Вы подходите к шлагбауму на парковке. Наличных нет, карту не берёт, зато есть табличка: «Оплата по QR-коду». Сканируете. Вводите сумму. Подтверждаете. Деньги ушли — но не на парковку.
Именно так работает одна из самых быстро растущих схем 2025–2026 года. Без звонков. Без давления. Без подозрительных незнакомцев. Просто квадратик на бумаге.
Что такое QR-фишинг и почему он опаснее обычного
Обычный фишинг выглядит подозрительно: странное письмо, кривой текст, незнакомый отправитель. Мозг успевает насторожиться.
QR-код — другая история. Он молчит. Он не объясняет, куда ведёт. Вы не видите адрес сайта до тех пор, пока уже не открыли страницу. А иногда и после открытия — потому что адрес замаскирован под что-то знакомое.
Банк России фиксирует: число случаев мошенничества через QR-коды в публичных местах растёт с 2024 года. Схема работает на усталость и автоматизм: человек привык сканировать, не думая.
Главное, что делает этот вид мошенничества эффективным — легитимность контекста. Объявление висит в вашем подъезде. На парковке, которой вы пользуетесь годами. В кафе, куда зашли пообедать. Мошенники не ломятся в дом — они ждут вас там, где вы расслаблены.
Парковка: классика жанра
Начнём с самого распространённого сценария.
Вы паркуетесь у торгового центра, больницы, офиса. На шлагбауме или стойке оплаты — наклейка с QR-кодом и надписью «Оплатить стоянку». Выглядит официально. Шрифт чистый, логотип города или управляющей компании — всё на месте.
Разница между настоящим кодом и поддельным — один слой скотча. Мошенники печатают свою наклейку и клеят поверх оригинала. Вы сканируете — и попадаете на сайт-клон платёжной страницы. Вводите данные карты. Деньги списываются не за парковку, а напрямую злоумышленникам.
Иногда сумма небольшая — 100–200 рублей. Именно поэтому многие даже не проверяют, прошла ли оплата по назначению. А мошенники при этом получили полные реквизиты вашей карты.
Что делать: перед оплатой загляните на официальный сайт управляющей компании или паркинга. Если сайт из QR-кода не совпадает с официальным — не вводите ничего.
Вообще QR-коды опасны именно тем, что превращают обычную оплату в слепой переход по ссылке. Вы вроде бы просто платите за парковку, меню или посылку, а на деле можете сами ввести данные карты на поддельном сайте. Поэтому здесь особенно важно помнить базовые правила защиты счёта. Я подробно разбирал их в статье «Карту не украли, а деньги списали: 7 привычек, которые защитят счёт от мошенников». Там как раз о том, почему лучше платить виртуальной картой, не держать все деньги на одной карте и всегда смотреть, куда именно вы вводите реквизиты.
Подъезд: «срочное объявление от управляющей
На двери подъезда или доске объявлений появляется листок: «Уважаемые жильцы! В связи с переходом на новую систему оплаты ЖКУ просим пройти верификацию по QR-коду до 10-го числа. Иначе возможны перебои в начислениях».
Текст написан казённым языком. Печать похожа на настоящую. Подпись: «Администрация УК».
Вы сканируете. Открывается страница, которая просит ввести номер лицевого счёта, ФИО, дату рождения — «для подтверждения». Иногда ещё и номер телефона. Этого достаточно, чтобы потом позвонить вам «из управляющей компании» и дожать до перевода денег или передачи кода из СМС.
Настоящие управляющие компании не вешают QR-коды для верификации в подъездах. Все изменения в системе оплаты отражаются в квитанциях или на официальном сайте.
Что делать: позвоните в свою УК напрямую — номер есть на квитанции. Спросите, они ли повесили объявление. Ответ вас удивит.
Кафе и рестораны: меню, которое ворует данные
С пандемии QR-коды вместо бумажных меню стали нормой. И мошенники этим пользуются.
Схема простая. В кафе с QR-меню злоумышленник — это может быть и случайный посетитель, и специально нанятый человек — приклеивает на стол или подставку свой QR-код поверх настоящего. Или вовсе меняет табличку целиком.
Вы сканируете. Открывается сайт, очень похожий на меню заведения. Но в какой-то момент вас просят «создать аккаунт для бонусов» или «подтвердить заказ через оплату». Дальше — стандартный сбор данных карты.
Есть и более тонкий вариант: сайт автоматически запрашивает доступ к микрофону, камере или геолокации. Многие нажимают «Разрешить», не читая. А вредоносный скрипт тем временем уже работает.
Что делать: если меню просит войти, зарегистрироваться или оплатить что-либо — это не меню. Попросите бумажный вариант или спросите официанта.
Кстати, больше о безопасности в сети и цифровой гигиене мы рассказываем в нашем Мах-канале Pochinka. Присоединяйтесь!
Объявления в лифте и на остановках: «выиграйте приз»
«Вы выбраны участником акции от [название известного магазина]! Отсканируйте код и получите подарок». Иногда — купон на скидку, иногда — «социальная выплата», иногда — «возврат переплаты по коммунальным услугам».
Приманка подобрана под аудиторию: пенсионеры и люди среднего возраста чаще реагируют на слова «выплата», «возврат», «положено по закону».
После сканирования — сайт с формой. Имя, телефон, номер карты «для зачисления». Иногда просят небольшой «взнос для подтверждения»: 1–2 рубля. Но вместе с этим рублём уходят все реквизиты.
Реальные акции крупных сетей не распространяются через самодельные объявления в лифте. У них есть приложения, официальные сайты и кассы.
Что делать: ни одна законная компания не просит вводить данные карты для получения приза. Никогда.
«Оплата услуг»: новые точки атаки
Мошенники активно осваивают места, где люди привыкли платить:
Медицинские учреждения. На стойке регистратуры или в коридоре клиники появляется объявление: «Оплата анализов и услуг по QR-коду — без очереди». Люди спешат, нервничают, хотят быстро. Сканируют — и платят не в кассу больницы.
Пункты выдачи заказов. Небольшие пункты СДЭК, Boxberry, пятёрочкинские постаматы — мошенники клеят коды рядом с настоящими терминалами. Человек думает, что оплачивает получение посылки.
Объявления об аренде. «Снять однушку, 35 000 ₽, без посредников. Подробности — по QR». Код ведёт на форму, где просят «внести залог для бронирования». Квартиры не существует.
Храмы и благотворительные акции. Один из самых жестоких сценариев. Рядом с настоящим QR-кодом для пожертвования размещается поддельный. Деньги уходят не туда.
Как отличить настоящий QR-код от поддельного: 5 признаков
Гарантий нет, но есть признаки, которые должны насторожить:
1. Наклейка поверх наклейки. Потрогайте код рукой. Если поверхность неровная, есть слои — кто-то что-то переклеил.
2. Адрес сайта не совпадает с организацией. После сканирования, до того как нажали что-либо, посмотрите на адресную строку. parkmos.ru и parkmos-pay.ru — это разные сайты.
3. Сайт сразу просит данные карты. Легитимные платёжные страницы работают через известные агрегаторы: Сбербанк, ЮKassa, Тинькофф. Незнакомый сайт с полем «номер карты» — стоп.
4. Сайт запрашивает лишние разрешения. Меню кафе не нуждается в доступе к вашей камере.
5. Нет HTTPS. Если адрес начинается с http:// без буквы «s» — данные передаются в открытом виде. На таком сайте не вводите ничего.
Что делать, если уже отсканировали и ввели данные
Главное — действовать быстро. Промедление здесь дорого стоит буквально.
Немедленно позвоните в банк и заблокируйте карту. Большинство банков принимают такие звонки круглосуточно. Попросите выпустить новую карту с новыми реквизитами.
Если успели — отмените транзакцию через приложение банка. Опротестуйте платёж: это называется чарджбэк. Банк обязан рассмотреть заявление.
Подайте заявление в полицию. Да, шансы найти мошенников невелики. Но заявление нужно: во-первых, для возможного возврата через банк, во-вторых, статистика помогает бороться со схемой системно.
Смените пароли от банковских приложений и личных кабинетов, если вводили их на подозрительном сайте.
И здесь важно сказать честно: одна статья не закрывает всю тему мошенничества. QR-коды — только один из входов. Сегодня человек может попасться на поддельной оплате парковки, завтра — на звонке “из банка”, послезавтра — на сообщении якобы от Госуслуг или родственника.
Мы в Pochinka разобрали больше тысячи реальных случаев, когда люди теряли деньги, и собрали из них отдельный PDF-гайд по защите от телефонных мошенников. Не в формате “будьте внимательнее”, а как рабочую памятку, которую можно открыть самому, распечатать и дать родителям.
Внутри — 6 признаков мошенника, которые видно уже в первые 30 секунд разговора, 4 фразы, после которых многие аферисты сами кладут трубку, чек-лист защиты телефона за 10 минут, простая система паролей, защита Госуслуг и пошаговый план на случай, если деньги уже ушли.
Гайд стоит 299 ₽. Купить его можно по ссылке: https://fandz89.pythonanywhere.com/
Иногда одна вовремя прочитанная инструкция экономит не 299 рублей, а все деньги на карте.
Главное правило
QR-код — это просто ссылка. Быстрая, удобная и невидимая до момента перехода. Именно поэтому к нему нужно относиться так же внимательно, как к незнакомому номеру телефона или подозрительному письму на почте.
Прежде чем сканировать — спросите себя: кто разместил этот код и зачем? Если ответа нет или он неубедителен, лучше найти другой способ оплатить, узнать или получить.
Мошенники работают быстро и аккуратно. Но их схемы работают только тогда, когда мы торопимся и не смотрим.
Сохраните статью и перешлите тем, кто пользуется QR-кодами в повседневной жизни — это может уберечь их от реальных потерь.