Безопасность QR-кодов

Q: Что такое quishing и чем он опаснее обычного фишинга?

Quishing (QR + phishing) опаснее тем, что антивирусы не анализируют изображения кодов, пользователь сканирует со смартфона со слабой защитой, а физическое присутствие кода создаёт ложное доверие. По данным 2023–2024 годов, quishing составляет более 17% корпоративных фишинговых инцидентов.

Q: Безопасен ли QR-код СБП для приёма оплаты?

QR-код СБП генерируется банком с верифицированными реквизитами, но уязвим к физической подмене. Защита: тампер-эвидентные наклейки, проверка имени получателя перед подтверждением, использование динамических QR с мониторингом.

Комплекс технических и организационных мер, защищающих пользователей и бизнес от угроз, связанных с QR-кодами: подмены кодов в офлайн-точках, фишинга через поддельные платёжные коды, кражи данных и распространения вредоносного ПО через зловредные ссылки.

Безопасность QR-кодов — актуальная проблема цифрового мира: с 2022 года число quishing-атак (фишинг через QR) выросло более чем в 10 раз. Злоумышленники используют доверие людей к физическим носителям — наклейкам в кафе, на парковках, в банках — и подменяют легитимные коды своими.

Типовые угрозы включают четыре схемы: подмена QR-кода на парковке или в заведении переводит оплату мошеннику; поддельный код СБП подставляет реквизиты злоумышленника вместо продавца; фишинговые коды имитируют интерфейс банка и воруют учётные данные; коды с APK-ссылками устанавливают шпионское ПО на Android-устройства.

Защита для пользователя

Предпросмотр ссылки до перехода. Нативная камера iOS и большинства Android-устройств показывает URL перед открытием — всегда проверяйте домен.
Проверка домена. Легитимный банк или сервис использует официальный домен (sberbank.ru, tinkoff.ru), а не похожие клоны типа sberbank-pay.com или tinkoff.qr-pay.ru.
Сканирование через защищённое приложение. Kaspersky QR Scanner, Avast или встроенные сканеры с антифишингом блокируют известные вредоносные домены.
Недоверие к кодам в публичных местах. Код, наклеенный поверх другого или с видимыми следами замены, — красный флаг. Запросите оригинальную ссылку у сотрудника заведения.
Никаких APK по QR. Легитимные приложения распространяются через App Store и Google Play. QR-код, ведущий на прямую загрузку APK, почти гарантированно вреден.

Защита для бизнеса

Тампер-эвидентные наклейки с печатью организации. Голографические или защитные наклейки делают подмену кода визуально заметной — при отклеивании они оставляют след или разрушаются.
Регулярный обход точек размещения. Администраторы или менеджеры должны еженедельно сверять физические коды с эталоном: сканировать и проверять, что URL ведёт на правильную страницу.
Динамические QR-коды с мониторингом. Динамический QR позволяет в реальном времени отслеживать переходы и мгновенно заблокировать скомпрометированный код без замены физического носителя.
Обучение сотрудников. Кассиры, официанты и охрана должны знать признаки подмены кода и алгоритм действий при обнаружении инцидента: снять, сообщить, заменить.
Политика работы с типографией. Печать и размещение QR-кодов только через авторизованных поставщиков; хранение мастер-файлов в защищённом репозитории; запрет на самостоятельную замену кодов сотрудниками без согласования.

Частые вопросы

Как понять, что QR-код в кафе или магазине подменили?

Главный признак — несоответствие домена в предпросмотре камеры тому, что ожидается. Если код заведения «Пицца Марго» ведёт на домен типа pizza-pay-online.ru вместо официального сайта — это тревожный сигнал. Физически: ищите следы переклейки, плёнку поверх оригинальной наклейки, несовпадение стиля кода с общим дизайном меню или вывески. Лучший способ проверки — попросить сотрудника показать официальный QR из кассовой системы или терминала оплаты. Для платежей через СБП смотрите, совпадает ли имя получателя в приложении банка с названием организации перед подтверждением перевода.

Что такое quishing и чем он опаснее обычного фишинга?

Quishing (QR + phishing) опаснее традиционного email-фишинга по нескольким причинам. Во-первых, большинство корпоративных антивирусов и почтовых фильтров не анализируют изображения QR-кодов — вредоносная ссылка внутри кода проходит мимо защиты. Во-вторых, пользователь сканирует код со смартфона, на котором антивирусная защита слабее, чем на рабочем компьютере. В-третьих, физическое присутствие кода создаёт ложное доверие: люди привыкли, что «бумажный» объект не может быть опасен. По данным исследований 2023–2024 годов, quishing-атаки составляют уже более 17% всех фишинговых инцидентов в корпоративном секторе. Прочитайте подробнее в статье quishing: как защититься.

Безопасен ли QR-код СБП для приёма оплаты?

QR-код СБП генерируется банком и содержит верифицированные реквизиты юридического лица или ИП — это делает его надёжнее «самодельных» решений. Однако и он уязвим к физической подмене: если злоумышленник заменит распечатанный код своим, покупатель переведёт деньги не тому получателю. Защита: используйте динамические QR с мониторингом переходов, показывайте получателя в терминале до подтверждения, применяйте тампер-эвидентные наклейки на все точки размещения кода СБП. Банки не возвращают переводы по QR-СБП как «ошибочные» без доказательства мошенничества — будьте внимательны.

Все термины