Вы садитесь за столик в кафе. На столе — подставка с QR-кодом. «Сканируйте для меню». Наводите камеру. Переходите по ссылке.
Меню открывается. Всё нормально.
Но иногда — не меню. Иногда открывается страница, которая выглядит как страница оплаты или авторизации. Вы вводите данные карты. И только через месяц, получив выписку, понимаете, что что-то пошло не так.
QR-код в кафе мог быть чужим. Наклеенным поверх настоящего. Пять минут работы — и ловушка готова.
Что такое квишинг
У этой схемы есть название — квишинг. От английских QR и phishing. Фишинг через QR-коды.
Принцип простой. Мошенник создаёт QR-код, который ведёт на поддельный сайт. Сайт выглядит как настоящий — банк, магазин, портал оплаты. Вы вводите данные. Данные уходят мошеннику.
По данным компании Egress, в 2024 году доля фишинговых атак с использованием QR-кодов выросла на 1400% по сравнению с 2021 годом. Россия входит в десятку стран с самой высокой активностью сканирования QR-кодов. Удобный инструмент стал удобной мишенью.
Схема первая: подмена кода в кафе
Самая распространённая схема — физическая подмена. Мошенник приходит в кафе или ресторан, где QR-коды стоят на столах для меню или оплаты. Печатает свой код на обычном принтере. Наклеивает поверх настоящего. Уходит.
По данным компании Angara Security, именно эта схема резко участилась в 2024–2025 годах — в ресторанах и на самокатах кикшеринг-сервисов.
Внешне подделка неотличима от оригинала. Тот же размер. Та же наклейка. Только ведёт куда надо мошеннику, а не владельцу кафе.
Вместо меню открывается страница, похожая на страницу оплаты. Просит ввести данные карты. Или авторизоваться через Госуслуги. Или скачать «приложение кафе» — которое окажется вредоносным.
Схема вторая: квитанции ЖКХ
В почтовый ящик приходит квитанция за коммунальные услуги. Выглядит как настоящая. Логотип, реквизиты, сумма. И QR-код для быстрой оплаты.
Вы сканируете. Переходите. Оплачиваете.
Деньги уходят мошеннику. Настоящий поставщик услуг денег не получает. Долг копится. Вы узнаёте об этом через месяц, когда приходит следующая квитанция — уже с задолженностью за прошлый период.
Аналитик компании R-Vision Игорь Семенюта называет поддельные квитанции ЖКХ одним из самых распространённых видов квишинга в России. Схема работает потому что люди не проверяют реквизиты — просто сканируют и платят.
Схема третья: объявления о продаже
Вы покупаете что-то на онлайн-площадке. Продавец предлагает оплатить по QR-коду — «так удобнее». Присылает картинку с кодом.
Код ведёт не на счёт продавца, а на фиктивный платёжный кошелёк. Деньги уходят. Товара нет. Продавец исчез.
По словам депутата Госдумы Антона Немкина, такие схемы особенно распространены при продаже техники, билетов на мероприятия и при аренде жилья.
Чем ещё опасен чужой QR-код
Не всегда цель — украсть деньги напрямую. Иногда QR-код ведёт на страницу, которая просит авторизоваться — через соцсети, через Госуслуги, через аккаунт на маркетплейсе. Вы вводите логин и пароль. Они уходят мошеннику.
Иногда — скачивается приложение. Выглядит как обычная программа. Внутри — шпион. Он читает SMS, перехватывает коды, следит за вводимыми паролями.
В некоторых случаях фишинговая страница открывается, делает своё дело и перенаправляет на настоящий сайт. Вы ничего не замечаете. Данные уже ушли.
Как отличить настоящий QR от поддельного
Визуально — никак. Это главная проблема. Любой QR-код выглядит одинаково. Чёрные квадраты на белом фоне.
Но есть простые правила, которые закрывают большинство рисков.
Первое: перед переходом смотрите на адрес ссылки. Большинство смартфонов показывают URL до того, как вы нажмёте «перейти». Если адрес выглядит странно — длинный, с лишними символами, незнакомое название домена — не открывайте.
Второе: если QR-код в кафе или магазине — посмотрите на него физически. Не наклеен ли один код поверх другого? Край наклейки, бугорок под ней — признак подмены.
Третье: никогда не вводите данные карты на странице, куда попали через QR-код. Особенно если эта страница появилась неожиданно и просит срочно авторизоваться или заплатить.
Четвёртое: приложения — только из официальных магазинов. AppStore и Google Play. Никаких установок по QR-коду с наклеек, листовок или объявлений.
Пятое: квитанции ЖКХ с QR-кодами лучше оплачивать через официальное приложение управляющей компании или банка — напрямую, без сканирования бумажного кода.
Сталкивались с поддельными QR-кодами? Или только сейчас узнали, что так бывает? Напишите в комментариях — и поставьте лайк, если статья была полезной.
