Главная » Лайфхаки

Защита от фишинга через QR-коды (кьюаршинг)

Автор На чтение 8 мин Опубликовано

В мире, где смартфон стал нашим третьим глазом и правой рукой, QR-коды прочно вошли в повседневность. Кажется, еще вчера мы их видели только на рекламных плакатах, а сегодня оплачиваем парковку через СБП, сканируем меню в кафешках, получаем доступ к госуслугам и даже проходим верификацию в банках – и все это одним движением камеры. Удобно? Безусловно. Безопасно? Вот тут-то и кроется собака, причем довольно зубастая. Добро пожаловать в мир кьюаршинга – фишинга через QR-коды. Я сам, сколько себя помню, а это лет двадцать в айтишке, всегда был сторонником прогресса, но и параноиком со стажем. И этот новый виток мошенничества заставляет меня снова заточить нюх.

Содержание
  1. Кьюаршинг: новое вино в старых мехах
  2. Мои личные шишки и чужие грабли
  3. Кейс 1: почти попался на парковке
  4. Кейс 2: HR-ловушка для соискателей
  5. Кейс 3: бесплатный Wi-Fi, который дорого обойдется
  6. Лайфхаки и предостережения от бывалого
  7. Всегда предпросмотр URL
  8. Используйте сторонний сканер QR-кодов
  9. Осмотрите сам QR-код
  10. Контекст – всему голова
  11. Осторожно с сокращенными ссылками
  12. Двухфакторная аутентификация (2FA) – ваш щит
  13. Не верьте на слово
  14. Обновляйте софт
  15. Нюансы, которые не все замечают
  16. Отказ от ответственности

Кьюаршинг: новое вино в старых мехах

По сути, кьюаршинг – это старый добрый фишинг, но с новой оберткой. Вместо того чтобы подсовывать вам кликабельные ссылки в письмах или СМС, злоумышленники теперь используют QR-коды. А чем они опасны? Тем, что на первый взгляд вы не видите, куда ведет этот черный квадрат из пикселей. Сканер камеры или встроенное приложение на Android 15 или iOS 18 сразу перекидывает вас на сайт, и только тогда вы видите URL. А иногда и этого не видите, если приложение сразу открывает внутренний браузер или проводит транзакцию. В этом и заключается коварство: человеческая лень и жажда скорости играют на руку мошенникам.

Мои личные шишки и чужие грабли

В моей практике, как системного администратора, я повидал всякое. Но кьюаршинг – это относительно свежая боль, которая набирает обороты именно сейчас, в 2025 году, когда QR-коды стали мейнстримом даже в самых отдаленных уголках нашей необъятной.

Кейс 1: почти попался на парковке

Пару месяцев назад, возвращаясь из командировки в Казань, я припарковался у Курского вокзала. Подошел к паркомату, а там, поверх официального, наклеен еще один QR-код, мол, «оплата без комиссии через СБП». Мелкий шрифт, слегка размытый код, но на первый взгляд – почти не отличить. Моя профдеформация сразу включила сирену. Что-то мне подсказывало, что оплата через СБП с незнакомым получателем – это не по-нашему, да и дизайн какой-то кривоватый. Я не поленился, достал свой старый Xiaomi (на нем, кстати, древний сканер, который сразу URL показывает до перехода – вот это и спасло) и просканировал. Увидел там домен типа parkovka-moscow-official.ru. Сразу стало ясно: липа. Официальный домен парковок совсем другой. Если бы я кликнул, скорее всего, попал бы на фейковую страницу оплаты, которая просто украла бы мои данные или перевела деньги на счет мошенников. А ведь сколько людей спешат, не вчитываются, не проверяют…

Кейс 2: HR-ловушка для соискателей

Мой знакомый HR, который по моей наводке теперь сам стал параноиком, рассказал мне историю. Они разместили вакансию, и соискателям стали приходить письма от имени их компании, но с левой почты. В письмах предлагалось «для ускорения процесса» отсканировать QR-код, чтобы скачать тестовое задание или подписать NDA. Конечно же, QR вел не на их корпоративный портал, а на какой-то левый файлообменник, который запрашивал авторизацию через Google или Яндекс. А это, как вы понимаете, прямой путь к угону аккаунтов. Обычно HR-ы скидывают ссылки на Google Docs или внутренние порталы, а тут QR на какой-то левый файлообменник – контекст сразу кричит о подвохе.

Кейс 3: бесплатный Wi-Fi, который дорого обойдется

В одной известной кофейне, где я обычно пью свой утренний капучино, заметил на столике наклейку: «Бесплатный Wi-Fi: отсканируйте QR для подключения». Зная, что у них всегда был свободный Wi-Fi без пароля, я почуял неладное. Проверил через Wi-Fi Analyzer на своем Pixel – официальной сети нет, зато есть какая-то «Free_Coffee_WiFi_PRO» с подозрительно сильным сигналом. QR-код, конечно, вел на фейковую страницу сбора данных, где просили ввести номер телефона и пароль от аккаунта госуслуг (мол, для идентификации). Несложно догадаться, что было бы дальше.

Итак, как не набить шишек на этом новом поле боя? Моя философия проста: паранойя – это не баг, это фича. И вот несколько практических советов, которые я сам использую и рекомендую всем своим знакомым:

Всегда предпросмотр URL

Это золотое правило. На большинстве современных смартфонов (даже на относительно старых моделях Samsung A серии или iPhone SE 2-го поколения, выпущенных пару лет назад) сканер QR-кодов показывает ссылку до перехода. Не ленитесь, посмотрите! Если вы сканируете QR от Сбербанка, а там домен sberbank-online-help.ru или что-то похожее – это уже звоночек. Сбербанк будет использовать только свои официальные домены.

Используйте сторонний сканер QR-кодов

Не встроенный в камеру, а отдельное приложение. Многие из них имеют функции безопасности, например, проверку URL по черным спискам или предупреждение о подозрительных доменах. Я лично пользуюсь одним, который даже в 2025 году еще не устарел – QR & Barcode Scanner от Gamma Play (да, он простой, но надежный и без лишней телеметрии). Он не только показывает URL, но и может предупредить, если домен замечен в фишинге.

Осмотрите сам QR-код

Физическая инспекция – наше все. Код должен быть ровным, четким, без следов наклеивания, пузырей, или того, что его кто-то прилепил поверх официального. Часто мошенники просто печатают свои коды на стикерах и лепят их куда попало. Если QR-код выглядит «грязно» или неаккуратно, это повод задуматься.

Контекст – всему голова

Всегда задавайте себе вопрос: «Почему здесь этот QR-код?» Если QR-код предлагает что-то слишком выгодное или необычное (например, «бесплатный бензин за сканирование»), стоит задуматься. Если в официальном учреждении вам предлагают оплатить через QR-код, который выглядит кустарно, лучше спросить у сотрудника или найти официальный способ оплаты. Вспомните мой кейс с парковкой: оплата через СБП на незнакомый счет – это нетипично для официальных парковок.

Осторожно с сокращенными ссылками

Будьте особенно осторожны с сокращенными ссылками (bit.ly, vk.cc, clck.ru и т.д.). QR-код может вести на такую ссылку, а вы не увидите конечного адреса. Некоторые продвинутые сканеры умеют раскрывать такие ссылки, но лучше избегать их, если не уверены в источнике.

Двухфакторная аутентификация (2FA) – ваш щит

Даже если вы попались на фишинг и ввели свои логин и пароль, 2FA часто спасает. Если у вас включена двухфакторная аутентификация, то злоумышленник не сможет войти в ваш аккаунт без второго фактора (например, кода из СМС или из приложения-аутентификатора).

Не верьте на слово

Даже если QR прислал «коллега» или «банк» в мессенджере – перепроверьте. Позвоните коллеге, уточните у банка по официальному номеру. Мошенники часто взламывают аккаунты и рассылают фишинговые ссылки от имени тех, кому вы доверяете.

Обновляйте софт

Очевидно, но важно: обновления ОС, браузеров, антивирусов – все это латает дыры в безопасности. Новые версии Android и iOS регулярно улучшают встроенные сканеры QR-кодов, добавляя функции предупреждения о вредоносных ссылках.

Нюансы, которые не все замечают

  • Хомоглифы: Мошенники могут использовать буквы, похожие на другие (например, ‘l’ вместо ‘I’ или ‘0’ вместо ‘O’) в доменных именах, чтобы обмануть невнимательного пользователя. Выглядит как «sberbank.ru», а на самом деле «sberbaпk.ru». Глаз не замечает, а мозг пропускает.
  • QR-коды с командами: Реже, но встречаются QR-коды, которые содержат не просто URL, а команды для вашего телефона. Например, автоматическое подключение к Wi-Fi (без запроса пароля, что может быть опасно), или даже отправка SMS. Встроенные сканеры обычно предупреждают о таких действиях, но сторонние приложения могут дать больше контроля.
  • Социальная инженерия: Помните, технологии – это полдела. Главное – это психология. Мошенники играют на ваших эмоциях: страхе (штрафы, блокировка счета), жадности (бесплатные призы, скидки) или любопытстве. Если что-то вызывает сильные эмоции, остановитесь и подумайте.

В общем, друзья, мир меняется, и угрозы тоже. Кьюаршинг – это не какая-то абстрактная угроза из голливудских фильмов, это наша реальность здесь и сейчас, в 2025 году. Будьте бдительны, проверяйте все на зубок, и помните: ваша безопасность – в ваших руках (и в вашем здравом смысле).

Отказ от ответственности

Информация, представленная в этой статье, основана на личном опыте автора и общедоступных данных по состоянию на 2025 год. Она предназначена исключительно для образовательных и информационных целей и не является юридической, финансовой или технической консультацией. Технологии и методы кибератак постоянно развиваются, поэтому всегда рекомендуется использовать актуальные средства защиты, следовать рекомендациям официальных источников и проявлять разумную осторожность. Автор не несет ответственности за любые прямые или косвенные убытки, возникшие в результате использования или неправильного использования информации из этой статьи.

Радик Камаев

Сисадмин с 20-летним опытом. Windows, Unix, Android.

Оцените автора
Познавательный портал
© 2025 Познавательный портал