QR-коды прочно вошли в нашу повседневную жизнь. Мы сканируем их, чтобы оплатить покупки в магазине, оставить чаевые в ресторане или даже просто посмотреть меню. Это удобно: не нужно вводить длинные реквизиты, достаточно навести камеру и подтвердить платёж.
Но именно эта простота делает QR-коды привлекательной мишенью для мошенников. QR-код нельзя «прочитать глазами». Вы не видите, куда именно он ведёт, пока не отсканируете его. Этим и пользуются злоумышленники.
А ведь чёрно-белым квадратом может скрываться что угодно: фишинговый сайт, ссылка на скачивание вредоносного приложения или подменные реквизиты получателя. Как не попасться на удочку и сохранить свои деньги? Разбираемся в статье.
Почему QR-коды удобны — и опасны
QR-код может содержать почти любую информацию: ссылку, реквизиты для оплаты, форму перевода или даже файл для скачивания. Телефон распознаёт его и сразу предлагает действие — например, перейти на сайт или оплатить покупку.
Проблема в том, что:
- приложение не всегда понимает, что именно зашито в коде;
- ссылка может выглядеть «как настоящая»;
- пользователь часто действует автоматически и не проверяет детали.
В итоге человек сам подтверждает операцию — и, если код был подменён, деньги уходят мошенникам. Преступникам даже не нужно взламывать устройство или перехватывать данные.
Как мошенники используют QR-коды
Внешне поддельный код почти неотличим от настоящего. Преступники генерируют свои QR-коды с помощью бесплатных онлайн-сервисов, а затем размещают их там, где люди привыкли платить или получать информацию. Основные схемы выглядят так:
Подмена кодов в общественных местах. Самый распространённый способ — наклеить свой код поверх официального. Это может быть паркомат, столик в кафе, терминал для аренды самокатов или даже объявление о благотворительности. Человек сканирует код, думая, что оплачивает парковку или переводит чаевые официанту, а деньги уходят злоумышленникам.
Фишинговые письма и рекламные сообщения. Вам приходит письмо от «службы поддержки банка», «Почты России» или «курьерской службы» с просьбой отсканировать QR-код, чтобы подтвердить адрес доставки, отменить подозрительную операцию или получить посылку. Переход по такому коду ведёт на поддельный сайт, где вас попросят ввести данные карты или код из СМС. Такая же схема работает с рекламными сообщениями о бонусах и акциях.
Вредоносные приложения. QR-код может вести на страницу скачивания приложения. Это может быть «специальная версия» приложения банка или, например, игра с выводом денег. Установив такую программу, вы сами даёте мошенникам доступ к своему смартфону, благодаря чему они могут красть логины, пароли, СМС‑коды, получать доступ к банковским приложениям и даже оформлять кредиты на ваше имя.
Снятие наличных через QR-код. В некоторых банках есть функция снятия денег в банкомате по QR-коду. Мошенники звонят жертве, представляются сотрудниками безопасности и убеждают сгенерировать код в приложении, якобы для отмены несанкционированной операции или защиты денег. Достаточно прислать скриншот этого кода — и преступники спокойно снимают деньги в ближайшем банкомате.
Как проверить QR-код перед оплатой
Главный принцип безопасности — всегда проверять, куда ведёт QR-код, прежде чем переходить по ссылке или подтверждать платёж. Даже если вокруг очередь или вас подгоняют, лучше потратить несколько секунд на проверку.
Несколько простых правил помогут снизить риски.
- Смотрите на внешний вид кода. Если наклейка наложена поверх другой, имеет следы переклейки, плохое качество печати или необычный вид — лучше не использовать такой код. В кафе или магазине можно попросить альтернативный способ оплаты: по закону продавец обязан его предоставить.
- Проверьте, откуда код. QR-код должен быть размещён на официальном сайте, на кассе или в самом заведении. Коды с листовок, объявлений и случайных баннеров — зона риска.
- Используйте приложения с предпросмотром. Многие современные QR-сканеры (например, Kaspersky QR Scanner, SecScanQR) показывают ссылку до перехода. Посмотрите на адрес: если он начинается с https://, это хорошо, но не гарантия безопасности. Проверьте, соответствует ли домен официальному названию организации. Например, если вместо sberbank.ru окажется sber-bank.ru или что‑то похожее — это верный признак подделки.
- Не вводите личные данные после сканирования. Если сайт, на который вы попали по QR‑коду, просит номер карты, CVV, пароль от онлайн‑банка или паспортные данные — немедленно закройте вкладку. Легальные сервисы обычно не требуют таких сведений при оплате через СБП.
- Скачивайте приложения только из официальных магазинов. Никогда не устанавливайте программы по QR‑коду с листовок, подозрительных сайтов или из сообщений от незнакомцев. Даже если код выглядит «банковским» — лучше зайти в AppStore или Google Play и найти нужное приложение самостоятельно.
- Будьте осторожны с «халявой». Если вам обещают суперскидку, выигрыш или бесплатный бонус, а для получения нужно отсканировать код — скорее всего, это ловушка. Бесплатный сыр, как известно, бывает только в мышеловке.
- Обращайте внимание на реквизиты перед оплатой. Когда вы сканируете код в приложении банка, всегда проверяйте имя получателя, назначение платежа и сумму. Если вместо названия магазина видите непонятный ник или постороннюю организацию — откажитесь от платежа.
Что делать, если вы уже попались
Если вы поняли, что перевели деньги мошенникам или установили подозрительное приложение, действуйте быстро:
Обратитесь в банк. Напишите в чате мобильного приложения банка или позвоните на горячую линию и объясните ситуацию. Возможно, транзакцию можно отменить. А если деньги и вовсе списались без вашего согласия, напишите заявление о несанкционированной операции. По закону «О национальной платежной системе» вы имеете право оспорить перевод, если докажете, что не совершали его и не нарушали правила безопасности.
Подайте заявление в полицию. Чем больше у вас будет доказательств — скриншотов, выписки по счёту, переписки — тем лучше. Правоохранители не всегда находят преступников, но без вашего заявления шансов нет совсем. Вдобавок, даже если злоумышленников не найдут, заявление может помочь в процессе обжалования транзакции в банке, а, возможно, даже вернуть деньги или отменить операцию.
Смените пароли. Если вы вводили данные на фишинговом сайте или подозреваете, что устройство заражено, смените пароли от онлайн‑банка, почты и Госуслуг. Желательно делать это с другого, заведомо чистого компьютера или смартфона. Удалите приложение, если установили что-то подозрительное.
Если ввели данные карты на мошенническом ресурсе, сразу её заблокируйте. Это также можно сделать через мобильное приложение банка или позвонив на горячую линию. Чем быстрее вы это сделаете, тем выше шанс, что сможете сохранить деньги.
Если на вас оформили кредит — доказывайте свою непричастность. В случае, когда мошенники получили доступ к вашему личному кабинету и взяли заём от вашего имени, требуйте от банка аннулирования договора. Если финансовая организация отказывается, обращайтесь в суд.
QR-коды сами по себе безопасны. Риск возникает в момент, когда вы не размышляете о том, что именно сканируете и куда переводите деньги. Мошенники рассчитывают на спешку и привычку «нажимать, не глядя». Поэтому главный способ защиты — не торопиться и проверять детали. Это занимает несколько секунд, но может сэкономить деньги и нервы.