Фишинг через QR-код (quishing): рост атак в 2026 и как защититься

QR-фишинг, или quishing (QR + phishing), превратился в один из наиболее быстрорастущих векторов атак за последние два года. В отличие от ссылок в e-mail, QR-код не виден встроенным антифишинговым фильтрам почтовых клиентов и корпоративных шлюзов — злоумышленник получает прямой маршрут к жертве через камеру смартфона. Разбираемся, как работают схемы мошенников с QR-кодами, как их распознать и что делать, если уже попались.

Что такое quishing: статистика и кейсы 2024–2026

Термин quishing появился в профессиональной литературе около 2022 года, однако массовый рост атак зафиксирован с конца 2023-го. По данным BI.ZONE и группы исследований Positive Technologies, в 2024 году число обращений, связанных с кражей учётных данных через QR-коды, выросло на 94% год к году в России. В Европе аналогичную динамику отметило Европейское агентство по кибербезопасности ENISA: в отчёте за 2024 год QR-фишинг выделен в самостоятельную категорию угроз.

Глобальная картина

Данные Cofense Intelligence (США) показывают: каждое 25-е фишинговое письмо, пойманное в корпоративных почтовых средах в 2024 году, содержало QR-код вместо текстовой ссылки. В Германии и Нидерландах правоохранители зафиксировали серию атак на корпоративных сотрудников: поддельные QR вклеивались в официальные письма, имитирующие уведомления от HR-систем и налоговых органов. В США ФБР опубликовало предупреждение о подмене парковочных QR-кодов — злоумышленники заклеивали легитимные коды наклейками со своими.

Россия: специфика угрозы

В российском контексте quishing чаще всего эксплуатирует два доверенных канала: QR-коды СБП на кассах и QR-меню в заведениях общественного питания. В 2025 году Банк России зафиксировал увеличение числа жалоб на несанкционированные списания через поддельные QR СБП на 41% по сравнению с 2023-м. Ещё одна специфическая схема — поддельные QR на «бесплатном Wi-Fi» в торговых центрах и аэропортах.

Ключевая проблема quishing: человек не видит URL до сканирования. В случае текстовой ссылки опытный пользователь хотя бы замечает подозрительный домен. QR убирает этот барьер полностью.

5 типовых схем мошенничества с QR

Разберём наиболее распространённые векторы, которые фиксируются в России и за рубежом в 2024–2026 годах.

Схема 1: Подмена QR на парковке

Злоумышленник приклеивает свой QR-код поверх официального на паркомате или столбике с инструкцией по оплате. Жертва сканирует код, попадает на сайт, имитирующий оплату парковки, вводит данные карты. Деньги списываются, но парковка не оплачена. Схема активно применялась в США (Хьюстон, Остин) в 2021–2022 годах, в 2024-м появилась в российских городах-миллионниках.

Схема 2: Поддельный QR СБП

На кассе мелкой торговой точки (рынок, нестационарный ларёк, курьер) наклейка с QR для оплаты через СБП заменена на код, ведущий на счёт мошенника. Сумма указывается верная, подтверждение приходит — но деньги уходят не продавцу. Жертва обнаруживает обман только при конфликте с продавцом.

Схема 3: QR-фишинг под банк или госслужбу

E-mail или бумажное письмо с официальным логотипом банка, налоговой или Госуслуг. Текст требует «подтвердить личность» или «устранить задолженность» — и предлагает отсканировать QR для «безопасного входа». Ссылка ведёт на клон портала, перехватывающий логин, пароль и SMS-код.

Схема 4: Вредоносный APK через QR

QR кодирует не URL страницы, а прямую ссылку на загрузку APK-файла. На Android-устройстве с разрешением «установка из неизвестных источников» приложение устанавливается автоматически после одного нажатия. Такие приложения-троянцы перехватывают SMS (включая OTP-коды банков), записывают экран, получают доступ к контактам.

Схема 5: Wi-Fi MITM через поддельный QR

QR-код с типом WIFI:T:WPA;S:CafeGuest;P:password123;; выглядит как наклейка «Бесплатный Wi-Fi» в кафе. Жертва подключается к точке доступа злоумышленника. Трафик проходит через устройство атакующего — HTTPS-сессии перехватываются через SSL-stripping или атаки на устаревшие шифры.

Как пользователю распознать опасный QR

QR-безопасность начинается с осознанного поведения при сканировании. Несколько практических правил снижают риск в разы.

Проверяйте домен в preview-окне

Большинство современных сканеров (встроенная камера iOS с iOS 11+, Google Lens, приложение «Камера» на Android 9+) показывают URL до перехода — в виде баннера или всплывающего окна. Прочитайте домен: он должен совпадать с ожидаемым. Красные флаги:

• Подозрительные домены вместо официальных (например, sberbank-pay.cc вместо sberbank.ru)
• Сокращённые ссылки (bit.ly, t.ly, clck.ru) в контекстах, где сервис должен использовать собственный домен
• IP-адрес вместо домена
• HTTP (не HTTPS) для любых платёжных или авторизационных страниц
• Домены с опечатками: gosuslugi-login.ru, sbp-pay.online

Используйте сканеры с защитой

Приложения Kaspersky QR Scanner, Trend Micro QR Scanner и встроенная проверка в Kaspersky для Android проверяют URL по базам фишинговых сайтов до перехода. ESET Mobile Security аналогично блокирует переход на известные вредоносные домены. Если вы часто сканируете QR в публичных местах — установите один из таких инструментов.

Для корпоративных устройств: многие MDM-решения (Microsoft Intune, VMware Workspace ONE) позволяют настроить политику, запрещающую переход по QR-ссылкам без прохождения корпоративного прокси с фильтрацией URL.

Защита бизнеса: тампер-эвидентные наклейки и аудит

Если ваш бизнес использует QR-коды в физической среде — на столах, у кассы, на вывесках — вы несёте ответственность за то, что отсканирует гость.

Тампер-эвидентные наклейки

Тампер-эвидентные (tamper-evident) наклейки разрушаются при попытке отклеить и переклеить — оставляют видимый след «VOID» или разрываются на части. Их применение на QR-кодах у кассы, в меню-стойках и на парковочных конструкциях существенно затрудняет подмену. Стоимость таких наклеек от 3–8 ₽ за единицу при тираже от 100 штук — это один из самых дешёвых барьеров безопасности.

Регулярный физический обход точек

Введите процедуру ежедневной (или посменной) проверки физических QR-кодов: визуальный осмотр на предмет наклеек поверх, сканирование кода и сверка целевого URL. Для сети из нескольких точек — чек-лист в мобильном приложении с фотофиксацией. В ресторанном бизнесе это занимает 2–3 минуты при открытии смены.

Цифровые инструменты: динамические QR с мониторингом

Динамический QR-код (в отличие от статического) хранит реальный URL на сервере, а в самом коде зашит только короткий идентификатор. Это даёт два преимущества безопасности: во-первых, вы можете мгновенно сменить целевую ссылку без печати нового кода — если заподозрили компрометацию; во-первых, аналитика сканирований показывает аномалии (резкий рост числа сканов с одного геолокационного кластера может означать, что злоумышленники тестируют или копируют ваш код). Платформы типа QRcode.website фиксируют каждый скан с временной меткой, устройством и приблизительным местоположением.

Корпоративная политика для сотрудников

По данным Verizon DBIR 2024, 68% успешных корпоративных атак начинаются с действий сотрудника. QR-фишинг всё чаще используется именно в корпоративном контексте — через печатные материалы, поддельные внутренние рассылки и физический доступ к офисным пространствам.

Что включить в политику безопасности

Минимальный набор правил для документа «Политика работы с QR-кодами»:

1. Корпоративные QR-коды публикуются только через утверждённые платформы (белый список).
2. Сотрудники не сканируют QR из внешних источников на корпоративных устройствах без предварительной проверки URL.
3. Переход по QR-ссылке на корпоративном устройстве, ведущей за пределы белого списка доменов, требует подтверждения через EDR или прокси.
4. При обнаружении подозрительного QR в офисе — немедленно сообщить в ИБ-службу, не сканировать повторно.
5. Учётные данные никогда не вводятся на страницах, открытых через QR, без дополнительной проверки домена в адресной строке браузера.

Обучение и тестирование

Симуляции QR-фишинга (по аналогии с симуляциями e-mail-фишинга) уже предлагают несколько вендоров: KnowBe4, Proofpoint и отечественные платформы Security Awareness. Сценарий: распечатанный QR-код в офисной кухне, ведущий на внутреннюю «тренировочную» фишинговую страницу. Сотрудники, отсканировавшие код, попадают в обучающий модуль. Такие тесты снижают процент «кликов» на реальный фишинг на 40–60% по итогам трёх месяцев регулярной практики.

Что делать, если уже отсканировали и потеряли деньги

Скорость реакции критична: большинство банков имеют возможность оспорить перевод в течение первых нескольких часов, пока средства не выведены дальше по цепочке.

Шаг 1: Банк

Немедленно позвоните на горячую линию банка и заблокируйте карту или приостановите операции по счёту. Подайте заявление на оспаривание транзакции (chargeback для карточных операций или заявление о несанкционированном переводе для СБП). По закону «О национальной платёжной системе» банк обязан вернуть средства в течение 30 дней, если вы сообщили об инциденте не позднее следующего дня после получения уведомления о списании. Сохраните все скриншоты: URL из QR, страница, на которую попали, подтверждение транзакции.

Шаг 2: Полиция и Роскомнадзор

Подайте заявление в полицию (лично или через Госуслуги) по статье 159.3 УК РФ (мошенничество с использованием электронных средств платежа). Приложите скриншоты и банковскую выписку. Параллельно подайте жалобу на фишинговый сайт через форму Роскомнадзора или через НКЦКИ (Национальный координационный центр по компьютерным инцидентам) — это ускорит блокировку фишинговой страницы и потенциально поможет другим жертвам.

Шаг 3: Досудебная претензия и суд

Если банк отказал в возврате средств — направьте досудебную претензию. При отказе в удовлетворении претензии — иск в суд общей юрисдикции. Судебная практика 2023–2024 годов показывает: банки проигрывают дела о возврате средств, похищенных через фишинг, если истец доказывает, что не нарушал правила безопасности и своевременно уведомил банк. Привлеките юриста, специализирующегося на защите прав потребителей финансовых услуг.

Итог

Quishing — не фантастический сценарий, а реальная угроза с измеримым финансовым ущербом. Для пользователя достаточно трёх привычек: смотреть на URL в preview до перехода, не вводить данные карты на страницах, открытых через QR из незнакомых источников, и проверять физическую целостность QR-кода в публичных местах. Для бизнеса — динамические QR с мониторингом, тампер-эвидентные наклейки и регулярный аудит физических точек размещения кодов. Инциденты не исчезнут, но снизить вероятность попасть в статистику жертв вполне реально уже сегодня.