Перейти к основному контенту
LiMP VPN
Все статьи

QR-код мошенничество (квишинг): как защититься в 2026

QR-код мошенничество (квишинг): как защититься в 2026

Коротко: Квишинг — это фишинг через поддельные QR-коды: мошенник подсовывает код, который ведёт на сайт-двойник и выманивает данные карты, пароль или код из СМС. Опасность не в самом сканировании, а в том, что происходит после перехода по ссылке. Надёжная защита складывается из привычек: проверять физический код и адрес сайта, платить только через официальные приложения, держать включённой двухфакторную аутентификацию и пользоваться VPN с фильтрацией на публичном Wi-Fi. Ниже — как устроена атака, где чаще всего попадаются фейковые коды и что делать, если вы уже отсканировали и ввели данные.

Что такое квишинг и почему он опасен

Слово «квишинг» (quishing) собрано из «QR-код» и «фишинг». Классический фишинг приходит ссылкой в письме или сообщении, и мы уже научились относиться к таким ссылкам настороженно. QR-код обходит эту осторожность: человек не видит адрес заранее, наводит камеру и почти машинально переходит туда, куда его отправят. Именно эта слепая зона делает поддельные коды удобным инструментом для обмана.

Ещё одна причина роста — QR-коды в 2026 году повсюду: меню в кафе, оплата на кассе, парковочные автоматы, доставка, реклама, донаты. Мы привыкли им доверять, а мошеннику достаточно наклеить свой стикер поверх настоящего кода или распечатать фальшивую листовку. Исследователи кибербезопасности отмечают кратный рост квишинга за последние два года, а отдельные предупреждения касаются туристических зон и аэропортов, где люди спешат и легко теряют бдительность.

Важно понимать разницу: сам по себе скан кода — это, как правило, просто открытие ссылки. Телефон не «заражается» от одного взгляда камеры. Вред начинается на следующем шаге: вы попадаете на страницу-двойник банка, магазина или сервиса оплаты и своими руками вводите то, что нужно преступнику. Поэтому квишинг — это в первую очередь атака на внимание, а не на технику.

Как работает атака: путь от QR до кражи данных

Сценарий почти всегда одинаковый и состоит из нескольких звеньев. Понимание этой цепочки помогает разорвать её на любом этапе.

  • Приманка. Мошенник размещает код там, где его отсканируют не задумываясь: на паркомате, в меню, на «штрафе» под дворником, в письме о посылке.
  • Перенаправление. Код ведёт на короткий или похожий на настоящий адрес (например, с лишней буквой или другой доменной зоной), часто через цепочку редиректов, чтобы скрыть конечный сайт.
  • Страница-двойник. Открывается копия знакомого сайта — банка, СБП, магазина, курьерской службы. Дизайн и логотипы выглядят убедительно.
  • Выманивание данных. Вас просят «подтвердить оплату», «получить посылку» или «войти в аккаунт» — то есть ввести номер карты, пароль или одноразовый код из СМС.
  • Использование. Полученные данные тут же применяют: списывают деньги, входят в аккаунт, оформляют что-то на ваше имя.

Отдельная разновидность — когда после перехода предлагают «установить приложение» вне официального магазина. Тогда к краже данных добавляется риск получить вредоносную программу. Подробнее о том, как распознать опасные установки, мы писали в материале про защиту телефона от слежки.

Где чаще всего подсовывают поддельные QR-коды

У квишинга есть любимые сцены. Ниже — самые частые ситуации, суть подвоха и то, на что смотреть, чтобы не попасться.

Где встречаетсяВ чём подвохКак проверить
Паркомат, парковкаНаклейка с чужим кодом поверх настоящего; ведёт на фейковую «оплату парковки»Платите в официальном приложении парковки, а не по коду на автомате
Меню и оплата в кафеСтикер подменён; вместо меню — форма ввода картыМеню не должно требовать оплату картой на стороннем сайте
«Штраф» или «уведомление» под дворникомТребуют срочно оплатить по QR, пугают срокомОфициальные штрафы проверяются в приложении Госуслуг или банка, а не по листовке
Письмо или СМС о посылке«Доплатите за доставку» по коду на сайте-двойникеСтатус посылки — только в приложении службы доставки
Объявления, аренда, купля-продажа«Предоплата» или «залог» по QR от незнакомцаНе платите по кодам от частных лиц до личной проверки
Донаты и благотворительностьФейковый код поверх настоящего на мероприятииЖертвуйте через официальный сайт фонда, набрав адрес вручную

Общий знаменатель у всех строк один: настоящая оплата и вход в аккаунт почти никогда не начинаются с постороннего QR-кода. Если код внезапно ведёт к вводу денег или пароля — это повод остановиться.

Как распознать поддельный код и фишинговую страницу

Технически отличить «плохой» QR от «хорошего» на глаз нельзя — рисунок у них одинаковый. Но подделку выдают детали вокруг кода и поведение сайта после перехода.

  • Физика. Наклейка поверх другого кода, отклеивающийся уголок, свежий стикер на старом автомате — тревожный сигнал.
  • Превью адреса. Штатная камера iPhone и Android показывает ссылку до открытия. Смотрите на домен: опечатки, лишние слова, незнакомая зона, сервис сокращения ссылок.
  • Срочность и давление. «Оплатите в течение 15 минут», «иначе штраф вырастет» — типичный приём, чтобы вы не думали.
  • Немедленный запрос данных. Если сразу после скана просят пароль, номер карты или код из СМС на незнакомом сайте — почти наверняка фишинг.
  • Нет замка и странный адрес. Отсутствие HTTPS или адрес, не совпадающий с официальным сайтом компании, — стоп-сигнал.

Полезно помнить, как в принципе устроен фишинг и от чего он отличается: об этом подробно в статье от чего защищает VPN, а от чего нет. Квишинг — это ровно тот случай, где техника помогает лишь частично, а решает внимательность.

Помогает ли VPN против квишинга

Честный ответ: VPN — это слой защиты, а не волшебная кнопка. Он не мешает вам самому ввести данные на сайте-двойнике и не «распознаёт» свежесозданную фишинговую страницу, которой ещё нет ни в одной базе. Но в цепочке атаки VPN закрывает несколько важных участков.

  • Публичный Wi-Fi. Квишинг часто ловит людей в аэропортах, кафе и на вокзалах — там же, где небезопасные открытые сети. VPN шифрует трафик, и злоумышленник в той же сети не подсмотрит, что вы вводите. Почему это критично — в разборе про безопасность в публичном Wi-Fi.
  • Фильтрация известных угроз. Если сервис умеет блокировать уже известные вредоносные и фишинговые домены, часть двойников просто не откроется. У LiMP VPN за это отвечает фильтрация приложений и доменов — она отсекает соединения с адресами из чёрных списков.
  • Скрытие IP и меньше следов. VPN не выдаёт ваш реальный адрес фишинговому серверу, что усложняет прицельную атаку.

Вывод простой: VPN уменьшает поверхность атаки и страхует на публичных сетях, но финальное решение — вводить данные или нет — всегда за вами. Держите VPN включённым в поездках и общественных местах: тариф LiMP VPN стоит 100 ₽ в месяц и закрывает все ваши устройства, а сервис не хранит логи вашей активности.

Чек-лист: как безопасно обращаться с QR-кодами

  • Перед сканом осмотрите поверхность: нет ли наклейки поверх оригинального кода.
  • Всегда смотрите превью ссылки в камере и читайте домен целиком, а не первые буквы.
  • Не сканируйте коды из непрошеных писем, СМС, листовок и «штрафов» на машине.
  • Никогда не вводите пароль, данные карты или код из СМС на странице, открытой сразу после скана.
  • Платите и проверяйте штрафы и посылки только в официальных приложениях банка и сервисов.
  • Включите двухфакторную аутентификацию — украденный пароль без второго фактора бесполезен.
  • На публичном Wi-Fi держите включённым VPN с фильтрацией вредоносных доменов.
  • Обновляйте ОС и браузер: свежие версии блокируют часть известных фишинговых сайтов.

Что делать, если вы уже отсканировали и ввели данные

Паниковать не нужно — важна скорость. Чем быстрее вы отреагируете, тем меньше успеет сделать мошенник.

  • Сразу прекратите ввод и закройте страницу. Если ничего не отправили — скорее всего, обошлось.
  • Ввели пароль? Немедленно смените его — и на всех других сайтах, где стоял такой же. Как выстроить надёжную защиту входа, мы разобрали в гиде как защитить аккаунт от взлома.
  • Ввели данные карты? Заблокируйте карту в приложении банка, включите уведомления о списаниях и перевыпустите её. Подробнее — в материале про безопасные онлайн-покупки.
  • Проверьте устройство на приложения, установленные без вашего ведома, и удалите подозрительное.
  • Включите 2FA и завершите все активные сессии в важных аккаунтах.
  • Сообщите в банк и сервис — это ускорит блокировку операций и возврат средств.

Частые вопросы

Можно ли заразить телефон, просто отсканировав QR-код?

Как правило, один скан лишь открывает ссылку и сам по себе не устанавливает вирус. Реальная опасность — на следующих шагах: если вы перейдёте по ссылке и вручную установите приложение из непроверенного источника или введёте данные. Поэтому ключевой момент — не действие камеры, а ваше решение после перехода.

Насколько безопасны QR-коды в ресторанах и кафе?

Официальный код меню безопасен. Риск в том, что поверх него легко наклеить чужой стикер. Настоящее меню не должно требовать оплату картой на стороннем сайте — если после скана просят ввести карту, это сигнал подделки.

Квишинг на iPhone и Android — есть разница?

Механика атаки одинаковая. И на iOS, и на Android штатная камера показывает адрес ссылки до открытия — привыкните пользоваться этим превью на обеих системах, это ваша главная бесплатная проверка.

Поможет ли антивирус распознать поддельный код?

Частично. Некоторые защитные приложения блокируют переходы на уже известные фишинговые домены, но против свежесозданной страницы, которой ещё нет в базах, они бессильны. Антивирус и VPN-фильтрация — полезные страховки, но не замена внимательности.

Что делать, если QR-код прислал знакомый?

Отнеситесь так же осторожно: аккаунт знакомого могли взломать, а код разослать от его имени. Прежде чем сканировать и тем более платить, уточните у человека другим каналом связи, действительно ли он это отправлял.

Безопасно ли платить по QR-коду через СБП?

Платёж, который вы инициируете сами в официальном приложении банка, безопасен. Опасны сторонние коды, ведущие на поддельную страницу оплаты вне банковского приложения. Если сомневаетесь — не платите по коду, а переведите через приложение банка вручную.

QR-код мошенничество (квишинг): как защититься в 2026 | LiMP VPN