Quishing (фишинг через QR)

Quishing (от QR + phishing) — метод социальной инженерии, при котором злоумышленник подменяет легитимный QR-код своим, ведущим на вредоносный ресурс. В отличие от классического URL-фишинга ссылка внутри QR-кода не видна пользователю визуально, что существенно затрудняет её проверку до перехода.

Типичные сценарии атак

• Платёжные терминалы и парковки. Наклейка с поддельным QR-кодом поверх оригинального — пользователь сканирует и попадает на фейковую платёжную страницу.
• Общественные места. Фиктивный код на столике ресторана («QR-меню»), в отеле или торговом центре собирает данные Wi-Fi-авторизации или банковских карт.
• Email и мессенджеры. Письмо с изображением QR вместо обычной ссылки обходит антифишинговые фильтры, анализирующие текстовые URL, но не содержимое изображений.
• Документы и счета. В PDF-счёте от подрядчика подменяется QR для оплаты — деньги уходят злоумышленнику.

Причина роста quishing в 2023–2024 годах — массовое внедрение QR-кодов в повседневную жизнь после пандемии и одновременно отставание антивирусных систем: большинство email-фильтров умеет проверять текстовые ссылки, но не декодировать QR внутри вложенных изображений.

Как снизить риски

• Перед сканированием убедиться, что наклейка с кодом не поклеена поверх оригинала.
• После сканирования просматривать URL в браузере до нажатия «Перейти» — большинство мобильных сканеров показывают адрес.
• Не вводить платёжные данные на странице, попавшей через QR в публичном месте, без проверки домена.
• Для бизнеса: использовать динамические QR-коды с журналом переходов — резкий скачок сканирований может указывать на клонирование кода.

С точки зрения владельца QR-инфраструктуры защитными мерами служат: мониторинг аномальной активности, брендирование кодов (логотип в центре затрудняет подмену незаметно) и применение коротких ссылок с SSL-редиректом на собственном домене — это позволяет оперативно заменить назначение при подозрении на компрометацию.