Знакомая картина: вы садитесь за столик, видите QR на подставке, наводите камеру и через секунду уже листаете меню. А теперь представьте, что под этим стикером есть ещё один, наклеенный сверху. Ведёт он совсем не туда, куда вы думаете.
Я занимаюсь цифровой безопасностью пять лет и за это время разобрал десятки схем, где жертва сама приносит мошенникам деньги. QR-код в этом смысле почти идеальный инструмент обмана: он не показывает адрес, не предупреждает и не отличается на вид от безопасного.
Вот где именно прячутся ловушки и как их не пропустить.
Что вообще такое QR-код
Короткий ответ: картинка, в которой зашита строка текста. Чаще всего — ссылка на сайт. Иногда реквизиты для платежа, настройки Wi-Fi или контакт.
Проблема в том, что глазами вы видите чёрно-белый квадратик, а не саму ссылку. Камера видит то же самое. И только после сканирования телефон показывает адрес. Если показывает вообще: некоторые приложения открывают ссылку сразу, без паузы.
Это и есть главная уязвимость. Мошенники называют такую схему квишингом, от QR + phishing. «Лаборатория Касперского» фиксирует: за 2024 год число атак с поддельными QR в России выросло кратно, и тренд продолжается.
Кафе и рестораны: подмена под носом
Самая массовая схема выглядит так. Злоумышленник приходит в обычное кафе как посетитель. Заказывает кофе. Садится поближе к QR-меню или табличке с оплатой чаевых. И аккуратно наклеивает свой стикер поверх настоящего.
Я видел такие наклейки. Они печатаются на тех же материалах, что и оригиналы, часто с похожим логотипом сверху. Отличить можно, только если присмотреться: уголок отклеивается, под ним виден другой код.
Куда ведёт такой QR? Варианты разные. На сайт-двойник банка с формой оплаты. На страницу, которая просит ввести номер карты «для подтверждения чаевых». Иногда на загрузку приложения, замаскированного под платёжное.
Один знакомый официант рассказывал мне, как заметил подмену случайно:
– Гость спросил, почему счёт открывается через какую-то странную форму.
– А вы что?
– Подошёл, оторвал стикер. Под ним второй наш, обычный.
И это в центре Москвы, в нормальном заведении.
Парковки, остановки, объявления на столбах
Уличные QR — отдельная история. Их любят клеить на парковочные автоматы, рядом с расписаниями, на афиши и объявления. Контроля за такими наклейками почти нет: никто не подходит каждый день и не сверяет, тот ли это код.
Частые сценарии:
- Поддельная оплата парковки. Жертва сканирует, попадает на сайт, похожий на сервис города. Вводит карту. Деньги уходят. Парковка не оплачена, машина потом эвакуирована.
- Фейковая зарядка для электросамоката. QR на самокате подменяют, оплата идёт мошенникам, самокат не разблокируется.
- Объявления о «социальных выплатах» на остановках. Сканируешь — попадаешь на форму с просьбой ввести паспорт, СНИЛС и реквизиты карты.
Городские сервисы почти никогда не просят вводить реквизиты карты на странице, открытой через QR со столба. У них есть приложения и проверенные сайты.
Письма, упаковки и листовки в почтовом ящике
Это более тонкий канал. Вы получаете письмо, на бумаге или в электронной почте, где вместо ссылки красивый QR. Мол, отсканируйте, чтобы продлить подписку, получить бонус или подтвердить доставку.
Зачем так делают? Чтобы обойти антифишинговые фильтры. Почтовые сервисы умеют проверять текстовые ссылки. Картинку с QR почтовые фильтры анализируют куда хуже. Это вполне рабочий способ протащить опасный адрес прямо в ваш ящик.
Я протестировал несколько таких писем в безопасной среде. Сценарий обычно один: QR ведёт на страницу, неотличимую от страницы входа в банк, маркетплейс или Госуслуги. Адрес там кривой, но никто не смотрит на адрес после сканирования. Все смотрят на знакомый логотип.
Если пришло письмо с QR от «банка», «налоговой» или «службы доставки» — это сразу красный флаг. Настоящие компании дают обычные ссылки или просят зайти в их приложение.
Что происходит после сканирования
Многие думают: ну отсканировал, и что. Я же ничего не нажал. На деле сценариев несколько, и не все они требуют ваших действий.
Сценарий раз: открывается сайт-двойник. Вы видите знакомый интерфейс, вводите логин и пароль. Через секунду они уже у мошенников. Дальше: вход в ваш аккаунт, перевод денег, оформление кредита.
Сценарий два: QR ведёт на загрузку файла. На Android может предложить установить apk-приложение «банка» или «службы поддержки». Внутри — троян, который читает СМС, перехватывает коды подтверждения и сливает доступ к мобильному банку.
Более коварный вариант: ссылка содержит готовую платёжную форму с уже заполненными реквизитами. Вам остаётся только подтвердить отпечатком пальца. Сумма списывается мгновенно, отменить почти невозможно.
Есть и то, о чём редко говорят. QR может содержать команду на подключение к Wi-Fi-сети мошенника. Телефон молча подключается, и дальше весь трафик идёт через чужое оборудование. Пароли, переписка, банковские сессии — всё видно.
Простой набор правил перед сканированием
Я собрал то, чем пользуюсь сам. Без занудства, по делу.
- Прежде чем поднести камеру, проведите пальцем по стикеру. Если он отклеивается или чувствуется второй слой бумаги — не сканируйте.
- Сравните QR с соседним столиком или другой табличкой. В нормальном заведении коды на меню одинаковые.
- В настройках камеры или сканера включите показ ссылки перед открытием. На iPhone это работает по умолчанию, на Android иногда нужно поставить отдельное приложение-сканер.
- Прочитайте адрес. Реальный домен сети кафе будет коротким и осмысленным. Длинная мешанина символов и редкий домен вроде .top, .xyz, .click — повод закрыть страницу.
- Никогда не вводите реквизиты карты, паспорт или коды из СМС на странице, которую открыли через QR.
- Не устанавливайте приложения по ссылкам из QR. Только через официальные магазины.
Суть в том, что QR — это не способ оплаты и не способ входа. Это просто переадресация. И относиться к ней нужно как к любой подозрительной ссылке в письме от незнакомца.
Где квишинг работает чаще всего
Чтобы понимать масштаб, вот карта рисков по моим наблюдениям и публикациям профильных изданий.
Самые опасные точки — там, где код приклеен в публичном месте без охраны. Кафе и парковки лидируют. Письма идут следом, потому что массово рассылаются.
А если уже отсканировал и что-то ввёл
Это случается. Не нужно паниковать, но действовать стоит быстро.
Сразу звоните в банк и блокируйте карту, с которой вводили реквизиты. Не пишите в чат — именно звоните, по номеру с обратной стороны карты. Скажите: «возможна компрометация реквизитов».
Параллельно меняйте пароли в сервисах, где использовалась та же связка логин-пароль. Включайте двухфакторную аутентификацию везде, где её ещё нет.
Устанавливали приложение по ссылке из QR — удалите его и проверьте телефон антивирусом. На Android этого иногда мало, нужен сброс до заводских. Перед сбросом сохраните контакты и фото в облако.
И подайте заявление в полицию. Без него банк имеет полное право отказать в возврате средств.
Главное в одну строку
QR-код — это просто ссылка. И никто не гарантирует, куда она ведёт. Ни кафе, ни город, ни сервис доставки. Принтер, клей и пять минут — и пункт назначения уже другой.
Привычка проверять адрес перед открытием — не паранойя, а норма гигиены, как мытьё рук. На неё уходит две секунды. А спасает иногда от потери в 30–50 тысяч рублей и долгих месяцев разбирательств с банком.
Есть сомнение — не сканируйте. Закажите официанту меню на бумаге, оплатите парковку через приложение, откройте сайт банка вручную. Это всегда быстрее, чем потом возвращать деньги.