Гид по технологиям

Quishing: как защититься от QR‑фишинга

6 min read Кибербезопасность Обновлено 17 Dec 2025
Quishing — защита от QR‑фишинга
Quishing — защита от QR‑фишинга

QR-код на стикере, используемый в атаке quishing — иллюстрация риска подмены кода

Краткое объяснение

Quishing (от «QR» + «phishing») — это когда в QR‑код встраивают вредоносную или мошенническую ссылку. При сканировании пользователь попадает на фейковый сайт, страницу оплаты мошенников или скачивает вредоносный файл. Из‑за природы QR‑кодов пользователь обычно не видит ссылку до того, как откроет её в браузере, поэтому риск выше, чем у обычных ссылок.

Почему это реально и опасно

  • QR легко подменить: мошенники наклеивают свой QR‑стикер поверх официального кода.
  • Мобильные устройства хранят много чувствительных данных — доступ к ним даёт большой выигрыш злоумышленнику.
  • Сокращённые URL и посредники скрывают конечную цель ссылки и препятствуют быстрой проверке.

Важно: отсутствие видимого адреса у QR‑кода — это само по себе риск. Никогда не открывайте ссылки с сомнительных носителей.

Примеры атак и сценарии (без точных статистик)

  • Фальшивая страница оплаты в ресторане: QR переадресует на сайт мошенника, вы вводите реквизиты и платите напрямую им.
  • Поддельная форма входа: QR ведёт на страницу логина и ворует учётные данные.
  • Скачивание вредоносного APK/файла: при согласии устройство заражается.
  • Рекламная промо‑кампания: заманивают бесплатным предложением, но собирают персональные данные.

Как обычному пользователю защититься

  1. Откройте встроенный сканер камеры на смартфоне. Если устройство предлагает предпросмотр ссылки — просмотрите её перед открытием.
  2. Не открывайте ссылки с сокращёнными доменами (bit.ly, goo.gl и т. п.) без проверки. Предпочитайте полные домены.
  3. Не используйте сторонние приложения‑сканеры из магазина, если в них нет проверенной репутации. Встроенные средства обычно безопаснее.
  4. Никогда не вводите платёжные данные или логин на сайте, если URL содержит опечатки, лишние слова или подозрительные домены.
  5. Отключите автоматические загрузки в браузере и включите блокировку всплывающих окон и трекеров.
  6. Избегайте сканирования случайных QR в общественных местах. Проверьте визуально: не переклеен ли код наклейкой.
  7. Для платежей используйте известные методы (POS‑терминал, приложение банка) вместо QR от неизвестного источника.

Быстрая проверка URL после сканирования

  • Посмотрите домен: соответствует ли он фирменному сайту?
  • Обратите внимание на поддомены и странные окончания (.xyz, .info и т. п.).
  • Если ссылка предлагает загрузить файл — откажитесь.
  • Если сайт просит авторизоваться через незнакомую форму — закройте.

Для бизнеса: как сделать QR безопасным для клиентов

  • Ссылка должна вести непосредственно на авторитетный URL вашего домена (пример: https://example.ru/menu), без сокращателей.
  • По возможности размещайте рядом с QR‑кодом подпись с точным адресом и краткой инструкцией.
  • Покрывайте QR защитным лаком и регулярно проверяйте физические носители на предмет наклеек или повреждений.
  • Используйте короткие одноразовые токены на сервере и проверяйте сессии, чтобы уменьшить вред от перехвата ссылки.
  • Логи сервера должны фиксировать подозрительные входы и аномалии по IP/UA.

Примечание: заставлять пользователя сканировать QR ради базовой информации (например, простого списка) ухудшает UX. Оценивайте необходимость QR перед их массовым внедрением.

Стандартизованный SOP для выпуска QR (пошагово)

  1. Решение по необходимости: подтвердите, зачем нужен QR и какие данные он будет открывать.
  2. Генерация: используйте скрипт/сервис, который формирует QR только с полным URL вашего домена.
  3. Тестирование: тестовая проверка QR в разных устройствах и браузерах, проверка HTTPS/сертификатов.
  4. Печать и ламинация: защитите физический носитель от подмены (ламинирование, наклейка с голограммой).
  5. Размещение: фиксируйте место и дату установки; делайте фото размещения.
  6. Мониторинг: регулярный визуальный осмотр (еженедельно для публичных мест) и логирование переходов.
  7. Реакция: при подозрении — немедленно снять носитель и запустить инцидентный план.

Инцидентный протокол (runbook) при обнаружении подмены

  1. Снять подозрительный QR и заменить оригиналом/уничтожить.
  2. Собрать доказательства: фото, место, время, запись логов переходов.
  3. Отключить/перенастроить связанный URL при необходимости (инвалидировать токены).
  4. Проверить логи сервера на факты доступа и утечку данных.
  5. Сообщить пострадавшим и, при необходимости, регулятору/банку.
  6. Провести анализ причин и обновить SOP.

Критерии приёмки QR перед публикацией

  • URL использует HTTPS и правильный сертификат.
  • Домен соответствует официальному имени бренда.
  • Отсутствуют URL‑сокращатели.
  • Токены/сессии одноразовые (если требуется авторизация/оплата).
  • На физическом носителе есть краткая подпись адреса и контакт для проверки.

Чек‑лист по ролям

  • Для пользователя:

    • Сканировать только встроенным сканером.
    • Проверять домен и отказать от загрузок.
    • Не вводить пароли/реквизиты на сомнительных сайтах.

  • Для менеджера точки (кафе/парковка):

    • Проверять QR ежедневно.
    • Хранить фото официального размещения.
    • Обучить сотрудников распознавать подделки.

  • Для IT/безопасности:

    • Логировать переходы и аномалии.
    • Интегрировать проверку домена и TLS.
    • Быстро инвалидиовать скомпрометированные ссылки.

Метаподходы и эвристики

  • Эвристика «передать‑через‑официальное»: если возможно, отправляйте пользователя в приложение вашего бренда или на видимый официальный домен.
  • Модель доверия: доверяй, но проверяй. Физическая проверка носителя занимает 10–20 секунд и часто предотвращает атаку.
  • Минимизация прав: ссылки не должны давать прямой доступ к личным данным или платить без дополнительной проверки.

Когда quishing не сработает (ограничения атак)

  • На устройствах с настроенным предпросмотром ссылки пользователь увидит подозрительный домен и не перейдёт.
  • Если платёж требует двухфакторной аутентификации через банк, мошеннику сложнее получить деньги напрямую.
  • При быстрой реакции бизнеса (инвалидирование токенов) вред ограничен.

Примечания по приватности и требованиям законодательства

  • QR‑ссылки, ведущие на формы сбора персональных данных, должны содержать политику конфиденциальности и основание для обработки данных.
  • Для жителей ЕС/ЕЭЗ соблюдайте правила GDPR: минимизируйте сбор данных и обеспечьте механизм удаления по запросу.
  • При обработке платежей используйте сертифицированные платёжные провайдеры и не храните платежные данные на сторонних незашифрованных ресурсах.

Тестовые сценарии и критерии приёмки

  • Тест 1: Сканирование QR на iOS/Android показывает полный URL, сайт открывается по HTTPS и не просит ненужных данных.
  • Тест 2: Попытка наклеить подменённый QR — визуальная проверка должна обнаружить разницу.
  • Тест 3: Логирование фиксирует все переходы и отправляет предупреждение при всплеске трафика с новых IP.

Короткий глоссарий

  • QR: матричный штрихкод, кодирует текст/URL.
  • Quishing: фишинг через QR‑код.
  • URL‑сокращатель: сервис, скрывающий конечный адрес ссылки.

Когда вызывать эксперта

Если вы заметили множественные попытки подмены QR в вашей сети, утечку логов с авторизациями или массовые жалобы клиентов, подключите команду безопасности и юридическую службу.

Итог и рекомендации

  • Пользователи: сканируйте осторожно, проверяйте адрес перед открытием и не вводите данные на подозрительных сайтах.
  • Бизнес: используйте прямые ссылки, защищайте физические носители и внедрите SOP для генерации и мониторинга QR.

Краткие выводы и действия: снимите подозрительные коды, проверьте логи, сообщите клиентам при необходимости и обновите процесс проверки.

Дополнительный быстрый инструмент принятия решения:

flowchart TD
  A[Нашёл QR в публичном месте] --> B{Похоже на официальный носитель?}
  B -- Нет --> C[Не сканировать; сообщить владельцу]
  B -- Да --> D{Ссылка ведёт на знакомый домен?}
  D -- Нет --> E[Не вводить данные; выйти]
  D -- Да --> F[Открыть страницу, проверить TLS и содержание]
  F --> G{Просит оплату или логин?}
  G -- Да --> H[Проверить альтернативный способ оплаты/логина]
  G -- Нет --> I[Использовать ресурс]

Часто задаваемые вопросы

Что делать, если я уже ввёл данные на подозрительном сайте?

Немедленно измените пароли, свяжитесь с банком и отслеживайте транзакции. Сообщите о случившемся владельцу сервиса и при необходимости правоохранительным органам.

Как быстро отличить официальный QR от поддельного?

Проверьте окружающую печать, подпись с адресом, отсутствие наклеек поверх кода и соответствие размещения — официальные коды часто имеют фирменную рамку или подпись.

Краткое резюме представлено ниже.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

RDP: полный гид по настройке и безопасности
Инфраструктура

RDP: полный гид по настройке и безопасности

Android как клавиатура и трекпад для Windows
Гайды

Android как клавиатура и трекпад для Windows

Советы и приёмы для работы с PDF
Документы

Советы и приёмы для работы с PDF

Calibration в Lightroom Classic: как и когда использовать
Фото

Calibration в Lightroom Classic: как и когда использовать

Отключить Siri Suggestions на iPhone
iOS

Отключить Siri Suggestions на iPhone

Рисование таблиц в Microsoft Word — руководство
Office

Рисование таблиц в Microsoft Word — руководство