Квішинг QR шахрайство: що це та як уникнути
Опубліковано: 5 лютого 2026 р.
Автор: Марія Білецька

Квішинг QR шахрайство: як розпізнати та уникнути ризиків

QR‑коди спростили платежі, авторизацію в банкінгу та доступ до криптогаманців — і цим активно користуються шахраї. Квішинг QR шахрайство працює просто: підроблений код веде на фальшивий сайт або запускає дію, яка змушує вас віддати дані картки, логін до застосунку чи підтвердити переказ. У 2024–2025 роках фінансові регулятори й банки регулярно попереджають про зростання атак із підміною QR‑кодів у публічних місцях і сервісних точках; зокрема, Європол описує QR‑фішинг як один із трендів соціальної інженерії, а британський NCSC дає окремі поради щодо безпечного сканування QR. Далі розберемо, як розпізнати небезпечний код, які ознаки мають фейкові сторінки та які звички знижують ризик майже до нуля.

Квішинг QR шахрайство: що таке quishing і чому це стало популярним

Квішинг QR шахрайство (від англ. quishing, QR + phishing) — це різновид фішингу, коли замість підробного листа або сайту-«приманки» зловмисники використовують QR-код. Людина сканує його камерою, переходить за посиланням і добровільно вводить дані картки, логін/пароль до банкінгу, коди підтвердження або встановлює шкідливий застосунок.

На відміну від класичного фішингу, QR фішинг складніше «помітити на око»: код виглядає як звичайна чорно-біла мозаїка, а перевіряти URL перед переходом більшість не звикла.

Важливі терміни простими словами

Кілька визначень, які допоможуть швидко зорієнтуватися в темі:

  • QR фішинг (quishing) — обман через QR-код із метою отримати гроші або доступ до акаунтів.
  • Підробні QR коди — коди, що ведуть на фальшиві сайти/оплати або запускають небезпечні дії на телефоні.
  • Фішинг — соціальна інженерія, коли вас змушують самостійно віддати конфіденційні дані.
  • Безпека платежів — практики, що зменшують ризик крадіжки коштів під час онлайн- і офлайн-оплат.

Як працює QR шахрайство: механіка атак без технічних складнощів

Схема квішингу зазвичай має три кроки: створити довіру, підштовхнути до сканування, отримати гроші або доступ. Важливий нюанс: у більшості випадків злом не «пробиває» банк напряму — він обходить захист через людину.

Типові сценарії, де трапляються підробні QR коди

Найчастіше зловмисники використовують місця, де QR-код виглядає доречно:

  • Наліпка поверх справжнього коду в кафе/ресторані «для меню» або «для чайових».
  • Підробний код на паркоматі, автоматі з квитками, терміналі самообслуговування.
  • Оголошення в під’їзді: «оплата домофона/охорони/ОСББ», «чат будинку».
  • «Квитанції» або повідомлення з QR у пошті/месенджері: «сплатіть штраф/борг», «оновіть дані доставки».
  • Фейкові QR для входу в акаунт: нібито «авторизація в Telegram/Google/банку», але насправді — підміна сторінки.

Що відбувається після сканування

Після сканування можливі кілька варіантів розвитку подій:

  • Перехід на фальшивий сайт оплати (імітація банку, сервісу доставлення, держпорталу). Ви вводите дані — їх перехоплюють.
  • Перехід на сторінку, що просить «підтвердити» через SMS/код у застосунку. Це може бути спроба входу в ваш банкінг або оформлення платежу.
  • Завантаження шкідливого APK (на Android) під виглядом «додатку для оплати/знижки/доступу до меню».
  • Переадресація на справжній сайт, але з підміною реквізитів (наприклад, рахунок/картка отримувача шахрая).

Чому квішинг працює: психологія та “сліпі зони” безпеки

QR-код сприймається як нейтральний інструмент, а не як потенційне посилання. Саме тому quishing ефективний: він обходить звичку «не відкривати підозрілі листи», але не обходить вашу уважність.

Ось типові «гачки», які використовують:

  • Терміновість: «сплатіть зараз, інакше штраф/відключення».
  • Вигода: «-30% знижки тільки сьогодні», «кешбек за QR».
  • Авторитет: «від імені банку/ОСББ/служби доставки».
  • Зручність: «не треба вводити реквізити, просто скануйте».

Ризики для особистих фінансів і даних

Після успішного QR фішингу наслідки можуть бути різними — від разового списання до довготривалого контролю над акаунтами.

Фінансові ризики

  • Несанкціоновані списання з картки (якщо ви ввели реквізити або підтвердили операцію).
  • Переказ на картку/рахунок шахрая «за послугу», якої не існує.
  • Оформлення кредитного продукту/розстрочки (у деяких сценаріях — якщо зловмисник отримав доступ до банкінгу та підтверджень).
  • Втрата коштів у криптосценаріях: підробні QR-адреси гаманців або “підміна” адреси для переказу.

Ризики для приватності та доступу

  • Викрадення доступу до месенджерів/пошти (а далі — атаки на інші сервіси через відновлення пароля).
  • Компрометація банківських застосунків через встановлення підробного ПЗ.
  • Збір персональних даних для подальших шахрайських дій.

Як перевіряти QR код перед переходом: практичні правила

Перевірка QR-коду — це, по суті, перевірка посилання і контексту. Добра новина: для цього не треба спеціальних інструментів, достатньо кількох звичок.

На що дивитися до натискання “перейти”

Після сканування камера або застосунок зазвичай показує URL. Ось що варто оцінити:

  • Домен: чи це офіційний сайт (правильне написання без зайвих символів).
  • Дивні скорочені посилання: short-link не завжди небезпечний, але приховує кінцевий домен.
  • Протокол: наявність https не гарантує чесність, але його відсутність — червоний прапорець.
  • Зайві піддомени й «маскування»: наприклад, bank.example.com — це не те саме, що example.bank.com.

Як перевіряти QR код у фізичному середовищі

Коли QR наклеєний у публічному місці, зверніть увагу на деталі:

  • Чи немає наліпки поверх іншого коду, слідів переклеювання, різного шрифту/дизайну.
  • Чи логічно, що саме тут має бути QR (на паркоматі, у меню, на офіційному стенді).
  • Чи збігається дія: «меню» не має просити дані картки, а «чайові» — вимагати логін до банку.

Як уникнути QR шахрайства: звички, які реально працюють

Захист будується на простому принципі: ніколи не вводьте чутливі дані, якщо не впевнені в джерелі, і мінімізуйте наслідки навіть у разі помилки.

Безпека платежів при оплаті через QR

  • Краще платити через офіційні застосунки банку/платіжних сервісів, де отримувач і сума відображаються прозоро.
  • Перед підтвердженням перевіряйте ім’я отримувача, призначення платежу, суму.
  • Не вводьте дані картки на сторінках, куди привів випадковий QR. Якщо потрібна оплата — відкрийте сайт вручну або через збережену закладку.

Захист смартфона і акаунтів

  • Не встановлюйте APK «з QR», особливо якщо це не Google Play/офіційний магазин.
  • Увімкніть двофакторну автентифікацію там, де можливо, і не передавайте коди підтвердження нікому.
  • Оновлюйте ОС і банківські застосунки — це знижує ризики, пов’язані з відомими вразливостями та підмінами.

Порівняння: квішинг vs класичний фішинг і підміна реквізитів

Квішинг — це не «новий інтернет-злом», а інший канал доставки тієї ж самої пастки. Корисно розуміти відмінності, щоб швидше розпізнавати ризик.

Ознака Квішинг (quishing) Класичний фішинг (лист/смс) Підміна реквізитів (invoice fraud)
Канал QR-код у просторі або повідомленні Email/SMS/месенджер Рахунок/квитанція/договір
Що “маскується” Посилання за кодом Текст і посилання Банківські реквізити отримувача
Типова помилка користувача Сканує і переходить без перевірки URL Клікає на посилання “від банку” Платить за реквізитами, не звіривши отримувача
Кому особливо небезпечно Тим, хто часто платить QR у публічних місцях Тим, хто активно користується поштою ФОП, бізнес, люди з регулярними платежами

Кому який підхід до захисту підходить: якщо ви часто користуєтеся QR для оплат/чайових — фокус на перевірці URL і отримувача. Якщо багато комунікацій у пошті — пріоритетом буде гігієна посилань і доменів. Якщо маєте регулярні платежі або працюєте з рахунками — потрібна звірка реквізитів через незалежний канал (дзвінок за офіційним номером, сайт з закладки).

Чек-лист: що робити прямо зараз

Короткий список дій, який суттєво зменшує ризик QR шахрайства:

  • Скануйте QR тільки коли розумієте, звідки він і яку дію має виконати.
  • Перед переходом подивіться на URL і переконайтеся, що домен офіційний.
  • Не вводьте дані картки, логіни, паролі та коди підтвердження на сторінках, куди привів випадковий QR.
  • Для оплат використовуйте застосунок банку і завжди перевіряйте отримувача та суму.
  • Уникайте встановлення застосунків з QR-посилань, особливо поза офіційними магазинами.
  • Якщо є підозра на помилку: негайно заблокуйте картку/доступ у банку, змініть паролі, перевірте активні сесії акаунтів.

Висновок

Шахрайство, що таке квішинг, зводиться до простого: QR-код стає дверима на підробний сайт або в небезпечну дію, а далі все тримається на поспіху та довірі. Захист працює, якщо перевіряти посилання, не вводити чутливі дані «з QR» і уважно підтверджувати платежі. Кілька звичок — і квішинг QR шахрайство перестає бути легкою здобиччю для зловмисників.

Квішинг часто маскується під QR-коди для швидкої оплати замовлень або доставки, ведучи на підроблені сторінки, які копіюють інтерфейс відомих сервісів. Про те, як розпізнати фішингові посилання та не стати жертвою маніпуляцій при онлайн-шопінгу, читайте у матеріалі: «Безпека на OLX: розбір схем з фішинговими посиланнями та доставкою».