Квишинг QR мошенничество: что это и как избежать
Опубликовано: 5 февраля 2026 г.
Автор: Мария Белецкая

Квишинг QR мошенничество: как распознать и избежать рисков

QR-коды упростили платежи, авторизацию в банкинге и доступ к криптокошелькам — и этим активно пользуются мошенники. Квишинг QR мошенничество работает просто: поддельный код ведет на фальшивый сайт или запускает действие, которое заставляет вас отдать данные карты, логин в приложение или подтвердить перевод. В 2024–2025 годах финансовые регуляторы и банки регулярно предупреждают о росте атак с подменой QR-кодов в общественных местах и сервисных точках; в частности, Европол описывает QR-фишинг как один из трендов социальной инженерии, а британский NCSC дает отдельные советы по безопасному сканированию QR. Далее разберем, как распознать опасный код, какие признаки имеют фейковые страницы и какие привычки снижают риск почти до нуля.

Квишинг QR мошенничество: что такое quishing и почему это стало популярным

Квишинг QR мошенничество (от англ. quishing, QR + phishing) — это разновидность фишинга, когда вместо поддельного письма или сайта-"приманки" злоумышленники используют QR-код. Человек сканирует его камерой, переходит по ссылке и добровольно вводит данные карты, логин/пароль к банкингу, коды подтверждения или устанавливает вредоносное приложение.

В отличие от классического фишинга, QR фишинг сложнее "заметить визуально": код выглядит как обычная черно-белая мозаика, а проверять URL перед переходом большинство не привыкло.

Важные термины простыми словами

Несколько определений, которые помогут быстро ориентироваться в теме:

  • QR фишинг (quishing) — обман через QR-код с целью получить деньги или доступ к аккаунтам.
  • Поддельные QR коды — коды, которые ведут на фальшивые сайты/оплаты или запускают опасные действия на телефоне.
  • Фишинг — социальная инженерия, когда вас заставляют самостоятельно отдать конфиденциальные данные.
  • Безопасность платежей — практики, снижающие риск кражи средств при онлайн- и офлайн-оплатах.

Как работает QR мошенничество: механика атак без технических сложностей

Схема квишинга обычно состоит из трёх шагов: создать доверие, подтолкнуть к сканированию, получить деньги или доступ. Важный нюанс: в большинстве случаев взлом не "пробивает" банк напрямую — он обходится через человека.

Типичные сценарии, где встречаются поддельные QR коды

Чаще всего злоумышленники используют места, где QR-код выглядит уместно:

  • Наклейка поверх настоящего кода в кафе/ресторане "для меню" или "для чаевых".
  • Поддельный код на паркомате, автомате с билетами, терминале самообслуживания.
  • Объявление в подъезде: "оплата домофона/охраны/ОСМД", "чат дома".
  • "Квитанции" или сообщения с QR в почте/мессенджере: "оплатите штраф/долг", "обновите данные доставки".
  • Фейковые QR для входа в аккаунт: якобы "авторизация в Telegram/Google/банке", но на самом деле — подмена страницы.

Что происходит после сканирования

После сканирования возможны несколько вариантов развития событий:

  • Переход на фальшивый сайт оплаты (имитация банка, сервиса доставки, госпортала). Вы вводите данные — их перехватывают.
  • Переход на страницу, которая просит "подтвердить" через SMS/код в приложении. Это может быть попытка входа в ваш банкинг или оформление платежа.
  • Загрузка вредоносного APK (на Android) под видом "приложения для оплаты/скидки/доступа к меню".
  • Переадресация на настоящий сайт, но с подменой реквизитов (например, счёт/карта получателя мошенника).

Почему квишинг работает: психология и "слепые зоны" безопасности

QR-код воспринимается как нейтральный инструмент, а не как потенциальная ссылка. Именно поэтому quishing эффективен: он обходит привычку "не открывать подозрительные письма", но не обходит вашу внимательность.

Вот типичные "крючки", которые используют:

  • Срочность: "оплатите сейчас, иначе штраф/отключение".
  • Выгода: "-30% скидки только сегодня", "кэшбэк за QR".
  • Авторитет: "от имени банка/ОСМД/службы доставки".
  • Удобство: "не надо вводить реквизиты, просто сканируйте".

Риски для личных финансов и данных

После успешного QR фишинга последствия могут быть разными — от одноразового списания до длительного контроля над аккаунтами.

Финансовые риски

  • Несанкционированные списания с карты (если вы ввели реквизиты или подтвердили операцию).
  • Перевод на карту/счёт мошенника "за услугу", которой не существует.
  • Оформление кредитного продукта/рассрочки (в некоторых сценариях — если злоумышленник получил доступ к банкингу и подтверждениям).
  • Потеря средств в криптосценариях: поддельные QR-адреса кошельков или "подмена" адреса для перевода.

Риски для приватности и доступа

  • Кража доступа к мессенджерам/почте (а далее — атаки на другие сервисы через восстановление пароля).
  • Компрометация банковских приложений через установку поддельного ПО.
  • Сбор персональных данных для дальнейших мошеннических действий.

Как проверять QR код перед переходом: практические правила

Проверка QR-кода — это, по сути, проверка ссылки и контекста. Хорошая новость: для этого не нужны специальные инструменты, достаточно нескольких привычек.

На что смотреть до нажатия "перейти"

После сканирования камера или приложение обычно показывают URL. Вот что стоит оценить:

  • Домен: официальный ли сайт (правильное написание без лишних символов).
  • Странные сокращённые ссылки: short-link не всегда опасен, но скрывает конечный домен.
  • Протокол: наличие https не гарантирует честность, но его отсутствие — красный флаг.
  • Лишние поддомены и "маскировка": например, bank.example.com — это не то же самое, что example.bank.com.

Как проверять QR код в физической среде

Когда QR наклеен в публичном месте, обратите внимание на детали:

  • Нет ли наклейки поверх другого кода, следов переклейки, разного шрифта/дизайна.
  • Логично ли, что именно здесь должен быть QR (на паркомате, в меню, на официальном стенде).
  • Совпадает ли действие: "меню" не должно просить данные карты, а "чаевые" — требовать логин в банк.

Как избежать QR мошенничества: привычки, которые реально работают

Защита строится на простом принципе: никогда не вводите чувствительные данные, если не уверены в источнике, и минимизируйте последствия даже при ошибке.

Безопасность платежей при оплате через QR

  • Лучше платить через официальные приложения банка/платёжных сервисов, где получатель и сумма отображаются прозрачно.
  • Перед подтверждением проверяйте имя получателя, назначение платежа, сумму.
  • Не вводите данные карты на страницах, куда привёл случайный QR. Если нужна оплата — откройте сайт вручную или через сохранённую закладку.

Защита смартфона и аккаунтов

  • Не устанавливайте APK "с QR", особенно если это не Google Play/официальный магазин.
  • Включите двухфакторную аутентификацию там, где возможно, и не передавайте коды подтверждения никому.
  • Обновляйте ОС и банковские приложения — это снижает риски, связанные с известными уязвимостями и подменами.

Сравнение: квишинг vs классический фишинг и подмена реквизитов

Квишинг — это не "новый интернет-взлом", а другой канал доставки той же самой ловушки. Полезно понимать отличия, чтобы быстрее распознавать риск.

Признак Квишинг (quishing) Классический фишинг (письмо/sms) Подмена реквизитов (invoice fraud)
Канал QR-код в пространстве или сообщении Email/SMS/мессенджер Счёт/квитанция/договор
Что "маскируется" Ссылка за кодом Текст и ссылка Банковские реквизиты получателя
Типичная ошибка пользователя Сканирует и переходит без проверки URL Кликает на ссылку "от банка" Платит по реквизитам, не сверив получателя
Кому особенно опасно Тем, кто часто платит QR в публичных местах Тем, кто активно пользуется почтой ФЛП, бизнес, люди с регулярными платежами

Кому какой подход к защите подходит: если вы часто пользуетесь QR для оплат/чаевых — акцент на проверке URL и получателя. Если много коммуникаций в почте — приоритетом будет гигиена ссылок и доменов. Если у вас регулярные платежи или работа с счетами — нужна сверка реквизитов через независимый канал (звонок по официальному номеру, сайт из закладок).

Чек-лист: что делать прямо сейчас

Краткий список действий, который существенно снижает риск QR мошенничества:

  • Сканируйте QR только когда понимаете, откуда он и какое действие должен выполнить.
  • Перед переходом посмотрите на URL и убедитесь, что домен официальный.
  • Не вводите данные карты, логины, пароли и коды подтверждения на страницах, куда привёл случайный QR.
  • Для оплат используйте приложение банка и всегда проверяйте получателя и сумму.
  • Избегайте установки приложений с QR-ссылок, особенно вне официальных магазинов.
  • Если есть подозрение на ошибку: немедленно заблокируйте карту/доступ в банке, смените пароли, проверьте активные сессии аккаунтов.

Вывод

Мошенничество, которое называется квишинг, сводится к простому: QR-код становится дверью на поддельный сайт или в опасное действие, а далее всё держится на спешке и доверии. Защита работает, если проверять ссылки, не вводить чувствительные данные "с QR" и внимательно подтверждать платежи. Несколько привычек — и квишинг QR мошенничество перестаёт быть лёгкой добычей для злоумышленников.

Квишинг часто маскируется под QR-коды для быстрой оплаты заказов или доставки, ведя на поддельные страницы, которые копируют интерфейс известных сервисов. О том, как распознать фишинговые ссылки и не стать жертвой манипуляций при онлайн-шопинге, читайте в материале: «Безопасность на OLX: разбор схем с фишинговыми ссылками и доставкой».