Мошенничество с QR-кодами: как работает квишинг и как не потерять деньги
Квишинг - фишинг через QR-коды: поддельные наклейки на парковках, в объявлениях и письмах ведут на фальшивые страницы оплаты. Разбираем схемы и правила защиты.
Содержание
Мошенничество с QR-кодами, или квишинг (quishing), - одна из самых быстрорастущих схем обмана покупателей. Коротко: мошенники печатают собственный QR-код и наклеивают его поверх настоящего - на парковке, зарядной станции, в кафе или в объявлении - либо присылают в письме «от магазина». Код ведёт на поддельную страницу оплаты, которая крадёт данные карты. Защита проста: проверять адрес сайта после сканирования, никогда не вводить полные данные карты по QR-коду с физического носителя и платить только через приложения банков.
QR-код - это просто ссылка, которую вы не видите глазами. Сканируйте, но перед оплатой сверяйте домен в браузере символ в символ. Наклейка поверх другой наклейки, код в неожиданном письме, требование «срочно доплатить» - три главных маркера мошенничества.

Как работает квишинг и почему он так эффективен?
Классический фишинг ловят почтовые фильтры: подозрительные ссылки в тексте письма видны и человеку, и алгоритму. QR-код эту проверку обходит - для фильтра это просто картинка. По данным отчёта Cisco Talos, доля фишинговых атак с QR-кодами в корпоративной почте выросла в разы именно потому, что сканеры безопасности плохо распознают ссылки внутри изображений. Человек сканирует код телефоном, открывает страницу на маленьком экране, где адресная строка обрезана, - и вводит данные карты на сайте-клоне.
Какие схемы с QR-кодами самые распространённые?
- Наклейка на парковке или зарядной станции: фальшивый код поверх настоящего ведёт на «оплату парковки» - деньги уходят мошеннику, а вы ещё и оставляете данные карты
- QR в объявлении на OLX или в мессенджере: «отсканируйте для получения предоплаты» - код открывает страницу, имитирующую банк и запрашивающую ПИН или CVV
- Письмо «от Новой почты» или магазина: код якобы для отслеживания или доплаты за посылку - классический фишинг, о котором мы писали в разборе СМС-мошенничества с посылками
- Меню или «акция» в кафе: код на столике ведёт на страницу сбора данных вместо меню
- Фальшивые QR на коммунальных квитанциях в подъездах - оплата уходит на карту мошенника
Ни одна легальная оплата по QR-коду не требует ПИН-код карты, полный номер с CVV на стороннем сайте или код из СМС «для отмены операции». Любое из этих требований - стопроцентный признак мошенничества.
Как распознать поддельный QR-код?
- Осмотрите физический код: наклейка поверх другой, неровно наклеенная плёнка, код, отличающийся от дизайна остальной вывески, - повод не сканировать
- После сканирования НЕ переходите сразу: телефон показывает ссылку - прочитайте домен полностью, обращайте внимание на лишние символы (novaposhta-pay.com вместо novaposhta.ua)
- Проверьте протокол: страница оплаты без https - закрывайте сразу
- Сверьте сумму и получателя на странице оплаты с тем, что ожидаете
- Если есть официальное приложение сервиса - платите через него, а не через QR
Полезная привычка: воспринимать каждый QR-код как незнакомую ссылку из интернета. Вы же не вводите данные карты на случайном сайте из письма - к кодам относитесь так же. Общие маркеры поддельных сайтов мы собрали в гиде как проверить сайт на мошенничество.
Что делать, если уже заплатили по фальшивому QR-коду?
- Немедленно заблокируйте карту в приложении банка и перевыпустите её
- Позвоните в банк и опишите операцию - по свежей транзакции возможно оспаривание через chargeback
- Смените пароли, если вводили их на фальшивой странице
- Подайте заявление в киберполицию через сайт cyberpolice.gov.ua - процедуру мы расписали в статье как подать заявление в киберполицию
- Сохраните скриншоты страницы, чек и сам QR-код (сфотографируйте) как доказательства
Оплачивайте QR-платежи отдельной виртуальной картой с минимальным балансом - даже если данные утекут, мошенник получит доступ лишь к нескольким сотням гривен. Как создать такую карту за 2 минуты - в нашей [[virtualna-kartka-yak-stvoryty:пошаговой инструкции]].
Семь привычек безопасного сканирования
- Сканируйте штатной камерой телефона, а не сторонними «QR-сканерами» из рекламы
- Всегда читайте домен перед вводом любых данных
- Не вводите полные данные карты на страницах с QR на физических носителях
- Оплату парковок, коммуналки и сервисов делайте через официальные приложения
- Обновляйте банковские приложения и включайте двухфакторную аутентификацию
- Игнорируйте QR-коды из писем о «выигрыше», «компенсации» или «доплате за посылку»
- Сомневаетесь - не сканируйте: настоящий сервис всегда имеет альтернативный способ оплаты
Главное за 30 секунд
QR-код безопасен ровно настолько, насколько безопасна ссылка под ним. Физические наклейки может подменить кто угодно, поэтому доменное имя после сканирования - ваша единственная точка контроля. Платите через официальные приложения, держите отдельную виртуальную карту для разовых оплат, а при потере денег действуйте быстро: блокировка карты, звонок в банк, заявление в киберполицию.
- Осмотреть физический код на наклейку поверх другой наклейки
- После сканирования прочитать полный домен перед переходом
- Проверить протокол https на странице оплаты
- Никогда не вводить ПИН или CVV по QR с физического носителя
- Платить через официальные приложения, а не по QR
- Оплачивать отдельной виртуальной картой с лимитом
- Сомневаешься - не сканируй, ищи альтернативный способ оплаты
Отмечайте выполненные пункты - прогресс сохраняется в браузере.
Частые вопросы
Что такое квишинг?
Квишинг (quishing) - фишинг через QR-коды: мошенник размещает код, ведущий на поддельную страницу оплаты или сбора данных. Название происходит от QR + phishing.
Может ли QR-код сам заразить телефон вирусом?
Сам код - нет, это лишь ссылка. Опасность возникает, если по ссылке вы скачаете файл или введёте данные на фальшивой странице. Современные телефоны при сканировании сначала показывают адрес - читайте его.
Как проверить QR-код перед оплатой?
После сканирования прочитайте полный домен в предупреждении телефона или адресной строке браузера. Сверяйте с официальным сайтом сервиса символ в символ, обращайте внимание на дефисы и лишние слова в домене.
Безопасно ли платить по QR-коду в ресторане?
В основном да, если код ведёт на известный сервис оплаты и домен корректный. Но наклейку на столике может подменить кто угодно, поэтому правило то же: проверяйте адрес перед вводом данных.
Что делать, если отсканировал мошеннический QR-код?
Если только открыли страницу и ничего не вводили - просто закройте её, угрозы нет. Если ввели данные карты - немедленно блокируйте карту, звоните в банк насчёт chargeback и подавайте заявление в киберполицию.
Возвращает ли банк деньги, украденные через QR-мошенничество?
Если вы самостоятельно подтвердили платёж, банк не обязан компенсировать, но свежую транзакцию иногда удаётся оспорить через chargeback. Чем быстрее обратитесь - тем выше шансы.
Источники
- Киберполиция Украины: как сообщить о мошенничестве
- Cisco Talos: исследование QR-фишинга в email-атаках
- НБУ: рекомендации по безопасности платежей


