Мошенничество с QR-кодами — как не попасться
QR-коды давно стали частью повседневной жизни — мы ими оплачиваем парковку, читаем меню в кафе, получаем скидки и даже входим в личные кабинеты. Но именно эта простота открыла дорогу новому виду обмана — QR-код мошенничество, или квишинг (от QR + фишинг).
По определению исследователей Trend Micro, квишинг — это разновидность фишинга, когда вместо ссылки в письме или сообщении злоумышленники предлагают отсканировать QR-код, ведущий на поддельный сайт или страницу оплаты. HoxHunt дополняет: визуально QR не вызывает подозрений, а смартфон автоматически открывает ссылку, не показывая полный адрес. В результате человек попадает на фейковую страницу, где вводит данные карты, логин от банка или просто оплачивает «услугу», деньги от которой уходят напрямую мошенникам.
Что такое QR-фишинг важно знать каждому, — причина в анонимности и удобстве для преступников. Подделать наклейку с кодом или вставить её в электронную квитанцию можно за минуты, а найти автора почти невозможно. В 2024 году киберразведка Trend Micro зафиксировала рост подобных атак более чем на 50 %.
QR удобен: маленькое изображение — огромный потенциал обмана. И если раньше мошенники присылали подозрительные письма, то теперь достаточно подменить код на столе в кафе, в счёте или на парковочном автомате — и ловушка готова.
Как работают такие коды
Поддельные QR-коды стали универсальным инструментом обмана. Преступники действуют просто: берут настоящий код, заменяют его наклейкой с новым, ведущим на фейковый сайт, и ждут, пока кто-то отсканирует. На первый взгляд ничего не отличается — тот же логотип, тот же дизайн, только деньги уходят не кафе, а злоумышленнику.
По данным Action Fraud (британской киберполиции), наиболее распространённые схемы выглядят так:
- Подмена в офлайне. Мошенники наклеивают свой поддельный QR поверх оригинала — на столиках кафе, паркоматах, билетных терминалах, упаковках посылок.
- Фальшивые квитанции и счета. Через электронную почту рассылаются PDF-документы с QR-кодом для оплаты «услуг» или «долга». После сканирования пользователь попадает на фишинговую страницу с формой оплаты.
- QR-коды в мессенджерах. В Telegram и WhatsApp рассылаются изображения с заманчивыми предложениями: «Подарок от банка», «Скидка 70 %», «Купон на доставку». После перехода загружается вирус или вредоносное приложение.
- «Brushing»-посылки. Получатель находит посылку с QR на коробке. Сканирование ведёт на сайт, имитирующий службу доставки, где нужно «подтвердить данные». Фактически — передать логин и пароль злоумышленникам.
Habr и другие медиа сообщают о реальных случаях, когда мошенники QR-кодов подменяли платежные ссылки даже в терминалах парковки крупных городов. Люди оплачивали стоянку, а позже получали штрафы — деньги-то ушли не оператору.
Почему этот метод стал массовым? Всё просто: QR невозможно «увидеть» глазами. Если ссылка выглядит подозрительно, пользователь насторожится. Но квадрат из чёрно-белых клеток — нет. Телефон открывает страницу автоматически, и на проверку остаются секунды. Этим и пользуются мошенники.
Реальные кейсы за 2025 год
В 2025 году QR мошенничество вышло на новый уровень. По данным Action Fraud и Financial Times, количество зарегистрированных случаев в Великобритании выросло более чем вдвое за год. Потери пользователей превысили 3,5 миллиона фунтов, и это только официальные данные.
В России и СНГ ситуация похожа. Журналисты РИА Новости описывали случаи, когда в почтовые ящики жильцов многоквартирных домов подбрасывали фальшивые квитанции с QR-кодами «за коммуналку». Люди оплачивали, думая, что это ЖКХ, но деньги уходили на счета фиктивных фирм.
Другой пример — онлайн-покупки. Поддельные QR-коды распространяют через социальные сети: «оплата доставки», «подтверждение заказа», «получите скидку». Схема проста: пользователь сканирует, попадает на страницу, похожую на сайт Wildberries или Ozon, вводит данные карты — и теряет деньги.
По оценке экспертов Financial Times, рост атак связан с тем, что QR стал стандартом в повседневных платежах — от парковки до налоговых платежей. А значит, у мошенников появилась универсальная среда, где доверие уже встроено.
Поддельные QR-коды опасны именно своей незаметностью. Бизнесу сложно отследить подмену — кто-то просто наклеил поверх оригинала новый стикер. А пользователю трудно отличить настоящий код от фальшивого: визуально они одинаковы. Поэтому регуляторы и банки предупреждают: проверять сайт перед оплатой стало обязательным правилом цифровой гигиены.
4.800.000 ₽
4.800.000 ₽
5.000.000 ₽
5.000.000 ₽
4.500.000 ₽
4.500.000 ₽
6.200.000 ₽
6.200.000 ₽
1.300.000 ₽
1.300.000 ₽
100.000 ₽
100.000 ₽
Что скрывает QR-код
Любой QR-код — это просто ссылка, зашитая в графический рисунок. Но именно поэтому поддельные QR-коды так опасны. Они могут вести не только на фишинговый сайт, но и инициировать действия на устройстве без вашего участия.
Эксперты HoxHunt объясняют, что при сканировании телефона с Android возможны автоматические загрузки APK-файлов — именно так распространяется вредоносное ПО, которое крадёт данные или перехватывает SMS от банка. На iOS риск ниже, но остаются сценарии с подменой формы входа или запросом авторизации через соцсети.
Компания Keeper отмечает, что через поддельный QR можно передать и POST-запрос, который отправит данные карты прямо на сервер мошенников. Такие схемы особенно часто используются для имитации онлайн-платежей: пользователь вводит реквизиты, нажимает «Оплатить», и страница мгновенно «зависает» — на самом деле данные уже ушли злоумышленникам.
В 2024 году ФБР и Почтовая служба США (US Postal Inspection Service) официально предупредили о росте подобных атак: злоумышленники печатают QR на наклейках и размещают на парковках, терминалах и в общественных местах. Юридически доказать подмену почти невозможно: код визуально неотличим, а мошенники используют одноразовые домены и анонимные криптокошельки.
Отсюда и главный риск: пользователь считает, что оплачивает услугу или проверяет доставку, а на деле передаёт свои данные в руки преступников. QR не содержит угрозы сам по себе — но поддельные коды превращают удобный инструмент в опасную ловушку.
Как распознать подделку
Главное правило — не сканировать всё подряд. Особенно если код пришёл от незнакомого отправителя или наклеен в неожиданном месте. Поддельные QR-коды часто маскируются под официальные, но есть признаки, которые можно заметить.
Проверка перед сканированием:
- Посмотрите на саму наклейку. Подделки часто криво наклеены, имеют двойной слой, перекошенные края.
- Проверьте адрес перед переходом. Современные камеры показывают URL под QR. Если ссылка не начинается с https:// и домена компании (например, банка), не переходите.
- Сверьте получателя. Если код ведёт на оплату — убедитесь, что в счёте или меню указано то же юрлицо.
- Проверяйте квитанции и документы. Настоящие счета от банка или ЖКХ не рассылаются через мессенджеры.
- Используйте защищённый браузер. Мобильные версии Chrome и Safari предупреждают о фишинге — не игнорируйте эти уведомления.
Чеклист для пользователя:
| Что должно насторожить | Что делать |
| QR наклеен поверх старого | Не сканировать, сообщить сотрудникам или охране |
| После сканирования открывается длинная или странная ссылка | Закрыть страницу, не вводить данные |
| Просит ввести CVV, пароль, код СМС | Немедленно закрыть и удалить вкладку |
| Сайт без https и логотипа компании | Не проводить оплату |
| Предлагают «получить бонус» или «проверить доставку» | Игнорировать, особенно если не ждёте посылку |
Советы: обновляйте операционную систему, ставьте антивирус, не вводите данные карты и пароли, если не уверены в сайте. Настройте уведомления по операциям — так вы быстрее заметите подозрительные списания.
Что делать, если попался
Если вы уже перевели деньги и поняли, что это было QR мошенничество, действуйте сразу. Каждая минута важна.
- Заблокируйте карту. Позвоните в банк через официальный номер (указан на карте или сайте).
- Сообщите в банк о мошенничестве. Попросите отменить транзакцию или подать заявление на возврат.
- Не удаляйте доказательства. Сохраните скриншоты, сообщения, фото кода — это пригодится при расследовании.
- Обратитесь в полицию и киберподдержку. В России — заявление в МВД, онлайн на «Госуслугах». В других странах — через киберполицию или Action Fraud.
- Сообщите площадке. Если код размещён на сайте, в соцсетях или в мессенджере — отправьте жалобу.
Некоторые банки возвращают средства, если клиент сообщил о проблеме быстро и операция прошла по фейковому адресу. Поэтому важно реагировать сразу, а не ждать уведомлений о списании.
Итоги
QR-коды — удобный инструмент, но только если знать, как им пользоваться. Проверяйте ссылку перед оплатой, не сканируйте подозрительные коды и не переходите по ним из мессенджеров. Если всё-таки попались — сразу блокируйте карту и сообщайте в банк.
Не оставляйте мошенников безнаказанными. Делитесь информацией, предупреждайте друзей и проверяйте сомнительные схемы на Scammer.ru — здесь публикуют разоблачения и реальные кейсы.
Оставьте комментарий
Комментарии (0)