QRkoder
Начать бесплатно
Как проверить QR-код на безопасность — 5 способов
БлогQRkoder3

Как проверить QR-код на безопасность — 5 способов

14 мин чтения

QR-код — просто указатель. Куда он ведёт — видно только после сканирования. В 2025 году в России зафиксировано свыше 14 000 атак quishing (QR-фишинг), рост 60% год к году. Пять способов проверить QR до открытия ссылки — плюс как проверить подлинность чека или маркированного товара.

Смартфон проверяет QR-код на безопасность — QRkoder
Проверить QR до открытия ссылки — занимает 5–10 секунд. Не проверить — может стоить куда дороже.

Зачем проверять QR — три реальных риска

Большинство QR безопасны. Но три класса угроз встречаются достаточно часто, чтобы потратить 10 секунд на проверку незнакомого кода.

Фишинг (quishing). Мошенники наклеивают поддельный QR поверх оригинального — на стойке банка, у терминала оплаты, на квитанции от управляющей компании. Код ведёт на страницу, которая выглядит как Сбербанк Онлайн или Госуслуги, но ворует логин и пароль. Схема работает, потому что глаз не видит разницы между двумя QR-наклейками.

Malware и вредоносные редиректы. Динамические QR могут перенаправлять через цепочку редиректов на страницу с drive-by загрузкой вредоносного файла или exploit kit. Особенно опасно на Android без актуального патча безопасности. Браузер открывается — и APK уже скачивается в фоне.

Подделка чека или товара. Серая схема: фальшивый кассовый чек с QR, который якобы ведёт на ФНС, но реально никуда не ведёт или ведёт на страницу-обманку. На маркированных товарах — стикер Data Matrix от «серого» импорта, который не значится в системе Честный знак. Особенно распространено с алкоголем, лекарствами, меховыми изделиями.

Подробнее о механике QR-фишинга — в отдельной статье QR-фишинг: как работает и как защититься.

Способ 1: preview URL до открытия — iPhone и Я.Браузер

Это нулевой усилием способ, который работает прямо в камере. Вы видите ссылку до нажатия.

iPhone (iOS 11 и выше). Наведите камеру на QR и подождите 1–2 секунды. В верхней части экрана появится жёлтый баннер с URL. Не нажимайте его. Прочитайте адрес: совпадает ли домен с тем, что вы ожидали? Если QR на двери «ВТБ Банк», а баннер показывает vtb-onlajn.ru — это фишинг. Настоящий домен: vtb.ru.

На iOS 16+ можно удержать палец на баннере (долгое нажатие) — откроется контекстное меню с опцией «Открыть в Safari» или «Скопировать». Скопируйте URL и вставьте в браузер вручную — так вы видите полный адрес с параметрами.

Я.Браузер (Android и iOS). Встроенный сканер QR в Я.Браузере всегда показывает распознанный URL с подтверждением перед открытием. Кроме того, браузер автоматически прогоняет ссылку через Я.Безопасный поиск — если домен в чёрном списке, вместо сайта откроется предупреждение «Этот сайт может угрожать безопасности вашего компьютера».

Что проверяем в preview URL:

  • Домен — не опечатка ли (gosuslugi.ru vs gosuslugy.ru, sber.ru vs sbeer.ru)
  • Протокол — HTTPS или HTTP (без буквы S — незашифрованное соединение)
  • Нет ли в URL подозрительных сокращателей (url shortener) вроде bit.ly, clck.ru, tinyurl.com — за ними может скрываться что угодно

Инструкция по сканированию QR на iPhone подробнее — Как отсканировать QR-код на iPhone: все способы.

Способ 2: VirusTotal и URLscan.io — вставил URL, получил отчёт

Если preview показал URL, но вы не уверены в домене — проверьте его через специализированные сервисы. Оба бесплатны, работают без регистрации.

VirusTotal (virustotal.com). Скопируйте URL из preview и вставьте на главной странице VirusTotal в поле «URL». Сервис прогоняет адрес через 90+ антивирусных движков и баз blacklist — Kaspersky, Google Safe Browsing, Dr.Web, ESET и других. Результат через 10–30 секунд: цветная таблица с количеством «детектов». Если 0/90 — URL чистый. Если 3/90 и выше — стоит отказаться.

Нюанс: VirusTotal показывает URL в публичном доступе своим партнёрам. Не проверяйте через него ссылки, которые содержат токены одноразовых входов (magic link, confirm-email) — токен засветится.

URLscan.io (urlscan.io). Этот сервис не просто проверяет URL по базам, а реально посещает страницу в изолированной среде (sandbox) и делает скриншот. Вы видите, как выглядит сайт, какие ресурсы он загружает, на какие домены редиректит. Полезно, когда VirusTotal ничего не нашёл, но ощущение «что-то не то» осталось. Scan создаётся публично по умолчанию — переключитесь в «Unlisted» если ссылка конфиденциальная.

Google Safe Browsing — встроен во все браузеры на Chromium. Вручную проверить можно через transparencyreport.google.com/safe-browsing/search. Вбейте домен — увидите, есть ли он в базе фишинговых сайтов Google.

Способ 3: антивирусы с QR-сканером — Kaspersky, Norton, Bitdefender

Если вы регулярно сканируете чужие QR (получаете счета от поставщиков, бываете на выставках, снимаете QR из почтовых вложений), имеет смысл использовать приложение с встроенным QR-модулем. Оно проверяет ссылку до открытия автоматически.

Kaspersky Safe Kids / Kaspersky QR Scanner — отдельное приложение для Android и iOS, бесплатное. Сканирует QR и прогоняет URL через облачную базу Kaspersky Security Network (KSN) в реальном времени. База обновляется несколько раз в сутки, покрывает фишинг, malware, нежелательный контент. Если домен в базе — приложение блокирует переход и показывает категорию угрозы.

Norton 360 включает функцию Web Protection, которая проверяет все переходы по ссылкам, в том числе из QR. Работает как фоновый фильтр в браузере. При подписке Norton Mobile Security (~2 000–3 500 ₽/год) получаете QR-сканер + антивирус + мониторинг утечек паролей.

Bitdefender Mobile Security — аналог для Android, также с фильтрацией URL и QR-сканером. Бесплатный план включает 14-дневный пробный период с полным функционалом.

Ключевое преимущество антивирусных сканеров перед VirusTotal: проверка происходит до открытия браузера, без необходимости вручную копировать URL. Для пользователей, которые не привыкли смотреть на preview URL, это реальная страховка.

Способ 4: Я.Браузер и Я.Безопасный поиск — встроенная защита без лишних шагов

Яндекс.Браузер использует несколько слоёв защиты одновременно, и большинство из них включены по умолчанию.

Я.Безопасный поиск — база вредоносных и фишинговых сайтов, которую Яндекс формирует на основе собственного краулера и сигналов пользователей. На 2025 год в базе свыше 35 миллионов заблокированных URL. Если QR ведёт на сайт из базы — Я.Браузер не откроет его, а покажет страницу предупреждения с объяснением угрозы.

Protect проверяет не только URL, но и содержимое страницы: если там скрипты, характерные для фишинга (форма-имитация банка, поддельный виджет оплаты), Protect заблокирует даже новый домен.

Как включить (если отключено): Настройки → Безопасность → «Защитить устройство от угроз» → «Проверять сайты по базе» и «Защита от фишинга».

Ограничение: сайт моложе 24–48 часов ещё не в базе Яндекса. Для свежих фишинговых доменов — VirusTotal или URLscan дополнительно.

Способ 5: приложения ФНС и «Честный знак» — проверка подлинности чека и товара

Отдельная задача — проверить не безопасность ссылки, а подлинность самого QR на документе или упаковке.

Чек ФНС. На любом кассовом чеке в России должен быть фискальный QR-код. Он содержит реквизиты чека: дату, сумму, ФН (фискальный номер), ФД (фискальный документ), ФП (фискальный признак). Приложение «Проверка чека» от ФНС (доступно в App Store и Google Play) сканирует этот QR и за несколько секунд сверяется с базой ОФД (оператора фискальных данных). Результат: «Чек подлинный» или «Чек не найден».

Чек не найден — значит, либо кассовый аппарат не передаёт данные в ОФД (нарушение закона 54-ФЗ), либо чек подделан. Оба варианта — повод отказаться от покупки или пожаловаться через то же приложение. Подробнее о фискальных QR — в статье QR-код на чеке: что в нём зашито и как проверить. Термин — фискальный QR на чеке.

Честный знак. На упаковках лекарств, табака, обуви, одежды, молочной продукции и ряде других категорий обязательна маркировка — Data Matrix или QR. Сканируйте его приложением «Честный знак» (также App Store и Google Play). Приложение показывает: зарегистрирован ли код в системе, когда он был введён в оборот, совпадает ли страна производства. Серый импорт или контрафакт — код либо не найден, либо числится уже выбывшим из оборота.

Оба приложения бесплатны и работают без регистрации пользователя. Достаточно скачать и открыть сканер. О маркировке товаров и Data Matrix — подробно в статье QR-код и Честный знак: Data Matrix на маркированных товарах.

10 признаков подозрительного QR

Прежде чем сканировать незнакомый QR — осмотрите его физически и оцените контекст. Вот признаки, которые должны остановить руку:

  1. Наклейка поверх другого QR. Пощупайте — под ней что-то есть? Физический слой — главный признак подмены. Особенно часто на банкоматах, стойках госуслуг, у касс.
  2. Наклейка криво приклеена или пузырится. Оригинальные QR на официальных носителях печатаются типографским способом, наклеек на них нет.
  3. Опечатка в домене preview. gosuslugy вместо gosuslugi, sber-bank вместо sber, yandex-market.ru вместо market.yandex.ru. Атака brand impersonation — имитация доверенного домена.
  4. Нет HTTPS. Легитимные сервисы банков, маркетплейсов, госуслуг в 100% случаев используют HTTPS. HTTP в preview — красный флаг.
  5. Сокращённая ссылка без раскрытия. QR, который ведёт на bit.ly/xXxX вместо прямого URL — непрозрачен. Скопируйте сокращённую ссылку и раскройте через expandurl.net или в самом VirusTotal.
  6. QR обещает «халяву» без контекста. «Выиграйте iPhone», «получите 10 000 ₽ бонусов», «вы выбраны победителем» — классическая приманка для перехода без раздумий.
  7. QR в письме или мессенджере от незнакомого адресата. Особенно опасен QR в PDF-вложении: антивирус сканирует текст письма, но не всегда распознаёт URL внутри растрового изображения в PDF.
  8. Размытый или повреждённый QR с «просьбой» ввести данные вручную. Иногда фишеры специально делают QR нечитаемым и рядом пишут URL вручную. URL поддельный, но виден только при внимательном чтении.
  9. QR ведёт на страницу с немедленным запросом данных. Настоящий интернет-банк не просит ввести пароль сразу после перехода по QR без подтверждения входа через приложение.
  10. Незнакомое место + незнакомый бренд. QR на листовке, подброшенной под дверь, или наклейка на случайной поверхности в общественном месте — повышенный риск по умолчанию.

Telegram-боты для проверки ссылок

Отдельный класс инструментов — Telegram-боты с функцией проверки URL. Принцип работы: вы пересылаете боту ссылку, он прогоняет её через несколько баз (VirusTotal API, Phishtank, Google Safe Browsing) и возвращает вердикт. Удобно, когда нужно проверить ссылку на смартфоне без перехода в браузер.

Такие боты есть у нескольких кибербезопасных сообществ и коммерческих антивирусных компаний. При выборе бота проверяйте: указан ли он официально на сайте компании, сколько пользователей, есть ли верификация Telegram (синяя галочка у канала-создателя). Безымянный бот, которому вы отправляете чувствительные ссылки, сам может быть инструментом сбора данных.

Бот не заменит VirusTotal — большинство использует тот же VirusTotal API с задержкой и лимитами. Для полного отчёта со скриншотом — virustotal.com или urlscan.io напрямую.

Что делать, если попался на фейк

Открыли подозрительную страницу или ввели данные — действуйте быстро: мошенники используют данные в течение 30–60 минут.

  1. Заблокируйте карту. Немедленно через приложение банка или по горячей линии. Реквизиты карты достаточны для списания в ряде зарубежных магазинов без 3DS.
  2. Отзовите подозрительные операции. Прошло списание — сразу заявление на чарджбэк. Банк рассматривает в течение 30 дней; для Visa/Mastercard срок до 540 дней с момента транзакции.
  3. Смените пароли. Сначала там, где вводили данные. Затем везде, где использован тот же пароль. Включите двухфакторную аутентификацию.
  4. Просканируйте устройство. Если QR мог инициировать скачивание — Play Protect на Android (Настройки → Безопасность), плюс Kaspersky или Dr.Web полная проверка.
  5. Сообщите в банк и в полицию. Банк фиксирует попытку фишинга — это помогает другим клиентам. При реальном ущербе — заявление через Госуслуги («Правопорядок»), номер заявления нужен для оспаривания транзакций.

Частые вопросы

Можно ли заразить телефон просто отсканировав QR, не переходя по ссылке?

Само сканирование — нет. QR-код — просто строка текста или URL, камера декодирует её без выполнения кода. Риск возникает при открытии страницы: если сайт использует exploit kit с уязвимостью нулевого дня в движке браузера. На iOS 17+ и Android 14+ такие атаки практически нереальны — Apple и Google закрывают подобные дыры в течение дней. Правило простое: обновляйте ОС, не открывайте QR из незнакомых источников, держите включённым Protect в браузере.

Как проверить QR-код в PDF или на скриншоте, если нельзя навести камеру?

Загрузите файл на сканер QRkoder — принимает PNG, JPG, PDF, декодирует QR и показывает URL до открытия. Альтернатива на мобильном: Я.Браузер «Сканировать из галереи» или Google Lens. После декодирования URL прогоните через VirusTotal, не открывая напрямую. Подробнее: Как отсканировать QR по фото.

Я.Браузер или Chrome — какой безопаснее для сканирования чужих QR?

Для России — Я.Браузер с Protect: база Яндекса покрывает российский фишинг полнее, чем Google Safe Browsing. Ключевое отличие: Я.Браузер показывает preview URL с подтверждением перед переходом, Chrome открывает ссылку сразу. При регулярном сканировании чужих QR это существенно. Chrome сильнее в международных угрозах и корпоративных сетях с прокси.

VirusTotal ничего не нашёл, но я всё равно не уверен — что делать?

Свежий фишинговый домен (моложе 48 часов) может не попасть ни в одну базу VirusTotal. Три дополнительных шага: (1) проверьте дату регистрации домена на whois.domaintools.com — домен старше 2 лет значительно безопаснее; (2) запустите URLscan.io — он покажет скриншот страницы и список загружаемых ресурсов; (3) Cisco Talos Intelligence (talosintelligence.com) обновляет базу независимо от VirusTotal. Новый домен + имитация известного бренда + нет HTTPS — три красных флага сразу.

Как проверить QR-код чека, если нет приложения ФНС?

Через браузер на сайте kkt.nalog.ru. Отсканируйте QR любым сканером, скопируйте параметры из ссылки (t=, s=, fn=, i=, fp=, n=) и введите вручную в форму. Результат тот же. Альтернатива: «Мой налог» от ФНС тоже умеет сканировать чеки. Подробнее: что такое фискальный QR и статья про чек ФНС.

Является ли опасным QR с динамическим редиректом (сокращённая ссылка внутри)?

Сам по себе нет — сокращённые ссылки используются в легальном маркетинге. Проблема в непрозрачности: конечный URL скрыт. Правило: источник, которому доверяете (письмо банка, печатный материал партнёра) — открывайте. Незнакомый источник — раскройте через expandurl.net, прогоните через VirusTotal. QR из QRkoder используют домен qrk.ru — владелец видит статистику переходов в личном кабинете.

Что такое quishing и чем он отличается от обычного фишинга?

Обычный фишинг — поддельная ссылка в письме, которую антиспам-фильтры давно блокируют. Quishing (QR + phishing) — та же ссылка, но внутри QR-изображения. Антиспам видит картинку, не URL — письмо проходит. Сотрудник получает «счёт от поставщика» с QR, сканирует корпоративным телефоном без MDM — попадает на фишинг. По данным Proofpoint, рост 587% год к году в 2024. Защита: проверять QR из почты через VirusTotal, использовать антивирус с QR-модулем.

Проверьте QR онлайн прямо сейчас

Загрузите фото QR — увидите URL до открытия.

Открыть онлайн-сканер →

бесплатно · preview URL · проверка домена

Онлайн-сканер · QR-генератор · QR-фишинг — защита.

Все статьи блога

Создавайте QR-коды бесплатно

Динамические QR-коды с аналитикой, дизайном и без ограничений по сканированиям.

Начать бесплатно