2check.click

4 мин. чтения Обновлено: июнь 2026 г.

Мошенничество с QR-кодами: как работает квишинг

Квишинг (QR + phishing) — это использование QR-кодов для направления жертв на фишинговые сайты. Атаки с QR-кодами растут быстрее, чем другие виды фишинга: по данным аналитиков, в 2023–2024 годах их доля в фишинговых кампаниях утроилась. Причина проста — QR-коды обходят большинство технических средств защиты.

Полная цепочка атаки квишинга

  1. Создание поддельного QR-кода. Мошенник создаёт QR-код, кодирующий URL фишингового сайта. Это занимает буквально минуты с помощью любого бесплатного генератора.
  2. Размещение кода. Физически (наклейка на парковке, объявление) или цифрово (письмо, мессенджер, соцсеть).
  3. Жертва сканирует код. Не видя URL до сканирования, человек доверяет контексту (официальный вид парковомата, письмо «от СДЭК»).
  4. Переход на фишинговый сайт. Сайт имитирует банк, сервис оплаты, курьерскую службу или другой знакомый ресурс.
  5. Кража данных. Жертва вводит данные карты или логин/пароль — они поступают мошенникам.

Российские примеры квишинга

Парковочные мошенничества

Наиболее известная в России схема. На парковочном автомате или столбике рядом с ним наклеивается поддельный QR-код с надписью «Оплатить парковку онлайн». Код ведёт на сайт, имитирующий муниципальный сервис оплаты. Жертва вводит данные карты — деньги уходят не в оплату парковки.

Поддельные QR для оплаты в магазинах

В небольших торговых точках, принимающих оплату через QR, мошенник может подменить официальный QR-код продавца своим. Оплата уходит не продавцу. Продавец не получает деньги, а покупатель потерял их.

QR в фейковых уведомлениях о доставке

Письмо или мессенджер-сообщение «от СДЭК» или «от Почты России»: «Ваша посылка задержана. Отсканируйте код для подтверждения адреса». QR ведёт на поддельный сайт доставки с формой ввода персональных данных и данных карты «для оплаты сбора».

Фейковые акции и призы

«Отсканируйте код и получите подарок от Ozon» или «Проверьте свой приз» — QR ведёт на фишинговый опрос, в конце которого просят ввести данные карты «для доставки приза».

Почему квишинг так эффективен

  • Обходит email-фильтры. URL в тексте письма проверяется антифишинговой системой. QR-код — картинка, URL в ней не виден.
  • Обходит Safe Links. Microsoft Defender Safe Links не переписывает URL из QR-кодов.
  • Контекстуальное доверие. QR на «официальном» парковомате выглядит официально.
  • Скрытый URL. Большинство пользователей не читают URL после сканирования перед переходом.

Красные флаги при встрече с QR-кодом

  • Код выглядит как наклейка поверх другого изображения
  • QR в письме вместо обычной кликабельной ссылки
  • После сканирования — запрос данных карты или пароля
  • URL из кода — короткая ссылка или незнакомый домен
  • Сайт по QR-коду выглядит «почти как официальный», но адрес другой

Как защититься от квишинга

  • Всегда проверяйте URL перед переходом после сканирования
  • Скопируйте URL и вставьте в 2check.click для анализа
  • Осматривайте физические коды на наличие наклеек-подделок
  • Для оплаты парковки используйте официальные приложения (Парковки Москвы, etc.), а не QR
  • При сомнениях — не сканируйте

Подробнее о безопасности QR-кодов в целом — в руководстве безопасны ли QR-коды.

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

Сообщают ли в России о случаях мошенничества с QR?

Да, МВД фиксирует случаи мошенничества с поддельными QR-кодами на парковках и в других местах. Число таких случаев растёт по мере распространения оплаты через QR.

Как мошенники создают фишинговые QR-коды?

Это элементарно: любой бесплатный онлайн-генератор QR-кодов создаёт код за секунды. Мошенник вводит URL своего поддельного сайта — и QR готов.

Можно ли восстановить деньги, потерянные через QR-мошенничество?

Немедленно обратитесь в банк. Если вы сообщили быстро и операция не прошла окончательно, есть шанс отозвать платёж. Шансы возврата зависят от скорости реакции и политики банка.

Отличается ли QR-мошенничество в мессенджерах от физического?

По механизму — то же самое. Контекст доверия разный: физический QR на официальном месте вызывает больше доверия, чем QR в случайном сообщении. Но оба опасны одинаково.

Проверяет ли Google или Apple официальные магазины приложений QR-коды?

Нет. Магазины приложений не имеют отношения к QR-кодам в реальном мире. QR-код может вести куда угодно.

Что делать, если я уже ввёл данные карты после QR-мошенничества?

Немедленно позвоните в банк и заблокируйте карту. Сообщите о мошенничестве. Подробнее — в руководстве что делать после перехода по фишинговой ссылке.

Популярные статьи

Получили подозрительную ссылку?

Проверьте сейчас →

Похожие статьи