Мошенничество с QR-кодами (квишинг): угроза, скрытая на виду
Мошенничество с QR-кодами, так называемый квишинг, стремительно растёт в 2026 году. Узнайте, как поддельные QR-коды крадут деньги и данные, где мошенники их размещают и как безопасно сканировать перед нажатием.
· Truvizy Research Team · 8 min read
TL;DR
Квишинг, это фишинг через QR-код: мошенники заменяют легитимные QR-коды на меню ресторанов, парковочных счётчиках, этикетках посылок и публичных плакатах на коды, перенаправляющие на сайты кражи учётных данных. Поскольку камера телефона показывает лишь крошечный URL до открытия, большинство людей не замечают подмены. Всегда проверяйте URL назначения перед открытием любой ссылки QR-кода, используйте сканер QR со встроенными проверками безопасности и при сомнениях вводите официальный веб-адрес вручную.
Вы въезжаете на парковку, сканируете QR-код на платёжном терминале и вводите данные кредитной карты для оплаты места. Транзакция, кажется, прошла. Тем же вечером банк звонит по поводу трёх мошеннических списаний из-за рубежа. Вы никому не передавали карту. Вы не нажимали на подозрительные письма. Всё, что вы сделали, просто отсканировали QR-код. И этого оказалось достаточно. Добро пожаловать в мир квишинга: самого быстро распространяющегося вида мошенничества, о котором большинство людей никогда не слышали.
QR-коды создавались для удобства, сканировал и пошёл. Но тот же бесшовный опыт, который привлекает бизнес, делает их опасными в руках мошенников. В отличие от подозрительной ссылки в письме, над которой можно навести курсор для предварительного просмотра, QR-код не раскрывает ничего до того, как вы уже направили на него камеру. К тому моменту, когда вы видите URL назначения, многие жертвы уже нажали «открыть». Именно этот промежуток в доли секунды и эксплуатирует квишинг.
Что такое квишинг?
Квишинг, портмантó из «QR» и «фишинг», это практика встраивания вредоносных URL в QR-коды для перенаправления жертв на мошеннические сайты. Мошенничество может принимать несколько форм: физическая замена легитимного кода поддельной наклейкой в общественных местах, рассылка QR-кодов по электронной почте или SMS, обходящих традиционные спам-фильтры, или создание поддельных документов (счетов, квитанций о нарушении, уведомлений о посылках) с prominently featuring fraudulent codes.
Центр жалоб на интернет-преступления ФБР обозначил квишинг как приоритетную возникающую угрозу в 2024 году, и с тех пор цифры только ухудшились. Компании по кибербезопасности задокументировали рост фишинговых атак на основе QR-кодов на 587% между 2024 и 2025 годами. Техника стала популярной среди организованных мошеннических группировок, поскольку дёшева в исполнении, сложна для масштабного обнаружения и специально разработана для обхода инструментов безопасности электронной почты, которые не могут читать URL, встроенные в изображения.
Квишинг является частью более широкого сдвига в тактиках мошенничества в сторону мобильных атак. Как мы задокументировали в нашем анализе о том, как ИИ ускоряет изощрённость мошенничества, мошенники специально нацеливаются на инструменты и привычки, которые люди приобрели в эпоху смартфонов, а QR-коды являются одной из наиболее широко усвоенных мобильных привычек за последние пять лет.
Как работает мошенничество с QR-кодами
Механика атаки квишинга обманчиво проста. Злоумышленник генерирует QR-код, кодирующий вредоносный URL, как правило, клонированную версию банковской страницы входа, платёжного портала или государственного сервиса. Поддельная страница разработана так, чтобы выглядеть идентично легитимной, захватывая любые учётные данные или платёжную информацию, которую вводит жертва.
В физических атаках мошенник печатает мошеннический код на наклейке и помещает её поверх легитимного кода на парковочном счётчике, столике ресторана или публичной доске объявлений. Подмена занимает секунды. Злоумышленник может затем покинуть территорию и собирать украденные данные удалённо. Одна хорошо размещённая наклейка на оживлённом парковочном счётчике может ежедневно захватывать десятки жертв.

Квишинг по электронной почте следует другому сценарию. Злоумышленники рассылают сообщения, имперсонируя банки, отделы кадров или курьерские службы, заявляя, что получателю нужно подтвердить аккаунт или отследить доставку, и включая QR-код для «сканирования телефоном для дополнительной безопасности». Эта инструкция намеренна: перемещение взаимодействия на мобильное устройство уводит жертву от корпоративного компьютера с его инструментами безопасности на личный телефон с меньшим количеством защит.
Оказавшись на поддельной странице, жертва сталкивается с отполированной формой для сбора учётных данных. Более продвинутые атаки используют техники ретрансляции в реальном времени: по мере того как жертва вводит имя пользователя и пароль, злоумышленник одновременно вводит эти данные на реальном сайте, затем ретранслируя запрос двухфакторной аутентификации обратно жертве, полностью обходя защиты 2FA.
Не уверены в ссылке из QR-кода? Вставьте URL в Truvizy, чтобы проверить признаки фишинга перед вводом любой информации.
Где появляются поддельные QR-коды
Парковочные счётчики и платёжные терминалы являются одними из наиболее часто атакуемых мест в США. Департамент транспорта Техаса задокументировал десятки поддельных наклеек с QR-кодами на парковочных счётчиках в крупных городах в 2024 году. Жертвы вводили полные данные кредитной карты, ожидая оплатить парковку, и вместо этого напрямую передавали финансовые данные мошенникам. Мошенничество особенно хорошо работает, потому что оплата парковки, стрессовая ситуация: водители часто торопятся и не рассматривают внимательно платёжный интерфейс.
Меню и подставки на столах ресторанов стали крупным вектором по мере распространения бесконтактного обслуживания после пандемии. Наклейка с мошенническим QR-кодом, размещённая поверх или рядом с легитимной, может перенаправить посетителей на поддельное меню или страницу оплаты. В некоторых случаях поддельная страница даже показывает убедительное меню перед перенаправлением на форму сбора учётных данных, утверждающую, что ресторан перешёл на онлайн-заказы.
Этикетки возврата посылок представляют быстро растущую категорию атак. Жертвы получают посылки, иногда незаказанные, иногда как часть мошеннической призовой кампании, содержащие этикетки возврата с QR-кодами. Сканирование кода якобы инициирует возврат, но вместо этого ведёт на поддельный портал ретейлера, запрашивающий данные кредитной карты для «обработки возврата средств».
Общественный транспорт и автобусные остановки несут значительный риск, поскольку вывески управляются муниципалитетами с ограниченными возможностями мониторинга. Мошеннические коды на схемах маршрутов, терминалах продажи билетов или экранах оплаты проезда могут оставаться незамеченными несколько дней до удаления. В Великобритании Transport for London удалил сотни мошеннических QR-кодов со станций в 2025 году.
Атаки через электронную почту и документы нацелены на бизнес не меньше, чем на потребителей. Поддельные счета с QR-кодами для «безопасной оплаты», мошеннические уведомления от HR, требующие от сотрудников сканировать код для обновления зарплатных данных, и поддельные уведомления о доставке посылок, всё это распространённые корпоративные векторы атак. Как обсуждается в нашем руководстве по обнаружению фишинговых писем, атаки через электронную почту становятся всё более изощрёнными в использовании визуальных элементов для уклонения от автоматической фильтрации.
Поддельные благотворительные листовки и сборы средств эксплуатируют щедрость. После стихийных бедствий или крупных новостных событий мошеннические листовки с QR-кодами для пожертвований появляются на общественных досках объявлений, в супермаркетах и в социальных сетях. Коды ведут на убедительные поддельные страницы оплаты благотворительности, захватывающие пожертвования и данные карт, не делая при этом никаких реальных пожертвований.
Почему мошенничество с QR-кодами так эффективно
Эффективность квишинга обусловлена фундаментальным несоответствием доверия. QR-коды ассоциируются с удобством и современностью, они размещаются легитимным бизнесом на официальных материалах. Люди привыкли за годы использования доверять физическому контексту QR-кода больше, чем случайной ссылке в письме. Код на столике ресторана или парковочном счётчике несёт неявное одобрение самого места.
Приложения камеры создают минимальное трение. Большинство смартфонов автоматически распознают QR-коды и отображают небольшой предварительный просмотр URL, который пользователи инстинктивно отклоняют не читая. Окно предварительного просмотра мало, URL часто длинный или сокращённый, а естественная склонность мозга к распознаванию образов означает, что пользователи часто видят то, что ожидают, а не то, что есть на самом деле. URL вроде «secure-payment-parkingzone.com» читается невнимательным пользователем как «парковка», хотя для внимательного это сигнал опасности.
Вы подъезжаете к парковочному счётчику и сканируете QR-код. Камера телефона показывает URL предварительного просмотра: 'parking-pay-secure-city.com/pay'. Счётчик находится в крупном городе. Что вам следует сделать?
- Открыть ссылку немедленно, в ней упомянут город, значит она легитимна
- Внимательно проверить URL: соответствует ли он официальному домену вашего города?
- Игнорировать предварительный просмотр и продолжить, выглядит достаточно официально
- Заплатить наличными, чтобы полностью избежать проблемы
Answer: Домены с общим звучанием вроде 'parking-pay-secure-city.com', серьёзный тревожный сигнал. Официальная система парковки вашего города будет иметь конкретный, хорошо известный домен (например, paybyphone.com или официальный сайт.gov вашего города). Всегда проверяйте, соответствует ли URL назначения ожидаемому официальному домену, прежде чем вводить платёжную информацию, или используйте физический слот для карты, если он доступен.
Мобильный контекст также устраняет многие инструменты безопасности, которые есть у людей на настольных компьютерах. Корпоративная защита конечных точек, расширения браузера, помечающие фишинговые сайты, и привычка наводить курсор на ссылки для их предварительного просмотра не переносятся на мобильные устройства. На телефоне пользователь во многом предоставлен сам себе.
Как распознать поддельный QR-код
Физически осмотрите код. Ищите наклейки, размещённые поверх печатных материалов. Поддельные наклейки часто имеют немного другую бумагу, лёгкое смещение относительно окружающих элементов дизайна или видимые края, где наклейка перекрывает печатный текст. Проведите ногтем по поверхности, многослойная наклейка, как правило, имеет слегка приподнятый край.
Прочитайте полный URL перед нажатием. После того как камера сканирует код, появляется уведомление или баннер предварительного просмотра. Остановитесь перед нажатием и прочитайте полный URL. Ищите: ожидаемое название компании в домене (не в суффиксе или префиксе), легитимный домен верхнего уровня (.com,.gov,.org, не необычные расширения вроде.xyz или.top) и отсутствие лишних слов вроде «secure», «login», «verify» или «payment», добавленных к тому, что выглядит как название бренда.
Скептически относитесь к срочности. Коды, сопровождаемые текстом вроде «Сканируйте немедленно», «Ограниченное предложение» или «Обязательно для доступа», разработаны так, чтобы вы действовали до размышления. Легитимные компании обычно не используют срочный, высокодавящий язык в отношении платёжных QR-кодов.
Проверяйте через официальные каналы. Перед сканированием QR-кода из письма или документа, якобы от вашего банка, HR-отдела или курьерской службы, проверьте, действительно ли эта организация отправила сообщение, связавшись с ней напрямую через официальный сайт или приложение. Никогда не используйте контактную информацию, предоставленную в том же сообщении, что содержит QR-код. Для оценки подозрительных ссылок и контента из неизвестных источников инструмент сканирования Truvizy поможет оценить риск до принятия каких-либо действий.
Используйте альтернативу, когда она доступна. Если QR-код, единственный способ оплаты на парковочном счётчике или терминале, рассмотрите возможность использования физического слота для карты, оплаты через специальное официальное приложение, загруженное из проверенного магазина приложений, или поиска другого способа. Удобство никогда не должно превышать безопасность, когда речь идёт о платежах или личной информации.

Что делать, если вас обманули
Если вы отсканировали код, открыли ссылку и ввели информацию, действуйте быстро. Каждая минута задержки даёт злоумышленнику больше времени на использование ваших данных.
Если вы ввели данные платёжной карты: немедленно позвоните на горячую линию по мошенничеству вашего банка (используйте номер на обратной стороне карты, не любой номер с подозрительного сайта). Запросите заморозку или замену карты. Попросите банк пометить любые списания с момента ввода вами информации.
Если вы ввели учётные данные для входа: немедленно смените пароль с отдельного, доверенного устройства. Включите двухфакторную аутентификацию, если она ещё не активна. Проверьте наличие незнакомых устройств или сеансов, вошедших в аккаунт, и удалите их. Если вы используете тот же пароль где-либо ещё, смените и там тоже.
Установите предупреждение о мошенничестве в своём кредитном файле в одном из трёх крупных бюро (Equifax, Experian, TransUnion), это автоматически уведомит остальные два. Если вы считаете, что ваша личность была скомпрометирована, рассмотрите заморозку кредита, которая является бесплатной и предотвращает открытие новых счетов на ваше имя. Наше всестороннее руководство по предотвращению кражи личных данных подробно охватывает полный процесс восстановления.
Защитите себя от мошенничества с QR-кодами и других мобильных угроз с помощью обнаружения мошенничества на базе ИИ.
Как защитить себя в будущем
Самая важная привычка, пауза перед нажатием. Весь дизайн квишинга основан на том, что сканирование QR ощущается автоматическим и мгновенным. Нарушение этого автоматического ответа, даже на две секунды для чтения URL, срывает атаку. Сделайте правилом: сначала предварительный просмотр URL, затем открытие.
Используйте специальное приложение для сканирования QR, выполняющее проверки безопасности в реальном времени на расшифрованном URL перед его представлением вам. Эти приложения, доступные бесплатно от крупных поставщиков безопасности, функционируют как встроенный в рабочий процесс сканирования проверщик URL. Это мобильный эквивалент наведения курсора на ссылку перед нажатием.
Держите операционную систему и браузер телефона обновлёнными. Патчи безопасности часто закрывают уязвимости, которые эксплуатируют атаки с незаметной загрузкой при посещении вредоносного сайта. Непатченный телефон значительно более уязвим ко второму этапу атаки квишинга, даже если ваши учётные данные остаются в безопасности.
Включите двухфакторную аутентификацию с использованием приложения-аутентификатора, не SMS. Как мы отметили в нашем руководстве по смишингу и мошенничеству через SMS, 2FA на основе SMS может быть перехвачен. Приложение-аутентификатор генерирует коды локально на вашем устройстве, делая атаки с ретрансляцией в реальном времени значительно более сложными.
Сообщайте о подозрительных кодах везде, где вы их обнаруживаете. Если вы замечаете наклейку, выглядящую подозрительно на публичном QR-коде, сфотографируйте место и сообщите об этом в бизнес или местным органам власти. Удаление вредоносной наклейки в течение нескольких часов может защитить десятки других потенциальных жертв.
Key Takeaways
- Всегда читайте полный URL назначения в предварительном просмотре камеры перед нажатием на любую ссылку QR-кода, особенно на парковочных счётчиках, в ресторанах и на транспортных остановках.
- Поддельные наклейки с QR-кодами могут появляться поверх легитимных кодов и практически невозможно обнаружить без физического осмотра на наличие перекрывающихся краёв.
- QR-коды в письмах обходят большинство корпоративных фишинговых фильтров, относитесь к ним с тем же скептицизмом, что и к любой ссылке в письме.
- Если вы ввели платёжные данные или учётные данные для входа на подозрительном сайте, немедленно свяжитесь с банком и измените затронутые пароли с отдельного устройства.
QR-коды никуда не денутся, и мошенники, их эксплуатирующие, тоже. По мере того как бесконтактные платежи, цифровые меню и мобильные сервисы становятся всё более встроенными в повседневную жизнь, квишинг будет становиться более изощрённым и более распространённым. Противоядие, осведомлённость: знание того, что любой физический QR-код может быть подменён, что любой код в письме может вести куда угодно, и что две секунды, которые занимает чтение URL перед нажатием, могут быть теми двумя секундами, которые избавят вас от очень дорогостоящего урока.
Планы защиты Truvizy включают инструменты для анализа подозрительных URL и ссылок, вставьте URL, расшифрованный из любого QR-кода, в Truvizy до его открытия и получите мгновенную оценку легитимности на базе ИИ. В условиях угроз, где мошенники прячут вредоносные ссылки в изображениях, иметь инструмент, проверяющий реальное место назначения, больше не является опциональным, это необходимость.
Смишинг: почему то SMS от банка, скорее всего, мошенничество — Фишинг через текстовые сообщения, использующий тот же психологический сценарий, что и квишинг.
Обнаружение фишинговых писем — Как идентифицировать атаки через электронную почту, включая те, что используют QR-коды для обхода фильтров.
Атаки социальной инженерии — Техники психологической манипуляции, лежащие в основе квишинга и всего современного мошенничества.
FAQ
Что такое квишинг?
Квишинг, это фишинг через QR-код: мошенничество, при котором злоумышленники заменяют или создают поддельные QR-коды, перенаправляющие жертв на вредоносные сайты, предназначенные для кражи учётных данных, платёжной информации или установки вредоносного ПО на устройство.
Как определить, что QR-код поддельный, до его сканирования?
Физически осмотрите код: ищите наклейки, размещённые поверх оригинального кода, повреждения окружающего материала или коды, выглядящие немного иначе по сравнению с соседними. После сканирования всегда проверяйте полный URL назначения в предварительном просмотре приложения камеры, прежде чем нажимать «открыть». Если URL точно не соответствует ожидаемому домену компании, не продолжайте.
Может ли сканирование QR-кода установить вредоносное ПО на мой телефон?
Простое сканирование QR-кода камерой не устанавливает вредоносное ПО, но открытие полученной ссылки может. Вредоносные сайты могут попытаться выполнить скрытую загрузку, фишинг учётных данных или предложить установить поддельное приложение. Держите операционную систему телефона обновлённой, избегайте разрешения установки приложений из неизвестных источников и используйте сканер QR со встроенной проверкой безопасности URL.
Какие места имеют наибольший риск поддельных QR-кодов?
К местам повышенного риска относятся парковочные счётчики, столы и меню ресторанов, остановки общественного транспорта, этикетки возврата посылок, холлы отелей и листовки, размещённые в общественных местах. Любое неконтролируемое физическое пространство, где кто-то мог бы подменить код за ночь без обнаружения, является потенциальной целью.
Что делать, если я уже сканировал код и ввёл данные на подозрительном сайте?
Действуйте немедленно: измените все введённые пароли, свяжитесь с банком, если вы предоставили платёжные данные, включите двухфакторную аутентификацию на затронутых аккаунтах и следите за кредитным отчётом. Сообщите об инциденте в уполномоченный орган и, если это было на территории бизнеса, предупредите владельца, чтобы он мог заменить скомпрометированный код.