Найти в Дзене
Война. Быт. Тыл. (ВБТ)
563 подписчика

Квишинг: новый способ очистить ваш кошелек

5
5 мин
Квишинг (quishing) — это новый вид мошенничества, который появился в 2024–2025 годах и уже стал настоящим кошмаром для россиян. QR-коды давно и прочно вошли в нашу жизнь, сильно ее упростив: большинство платежей теперь не требуют наличия карты или наличных, достаточно просто отсканировать телефоном черно-белую "мозаику" и платеж моментально уйдет получателю. Также с помощью QR-кода можно посмотреть меню в кафе, быстро скачать нужное приложение, открыть программку в театре, воспользоваться услугами каршеринга, а также сотнями других удобных услуг, постоянно встречающихся нам в повседневной жизни. Жест "отсканировать QR и нажать на кнопку" стал привычным для нас, и именно в этой универсальности и кроется опасность Квишинг (quishing) — это вид фишинга, где мошенники используют QR-коды для обмана. Жертва сканирует код, думая, что оплачивает товар, входит в аккаунт или получает информацию, но вместо этого попадает на фальшивый сайт, где крадут данные карты, логины или деньги. Название - э
Оглавление

Квишинг (quishing) — это новый вид мошенничества, который появился в 2024–2025 годах и уже стал настоящим кошмаром для россиян.

QR-коды давно и прочно вошли в нашу жизнь, сильно ее упростив: большинство платежей теперь не требуют наличия карты или наличных, достаточно просто отсканировать телефоном черно-белую "мозаику" и платеж моментально уйдет получателю. Также с помощью QR-кода можно посмотреть меню в кафе, быстро скачать нужное приложение, открыть программку в театре, воспользоваться услугами каршеринга, а также сотнями других удобных услуг, постоянно встречающихся нам в повседневной жизни.

Жест "отсканировать QR и нажать на кнопку" стал привычным для нас, и именно в этой универсальности и кроется опасность

Квишинг (quishing) — это вид фишинга, где мошенники используют QR-коды для обмана. Жертва сканирует код, думая, что оплачивает товар, входит в аккаунт или получает информацию, но вместо этого попадает на фальшивый сайт, где крадут данные карты, логины или деньги. Название - это комбинация "QR" и "phishing". В 2025 году квишинг стал массовым: по статистике, сканирование QR выросло в 4 раза, а атаки — на 427%.

Чем квишинг отличается от фишинга и почему он так эффективен?

-2

Классический фишинг — это ссылки в письмах email, SMS или сообщения в мессенджерах, которые легко распознать (странный домен, опечатки).

Квишинг скрыт в QR: код выглядит невинно, сканируется мгновенно, и жертва не видит адреса ссылки до перехода. То есть злоумышленники комбинируют методы социальный инженерии с картинкой, которую все считают безопасной.

Эффективность: QR обходит антивирусы (фильтры не читают коды), использует доверие к "удобству" (оплата в кафе, парковка), и работает оффлайн (наклейки в реальности).

В 2025 году 56% атак на 2FA (Двухфакторная аутентификация личности) — через QR, а 10.8% сканирований — вредоносные.

Главная опасность состоит в том, что люди сканируют не думая: в еще незавершившимся 2025 году уже 26 млн. американцев стаи жертвами квишинга по сведениям портала ScamWatching.com.

Модель и типы атаки

-3

Базовая схема выглядит так:

  1. Мошенник создаёт фальшивый QR (ведёт на клон сайта банка/сервиса).
  2. Размещает: наклейка на терминале, email с "счётом", посылка с "подарком".
  3. Жертва сканирует — переходит на фишинг-страницу.
  4. Вводит данные — деньги уходят или аккаунт крадут.
  5. Мошенник обналичивает деньги или продаёт данные. Жертва замечает обман, но сделать уже ничего не может.

Но по сути, квишинг — это любая схема, где QR-код используется как средство доставки фишингового содержимого. В простейшем варианте изображение ведёт на фальшивый сайт, оформленный под почту, облачный диск или сервис банка. Жертва сканирует метку, браузер открывает страницу, а дальше запускается стандартный механизм с подменой домена, имитацией формы входа и сбором учётных данных.

Этот прием просто и эффектно обходит автоматические фильтры и антивирусы почтовых шлюзов и прокси, по той простой причине, что в письме нет прямой ссылки, на которую можно нажать — изображение распознаёт только камера, а анализатор на входе его содержимое часто не распознает.

Опытные мошенники усложняют схему, используя переадресации на доверенные сайты, вложенные PDF с картинкой, или механизмы связывания сканирования с сессией на другом устройстве. Чаще это используется для атаки на корпоративные почтовые сети, которые точно так же не распознают опасности в статичной картинке внутри письма.

Ещё одно направление атак злоумышленников — авторизация входа по QR. Для пользователя это чрезвычайно удобно: вместо пароля вы сканируете код, и вам открывается доступ. Но если показать вашему устройству подменную картинку, то злоумышленник получит активную сессию пользователя, без необходимости взлома пароля и прохождения 2FA. Этот способ получил название QRLJacking, и хотя он довольно сложен в реализации, но остаётся актуальным, особенно с использованием спешки и давления временем.

И один из самых известных вариантов: когда после сканирования QR знакомые приложения в вашем смартфоне неожиданно начинают запрашивать установку обновлений, сторонних приложений, или открытия для них новых разрешений. Это значит. что с помощью кода вам было установлено вредоносное приложение, которое сможет перехватывать вашу телеметрию, одноразовые пароли для банковских приложений, а также другие сведения, которые тут же будет передавать на другое устройство.

-4

Таким образом, систематизируем типы квишинговых атак:

  1. Подмена физического кода в реальной среде: Наклейка поверх настоящего QR на парковке/терминале — сканируешь, платишь мошеннику.
  2. Письма и документы с QR-вложениями: Email "счёта" с QR — ведёт на фишинг. 12% атак — в PDF/JPEG.
  3. Злоупотребление входом «по QR» и QRLJacking: Фальшивый QR для "логина" в WhatsApp/банке — крадёт сессию.
  4. Посылки и листовки с QR-картинками: "Подарок" с кодом — сканируешь, скачиваешь вирус.
  5. Мобильные загрузчики и кража данных с телефона: QR ведёт к приложениям с трояном, которые крадут SMS, данные карт.

5 шагов для быстрой проверки

Каждый раз, собираясь воспользоваться QR-кодом вспомните эти простые шаги и проверьте себя:

  1. Где я увидел код, и логично ли здесь ожидать такую функцию? Если контекст странный — не сканирую.
  2. Кто просит действие — продавец, сервис, курьер? Есть ли альтернативный канал связи, чтобы перепроверить запрос?
  3. Что находится в адресной строке после сканирования — домен знаком, сертификат корректен, нет ли сокращателей?
  4. Не требует ли страница установить приложение или предоставить чрезмерные разрешения на телефоне?
  5. Есть ли давление временем, угрозы или обещание вознаграждения «только сейчас»?

Вывод и заключение

Квишинг — хитрая уловка мошенников, которая эксплуатирует нашу любовь к удобству. В 2025 году это не редкость, а эпидемия: миллиарды рублей, долларов и евро из кошельков простых граждан потеряны по всему миру.

Но соблюдая бдительность и простые правила вы легко сможете себя защитить.

Не давайте себя обмануть — проверяйте каждый код, и ваши деньги останутся при вас. Безопасных вам покупок!

________________________________________________________________________________

Чтобы статьи выходили чаще, а наши бойцы получали помощь на фронте — поддержите нас!

Каждый рубль важен, и даже небольшое участие гораздо ценнее самого искреннего сочувствия!

Поддержать автора на чай

По номеру карты:

  • Т-банк: 5536 9139 7296 7992
  • Альфа: 2200 1513 1591 2803
  • Озон: 2204 3201 6932 0969

Отчёты о доставке гуманитарной помощи

__________________________________________________________________________________

Читайте другие наши статьи по теме кибербезопасности:

Как защитить подростка от цифрового зомбирования?

Основы кибербезопасности для бабушек и дедушек

Основы кибербезопасности: защита детей.