсировать, но свежую транзакцию иногда удаётся оспорить через chargeback. Чем быстрее обратитесь - тем выше шансы.

Источники

  1. Киберполиция Украины: как сообщить о мошенничестве
  2. Cisco Talos: исследование QR-фишинга в email-атаках
  3. НБУ: рекомендации по безопасности платежей

ОК
Автор
Олена Кравченко
Редакторка напрямку «Споживчі гайди»
Все статьи автора

Читайте также