Шахрайство з QR-кодом: що не слід сканувати у 2026 році
QR-коди у шахраїв, на парковках, у ресторанах, в електронних листах та листах. Дізнайтеся, як виглядають QR-шахрайства, де вони з'являються та як перевірити QR-код перед скануванням.
· Truvizy Research Team · 8 min read
TL;DR
Шахраї вставляють шкідливі URL в QR-коди, розміщуючи їх поверх законних кодів на парковках, ресторанних меню і листах. Попередній перегляд URL перед переходом є єдиним захистом, ваш телефон не може зрозуміти лише з зовнішнього вигляду, що QR-код безпечний. Коди в небажаних листах, несподіваних пакетах і громадських місцях вимагають максимального скептицизму.
QR-коди з'явилися скрізь після пандемії, меню ресторанів, паркувальні лічильники, вітрини магазинів, поштові відправлення, і шахраї помітили. Шахрайство з QR-кодом, або «квішинг», полягає у вставці шкідливого URL в QR-код і розміщенні або розсиланні його там, де законні коди уже є і де люди навчилися їм довіряти.
Те, що робить квішинг особливо небезпечним, це обхід стандартних засобів захисту безпеки. Посилання в листах та текстах перевіряються спам-фільтрами та антивірусним програмним забезпеченням. QR-коди, ні. Вони є зображеннями, і їх вміст невидимий до тих пір, поки ви не відскануєте їх та ваш телефон не відобразить URL.
Що таке QR-фішинг (квішинг)?
Квішинг, це QR-фішинг: шахраї кодують шкідливі URL в QR-зображення замість текстових посилань. Коли ви скануєте код, ваш телефон переспрямовує вас на фішинговий сайт, шкідливе завантаження або шахрайську платіжну сторінку.
Техніка особливо ефективна з кількох причин: люди довіряють QR-кодам через звичку, URL залишається прихованим до сканування, більшість мобільних браузерів відображають скорочені URL, що ускладнює помітити шкідливі домени, а захист безпеки корпоративних мереж часто не аналізує QR-контент.
Де з'являються QR-шахрайства: 6 місць підвищеного ризику
1. Паркувальні лічильники та знаки є головною мішенню. Шахраї розміщують QR-наклейки поверх законних кодів оплати. Жертви думають, що платять за паркування; натомість вони відправляють гроші шахраям або вводять платіжні дані на фішингових сайтах.
2. Ресторанні меню з QR-кодами є вразливими через те, що клієнти очікують сканувати на них. Задокументовані атаки включають фізичні наклейки поверх легітимних кодів або підроблені роздруківки, залишені поруч.
3. Електронна пошта та вишінг (телефонне шахрайство), шахраї все більше використовують QR-коди в електронних листах замість посилань, знаючи, що фільтри безпеки погано обробляють зображення. Бізнес-листи є першочерговою мішенню: підроблені рахунки, оновлення постачальників або фінансові форми містять QR-коди для «аутентифікації».
4. Листи та поштові відправлення, фізична пошта тепер використовується для доставки QR-шахрайства. Зазвичай вони виглядають як офіційні повідомлення від державних органів, банків або постачальників послуг. Небажана пошта, що вимагає сканувати QR-код для «підтвердження вашого облікового запису», є сигналом тривоги.
5. Пункти доставки та повідомлення про посилки, підроблені повідомлення про посилки, доставлені як фізичні нотатки або SMS, містять QR-коди, що ведуть на фішингові сторінки відстеження.
6. Криптовалютні та інвестиційні шахрайства, шахраї розміщують QR-коди поруч із машинами для знімання готівки, твердячи, що «скануй для відкладення». Код переспрямовує до шахрайського гаманця.
Як перевірити QR-код перед скануванням
Єдиний спосіб дізнатися, що кодує QR-код, це відсканувати його та перевірити попередній перегляд URL перед переходом. Ось ваш протокол:
Крок 1: Використовуйте сканер, що показує URL-попередній перегляд перед переходом. Більшість стандартних сканерів камери показують URL. Деякі спеціальні додатки для сканування QR-кодів переходять безпосередньо, уникайте їх.
Крок 2: Прочитайте повний домен у попередньому перегляді. Частина домену, це частина між «https://» і наступним «/». Для parking-pay.govsite.com справжній домен, govsite.com, а не parking-pay.
Крок 3: Запитайте, чи відповідає домен вашим очікуванням. Ресторанне QR-меню повинне вести до веб-сайту ресторану. Паркувальний QR-код повинен вести до відомого оператора парковки. Якщо він веде до скороченого URL або невідомого домену, не переходьте.
Червоні прапорці для QR-кодів у реальному світі
Ці ознаки вказують, що фізичний QR-код міг бути підроблений або замінений:
Наклейки поверх вихідних кодів: Піднімайте кути наклейок на паркувальних машинах або знаках. Шахраї наклеюють свої коди безпосередньо поверх законних.
Погана вирівняність або пошкоджений вигляд: Коди, що виглядають злегка нахиленими, зморщеними або роздрукованими на звичайному папері, прикріпленому зверху, є підозрілими.
Непередбачений контекст: QR-код, прикріплений до банкомата, наклеєний на вуличний стовп або вкладений у небажану пошту, не має законного контексту.
URL не відповідає контексту: Ресторанне меню, що веде до payme-secure.xyz, або паркувальний знак, що веде до parking-verify.net, є явними ознаками.
Що викрадають зловмисники через QR-шахрайства
QR-шахрайства спрямовані на різні типи цінної інформації залежно від цільового контексту. Шахраї з QR-кодами на паркуванні отримують дані кредитних карток і платіжних гаманців. Бізнес-QR-шахрайства часто спрямовані на корпоративні облікові дані для кібератак типу «бізнес до бізнесу». Шахраї, що видають себе за урядові агентства, отримують номери соціального страхування або паспортні дані. Підроблені сторінки входу збирають імена користувачів і паролі для подальшого несанкціонованого доступу.
Якщо ви вже відсканували підозрілий код
Якщо ви відсканували QR-код і щось здається неправильним:
Не вводьте жодних даних на сторінці, де ви опинилися, навіть якщо вона виглядає законно.
Закрийте браузер і очистіть дані перегляду (Налаштування > Safari або Chrome > Очистити дані перегляду).
Запустіть сканування безпеки на телефоні. Більшість законного антивірусного програмного забезпечення є безкоштовним для мобільних пристроїв.
Якщо ви ввели платіжні дані, негайно зателефонуйте у свій банк або видавцю картки та заморозьте картку.
Якщо ви ввели корпоративні облікові дані, негайно зверніться до ІТ-відділу та змініть паролі. Отримуйте доступ через VPN, щоб ізолювати потенційне порушення.
Безпечні звички сканування
Навички безпечного сканування стають природньою звичкою після кількох застосувань:
Завжди попередньо переглядайте URL перед переходом, ніколи автоматично.
Перевіряйте фізичну цілісність кодів у громадських місцях. Якщо є ознаки наклейки або підроблення, не скануйте.
За замовчуванням скептично ставтеся до небажаних QR-кодів поштою, у незапитаних листах або від невідомих контактів.
Використовуйте пряму URL-адресу, коли сумніваєтеся. Якщо ресторан або бізнес мають веб-сайт, введіть адресу безпосередньо замість сканування.
Ви підходите до паркувального лічильника і помічаєте QR-код для оплати. Що є НАЙКРАЩИМ першим кроком?
- Відскануйте його і перевірте попередній перегляд URL перед переходом
- Скануйте його, паркувальні лічильники завжди безпечні
- Не скануйте взагалі і знайдіть монети
- Зробіть фото коду для подальшого сканування
Answer: Сканування і перевірка попереднього перегляду URL, це правильний підхід. Попередній перегляд показує куди веде код. Ніколи не переходьте автоматично, завжди читайте URL, щоб підтвердити, що він відповідає законному оператору парковки.
Ключові висновки
- Завжди попередньо переглядайте URL після сканування, ніколи не переходьте автоматично
- Перевіряйте фізичні QR-коди на ознаки наклейок або підроблення
- Небажані QR-коди поштою або в листах є яскравим сигналом тривоги
- Шахрайства з QR-кодами обходять більшість спам-фільтрів, тому що це зображення, а не посилання
- У разі сумніву введіть URL безпосередньо замість сканування
FAQ
Чи може QR-код заразити мій телефон просто від сканування?
Саме сканування безпечне, QR-код є лише посиланням. Шкода відбувається, коли ви відвідуєте URL, на який він вказує. Деякі веб-сайти можуть використовувати вразливості браузера для встановлення шкідливого програмного забезпечення без додаткових кліків, але це рідкість. Найбільший ризик, надання облікових даних або оплата на фішинговому сайті.
Як дізнатися, чи безпечний QR-код перед скануванням?
Ви не можете, QR-коди не розкривають свій вміст без сканування. Найкращий підхід: використовуйте сканер, що показує URL-попередній перегляд, перевірте URL перед переходом, і скануйте лише коди з відомих джерел. При скануванні коду з громадського місця перевірте, чи немає ознак фізичного підроблення або наклейок поверх оригінального коду.
Що мені робити, якщо я відсканував підозрілий QR-код?
Не вводьте жодних даних на сторінці, де ви опинилися. Закрийте браузер. Очистіть кеш та дані перегляду. Запустіть сканування безпеки. Якщо ви ввели облікові дані або платіжні дані, негайно змініть паролі та зв'яжіться з вашим банком.
Чи законні QR-коди для оплати парковки?
Законні QR-коди для оплати парковки існують, але шахраї розміщують підроблені наклейки поверх них. Перш ніж сканувати, перевірте фізичний знак на наявність ознак підроблення. Краще знайдіть і введіть URL безпосередньо або скористайтеся офіційним додатком парковки.
Чи може ресторанне меню QR-коду мати шахрайство?
Так. Документально підтверджені випадки включають наклейки поверх справжніх кодів меню або шахрайські коди, розміщені поруч зі справжніми. Перевіряйте URL перед переходом: він повинен відповідати веб-сайту ресторану, а не сторонньому домену.