А вы знали, что наклейка с QR-кодом на парковочном счётчике может принадлежать мошеннику? Оригинальный код просто заклеен сверху. Человек сканирует, вводит данные карты — и оплачивает не парковку.
Разбираемся, что скрывается за QR-кодом — и как не попасться.
Почему QR-коды стали инструментом мошенников
QR-код кажется безобидным — просто картинка. Но за ней может скрываться всё что угодно: фишинговый сайт, автоматическая загрузка приложения, инициация платежа, подключение к чужой сети.
Главная проблема — человек не видит, куда ведёт код, до того как его отсканировал. С обычной ссылкой можно прочитать адрес до перехода. С QR-кодом — нет.
Quishing — QR-фишинг
Quishing — от QR и phishing. Мошенник создаёт QR-код, ведущий на фишинговый сайт, и размещает его там, где люди привыкли доверять кодам.
Подмена физических кодов
Самая распространённая схема — наклейка поверх оригинала. Мошенник печатает свой QR-код и наклеивает его на легитимный.
Парковочные счётчики — в США и Европе зафиксированы сотни случаев. Человек сканирует код, попадает на сайт-копию парковочного сервиса, вводит данные карты. Деньги уходят мошеннику, машину эвакуируют.
Ресторанные меню — QR-коды на столиках заменяются фейковыми. Вместо меню — сайт, собирающий данные или предлагающий скачать вредоносное приложение.
Рекламные стенды и объявления — любой публичный QR-код потенциально может быть заменён.
QR-коды в письмах
Новый способ обойти спам-фильтры и антифишинговые системы. Фишинговая ссылка в тексте письма автоматически блокируется. QR-код с той же ссылкой — проходит, потому что фильтры не умеют его читать.
Схема простая: письмо якобы от банка, налоговой или курьерской службы с просьбой отсканировать код для подтверждения данных. Человек сканирует телефоном — и попадает на фишинговый сайт уже на мобильном устройстве, где проще не заметить подделку.
QR-коды на фейковых документах
Счета, квитанции, договоры с QR-кодом для оплаты. Документ выглядит официально, код ведёт на подставной платёжный сервис.
Что QR-код знает о вас
Здесь начинается OSINT-угол, о котором мало кто думает.
Каждое сканирование QR-кода — это запрос к серверу. И этот запрос несёт информацию о вас.
Что передаётся при сканировании
IP-адрес — геолокация с точностью до города, иногда района. Тип устройства и операционная система. Браузер и его версия. Время сканирования. Иногда — более точная геолокация, если приложение запросило разрешение.
Маркетологи используют это намеренно. QR-код в рекламном буклете, на билборде, в журнале — это трекер. Компания знает, кто отсканировал, где, когда и с какого устройства.
Динамические QR-коды
Большинство современных QR-кодов — динамические. Это значит, что код ведёт не напрямую на сайт, а через промежуточный сервер. Владелец кода может в любой момент изменить адрес назначения — и все, кто сканирует старый код, попадут на новый сайт.
Создали QR-код для легитимной цели, потом забыли о нём — а сервис, через который он работал, сменил владельца. Новый владелец перенаправляет трафик куда угодно.
Инструменты проверки
Kaspersky QR Scanner, Trend Micro QR Scanner — мобильные приложения, которые показывают URL до перехода и проверяют его по базам вредоносных сайтов. Бесплатно.
VirusTotal — virustotal.com. Если уже получили URL из QR-кода — проверьте его здесь до перехода. Сканирует по десяткам антивирусных баз одновременно.
URLScan.io — urlscan.io. Открывает сайт в изолированной среде и показывает, что происходит при переходе — без риска для вашего устройства.
QR-код декодеры онлайн — zxing.org/w/decode.jspx и аналоги. Загружаете фото QR-кода и получаете содержимое без сканирования телефоном.
Как распознать подмену физического кода
Наклейка поверх оригинала — потрогайте код рукой. Если под пальцами чувствуется край наклейки — код заменён.
Несоответствие дизайну — фирменный стенд с кустарно напечатанным кодом на обычной бумаге.
Нестандартное расположение — код приклеен не там, где ожидается, или явно добавлен позже.
Как защититься
Использовать сканер с предпросмотром ссылки — стандартная камера iPhone и большинства Android-устройств показывает URL до перехода. Всегда читайте адрес перед тем, как нажать.
Проверять доменное имя — фишинговые сайты используют похожие адреса. sberbank-online.ru и sberbank.ru — не одно и то же.
Не сканировать коды в неожиданных местах — QR-код на квитанции, которую вы не заказывали, в письме от незнакомого отправителя, на наклейке поверх другого кода.
Не вводить данные карты после перехода по QR-коду — если сайт запрашивает платёжные данные, лучше зайти на него напрямую через официальное приложение или браузер.
Отозвать разрешение на геолокацию у камеры — если приложение камеры не должно знать ваше местоположение, запретите доступ в настройках.
Картинка, за которой ничего не видно
QR-код удобен именно потому, что скрывает содержимое. Мошенники используют это намеренно. Одна секунда сканирования — и вы уже на фишинговом сайте, уже передали данные устройства, уже загружаете приложение.
Привычка смотреть на URL перед переходом — единственное, что стоит между вами и ловушкой.
Если хотите проверить подозрительный QR-код или разобраться с безопасностью — на нашем форуме работают специалисты, которые занимаются этим профессионально.
Задумывались раньше о том, что скрывается за QR-кодом — или сканируете не глядя? Пишите в комментарии — задавайте вопросы, предлагайте темы.