QR-коды теперь везде: на парковках, в кафе, в рекламе, даже на упаковке товаров. Но сканирование чужого QR-кода — как вскрытие конверта на улице: вы не знаете, что внутри.
В 2024–2025 годах фишинг через QR-код стал одним из самых быстрорастущих видов мошенничества в России. За первые 11 месяцев 2024 года Банк России зафиксировал более 400 000 случаев, связанных с поддельными QR.
Вот как это работает — и как защититься.
🔍 Как работает фишинг через QR-код
Шаг 1. Мошенник наклеивает свой QR-код поверх настоящего — например, на парковочный автомат, меню в кафе или рекламный баннер.
Шаг 2. Вы сканируете его камерой телефона.
Шаг 3. Телефон автоматически открывает сайт — часто точную копию официальной страницы (СберБанк, Госуслуги, Wildberries).
Шаг 4. Вы вводите данные — и они уходят напрямую мошенникам.
Главная опасность: вы не видите адрес сайта, пока не перейдёте по ссылке. А к тому времени — уже поздно.
🚩 4 признака поддельного QR-кода
Признак 1. Наклейка поверх
→ Код не напечатан, а наклеен на поверхность.
→ Края приподняты, есть пузыри, не совпадает с дизайном.
Признак 2. Повреждения или размытость
→ Официальные QR-коды чёткие, без разводов.
→ Если код расплывчатый — его могли перепечатать с другого источника.
Признак 3. Отсутствие логотипа или названия
→ У настоящего QR от кафе, банка или сервиса в центре часто есть логотип.
→ Поддельный — чистый, без опознавательных знаков.
Признак 4. Расположение в странном месте
→ QR на столбе, асфальте, листовке на подоконнике — повод насторожиться.
→ Официальные коды размещаются в зоне ответственности организации (меню, касса, официальный стенд).
🛡️ Как безопасно сканировать QR-коды
Правило 1. Никогда не подтверждайте действия без проверки URL
→ После сканирования не нажимайте «Разрешить» или «Продолжить» сразу.
→ Внимательно посмотрите адрес в строке браузера:
— Настоящий: gosuslugi . ru, sberbank . ru
— Поддельный: gosuslugi - pay . top, sber - login . xyz
Правило 2. Используйте камеру, а не сторонние сканеры
→ Встроенные камеры iPhone и Android показывают URL перед переходом.
→ Сторонние приложения (например, «QR Scanner» из магазина) могут перенаправлять без предупреждения.
Правило 3. Не сканируйте коды из непроверенных источников
→ Не сканируйте QR из:
— SMS и мессенджеров («Ваш заказ готов — оплатите по коду»)
— Почтовых рассылок
— Листовок на улице
— Социальных сетей («Сканируй, чтобы получить приз»)
Правило 4. Если сомневаетесь — наберите адрес вручную
→ Лучше потратить 10 секунд, чем потерять доступ к аккаунту.
→ Официальные сайты всегда доступны через поиск или закладки.
📋 Что делать — и чего НЕ делать
Что делать:
→ Проверяйте, не наклеен ли код поверх
→ Сканируйте только встроенной камерой
→ Всегда сверяйте URL после сканирования
→ Сообщайте о подозрительных QR сотрудникам (в кафе, на парковке)
Чего НЕ делать:
→ Не сканируйте QR с улицы, листовок, неизвестных упаковок
→ Не подтверждайте вход или оплату без проверки адреса
→ Не используйте «быстрые сканеры» из App Store / Google Play без проверки репутации
→ Не сохраняйте подозрительные ссылки в закладки
📌 Главное — на память
— QR-код — это просто ссылка. Он не «безопаснее» текста.
— Вы не видите, куда ведёт код, пока не перейдёте.
— Проверка URL — обязательный шаг, даже если код «выглядит официально».
Согласно отчёту Банка России за ноябрь 2024 года, 76% жертв QR-фишинга не проверили адрес сайта перед вводом данных. Восстановление ущерба в таких случаях занимает в среднем 47 дней.