Quishing (фишинг через QR)

Quishing (от QR + phishing) — метод социальной инженерии, при котором злоумышленник подменяет легитимный QR-код своим, ведущим на вредоносный ресурс. В отличие от классического URL-фишинга ссылка внутри QR-кода не видна пользователю визуально, что существенно затрудняет её проверку до перехода.

Типичные сценарии атак

• Платёжные терминалы и парковки. Наклейка с поддельным QR-кодом поверх оригинального — пользователь сканирует и попадает на фейковую платёжную страницу.
• Общественные места. Фиктивный код на столике ресторана («QR-меню»), в отеле или торговом центре собирает данные Wi-Fi-авторизации или банковских карт.
• Email и мессенджеры. Письмо с изображением QR вместо обычной ссылки обходит антифишинговые фильтры, анализирующие текстовые URL, но не содержимое изображений.
• Документы и счета. В PDF-счёте от подрядчика подменяется QR для оплаты — деньги уходят злоумышленнику.

Причина роста quishing в 2023–2024 годах — массовое внедрение QR-кодов в повседневную жизнь после пандемии и одновременно отставание антивирусных систем: большинство email-фильтров умеет проверять текстовые ссылки, но не декодировать QR внутри вложенных изображений.

Как снизить риски

• Перед сканированием убедиться, что наклейка с кодом не поклеена поверх оригинала.
• После сканирования просматривать URL в браузере до нажатия «Перейти» — большинство мобильных сканеров показывают адрес.
• Не вводить платёжные данные на странице, попавшей через QR в публичном месте, без проверки домена.
• Для бизнеса: использовать динамические QR-коды с журналом переходов — резкий скачок сканирований может указывать на клонирование кода.

С точки зрения владельца QR-инфраструктуры защитными мерами служат: мониторинг аномальной активности, брендирование кодов (логотип в центре затрудняет подмену незаметно) и применение коротких ссылок с SSL-редиректом на собственном домене — это позволяет оперативно заменить назначение при подозрении на компрометацию. Подробнее о защитных механизмах — в разделе безопасность QR-кодов.

Для платёжных сценариев особую опасность представляют коды QR СБП: злоумышленники подделывают их на кассах и в счетах, подменяя реквизиты получателя. Проверить подлинность кода до его активации невозможно без специального инструмента — используйте онлайн-сканер QR-кодов, чтобы увидеть целевой URL перед переходом. Общий обзор угроз и мер противодействия — в статье QR-фишинг и мошенничество: как защититься.

Частые вопросы

Как распознать поддельный QR-код до сканирования?

Визуально отличить оригинальный код от подделки практически невозможно — QR-коды выглядят одинаково. Обращайте внимание на физические признаки: наклейка поверх напечатанного кода, следы клея по краям, несоответствие стиля полиграфии. В публичных местах с высоким риском (транспорт, парковки, кассы) лучше вводить URL вручную, если он указан рядом.

Защищают ли антивирусы от quishing?

Частично. Современные мобильные антивирусы и встроенные механизмы браузеров проверяют URL после перехода и могут заблокировать известный фишинговый домен. Однако злоумышленники часто используют свежезарегистрированные домены, которые ещё не попали в базы блокировок. Главная защита — внимательная проверка URL в адресной строке до ввода любых данных.

Что делать бизнесу, если его QR-код скопировали мошенники?

Если используются динамические QR-коды, немедленно смените назначение ссылки через личный кабинет — все отпечатанные коды продолжат вести на новый корректный адрес. Статический код придётся физически заменить на всех носителях. Параллельно уведомите клиентов через официальные каналы о компрометации и признаках поддельного кода. Для профилактики включите уведомления об аномальном росте сканирований.