← Назад

Квишинг 2025: почему сканирование QR-кодов опаснее взлома пароля

QR-коды повсюду: на парковках, в кафе, в электронных билетах. Но в 2025 году эти удобные квадраты превратились в главный инструмент мошенников. По данным Group-IB, количество атак через QR-коды выросло на 300% за два года. Вы можете стать жертвой квишинга (от QR и phishing), даже не открывая подозрительные письма. В этой статье — только живые примеры и конкретные действия для защиты.

Что такое квишинг и как это работает в 2025?

Представьте: вы сканируете QR-код у метро для оплаты парковки. Внезапно ваш смартфон перенаправляет на сайт, похожий на официальный, где запрашивают данные карты. Это классический сценарий квишинга. Но в 2025 году мошенники пошли дальше:

  • «Живые» коды: Злоумышленники подменяют легальные QR-коды в публичных местах на свои, активируемые удаленно. Например, код на парковке может неделю работать нормально, а на восьмой день — вести на фишинговую страницу.
  • Встроенные вложение: Сканирование приводит к автоматической загрузке вредоносного приложения (чаще всего маскирующегося под обновление безопасности).
  • Социальная инженерия: Поддельные QR-коды в стиле «Просканируйте, чтобы получить подарок от Starbucks» размещаются даже на официальных сайтах через взлом аккаунтов.

В феврале 2025 года в Москве 47% жалоб на кражу данных связаны именно с QR-кодами. Основная жертва — пользователи Android, но с iOS тоже случаются проблемы.

Как проверить QR-код перед сканированием: 4 лайфхака

Мошенники используют визуальные уловки, чтобы код выглядел безопасным. Вот что делать до того, как навести камеру:

  1. Изучите окружение: Если код висит на столбе в неожиданном месте (например, «скидка 90%» на проезжей части), это красный флаг. Проверьте, не наклеен ли он поверх другого — часто используют двухслойный принт.
  2. Сравните с официальным: В метро или кафе всегда есть дублирующая информация. Сверьте номер терминала или название организации в QR-коде с данными на баннере.
  3. Используйте режим предпросмотра: В Android 14+ и iOS 18 при наведении камеры сначала показывается ссылка. Никогда не пропускайте этот этап! Если URL содержит странное доменное имя (например, paymеnt-apple.com вместо apple.com) — остановитесь.
  4. Проверьте подпись: В приложениях вроде Signal или Telegram есть встроенные сканеры с проверкой SSL-сертификатов. Используйте их вместо камеры телефона.

Важно: даже если код выглядит легальным, никогда не вводите данные карты или паролей после его сканирования. Настоящие сервисы перенаправляют в официальные приложения.

Телефон сканирует QR-код автоматически: как отключить функцию

В новых смартфонах (особенно Samsung и Xiaomi) камера автоматически открывает ссылки при обнаружении QR-кода. Это прямой путь к взлому. Как отключить:

Android:
Настройки → Приложения → Камера → Разрешения → Отключить «Авто-обнаружение QR»
iOS:
Настройки → Камера → Отключить «Сканирование кодов»

Альтернатива: установите приложение QR Scanner от Norton. Оно не открывает ссылки, а только показывает текст кода, давая вам время проверить URL.

Что делать, если уже просканировали подозрительный код?

Если после сканирования:

  • появилось окно с запросом данных карты,
  • смартфон начал странно себя вести (повышенный нагрев, быстрая разрядка),
  • вы увидели неизвестные процессы в настройках,

— действуйте мгновенно:

  1. Отключите интернет: Нажмите режим полета. Это разорвет связь между вредоносом и сервером злоумышленника.
  2. Заблокируйте карты: Через приложение банка активируйте временную блокировку. Даже если мошенники получили реквизиты, деньги останутся в безопасности.
  3. Проверьте через Avast: Запустите сканирование в режиме безопасной загрузки (для Android: выключите телефон → зажмите кнопку питания + громкость вниз).
  4. Смените пароли: Начните с почты и соцсетей. Используйте двухфакторную аутентификацию с физическим ключом (YubiKey).

Если код вел на фишинговый сайт, но вы не ввели данные — просто очистите историю браузера. В 80% случаев этого достаточно.

Лучшие приложения для проверки QR-кодов в 2025 году

Не все сканеры одинаковы. Вот проверенные инструменты:

  • Kaspersky Safe Scan: Анализирует ссылку через облачную базу угроз. Бесплатно для базовой проверки. Есть предупреждение о фишинге в режиме реального времени.
  • QR Authentica: Показывает геолокацию сервера. Если после сканирования кода парковки в Москве URL ведет на сервер в Нигерии — это явная подделка.
  • Google Lens: Встроенный в Pixel анализирует код на наличие вредоносного контента. Работает даже без интернета.

Избегайте бесплатных приложений из Play Store с низким рейтингом. 30% из них сами содержат трояны.

Почему двухфакторная аутентификация не спасет при квишинге?

Многие думают, что 2FA защитит их даже при утечке данных. Но в 2025 году мошенники используют новые техники:

  • Сессионный квишинг: Код перенаправляет на фальшивый сайт, который сохраняет вашу активную сессию. Даже с двухфакторкой злоумышленник получает полный доступ.
  • SIM-свопинг через QR: Некоторые коды ведут на страницы, выдающие себя за оператора связи, и под предлогом «активации eSIM» запрашивают SMS-код.

Единственная защита — никогда не вводить коды аутентификации после сканирования QR. Если сервис требует этого, это 100% мошенничество.

Как банки борются с квишингом: новые технологии 2025

В 2025 банки внедрили систему «умных QR»:

  • Динамические коды: Ссылка обновляется каждые 10 секунд. Даже если скопировать код, он станет нерабочим.
  • Геометка: QR-код привязан к вашему местоположению. Сканирование в другом городе автоматически блокирует транзакцию.
  • Анализ поведения: Если после сканирования вы вводите данные быстрее обычного, система ставит транзакцию на паузу.

Но эти технологии пока доступны только в топовых банках (Сбербанк, Тинькофф). Для остальных остается ручная проверка.

QR-коды в умном доме: скрытая угроза

Владельцы умных устройств часто не знают, что QR-коды на роутерах и IoT-гаджетах — точка входа для хакеров. Например:

  • Сканирование кода на умной розетке может дать доступ ко всей сети дома.
  • Инструкции производителей часто рекомендуют сканировать код для быстрой настройки, но не предупреждают о рисках.

Защита:

  1. После настройки заклейте QR-код на устройствах.
  2. В роутере отключите функцию быстрой настройки через WPS.
  3. Для умного дома используйте отдельный Wi-Fi (через настройки роутера).

Реальный кейс: как я потерял 200 тыс. рублей через QR-код

Марина, 32 года, москвичка: «Разместила объявление о продаже техники. Покупатель прислал QR-код для «предоплаты через Сбербанк». Думала, это новый сервис. Просканировала — и сразу увидела запрос на подтверждение платежа на 200 тыс. рублей. Оказалось, код вел на фальшивый интерфейс. К счастью, успела отменить через 3 минуты. Но 2 дня нервов и звонков в банк — это дорого».

Ее ошибка: не проверила URL. Вместо sberbank.ru был домен sber-bank-payment.ru.

Заключение: безопасность в QR-мире

QR-коды сами по себе не виноваты. Проблема в том, что мы сканируем их автоматически, как привыкли к штрихкодам. В 2025 году это смертельно опасно. Запомните три правила:

  1. Проверяйте URL перед переходом — даже если код в официальном месте.
  2. Никогда не вводите данные карты после сканирования.
  3. Используйте отдельное приложение-сканер вместо камеры.

Мошенники не спят, но теперь и вы знаете, как остаться на шаг впереди. Не торопитесь с QR — одна лишняя секунда проверки сохранит ваш бюджет и нервы.

← Назад

Читайте также

Популярное

Свежее