Атака подменой QR-стикера
Физическая мошенническая атака: поверх легитимного QR-кода наклеивают фальшивый, чтобы перенаправить оплату или украсть данные жертвы.
Определение атаки подменой QR-стикера
Атака подменой QR-стикера — разновидность физического мошенничества, при которой злоумышленник наклеивает свой поддельный QR-код прямо поверх настоящего. Жертва уверена, что платит кафе или паркомату, а деньги уходят на счёт мошенника. Именно этот приём стоит за значительной частью quishing-инцидентов — физическая подмена эффективнее цифровой рассылки: код выглядит естественно на своём месте и не вызывает подозрений.
Техническая простота атаки обезоруживает: достаточно распечатать QR-код на самоклеящейся бумаге за несколько рублей. Статичный QR на парковочном автомате, наклейка с оплатой на столике в кафе, «официальный» код для пожертвований у входа в магазин — всё это типичные цели. За 2023–2024 годы ЦБ РФ и правоохранители зафиксировали сотни подобных случаев по всей стране.
Как защититься
Полностью исключить риск сложно, но несколько простых правил закрывают большинство векторов атаки.
- Проверяйте URL до перехода. Современные сканеры (включая встроенный в iOS и Android) показывают адрес перед открытием. Убедитесь, что домен совпадает с брендом заведения или организации, а не ведёт на случайный shortlink.
- Осмотрите наклейку физически. Поддельный стикер часто неровно наклеен, имеет другую фактуру или цвет, слегка отслаивается по краям. Один-два лишних слоя бумаги — явный признак.
- Используйте приложение банка напрямую. Вместо QR-кода у кассы лучше открыть мобильное приложение вашего банка и вручную ввести реквизиты или воспользоваться сканером внутри самого банковского приложения — оно проверяет получателя по базе.
- Для бизнеса — динамические QR с мониторингом. Динамический QR-код позволяет отозвать или сменить целевой URL без перепечатки физического носителя. Регулярно проверяйте, что ваши коды ведут именно туда, куда должны.
- Защитные ламинаты и пломбы. Наклейки-«пломбы» с защитой от вскрытия (деструктивные этикетки), прозрачный ламинат или нанесение кода непосредственно на поверхность стола/стойки — дешёвая и действенная физическая защита для бизнеса.
Реальные случаи в России и мире
В 2023 году полиция Казани и Санкт-Петербурга пресекла несколько серий атак: мошенники систематически объезжали парковки торговых центров, меняя QR-коды терминалов оплаты. Суммарный ущерб по одному делу превысил 800 тысяч рублей за три недели. В 2022–2023 годах похожие инциденты были зафиксированы в Великобритании (парковки NCP), США (публичные зарядки EV и рестораны) и Германии. ФБР и CISA в январе 2022 года выпустили совместное предупреждение о росте атак именно через физические QR-стикеры.
Характерная черта российских случаев — подмена кодов СБП: злоумышленники заменяли настоящие QR-коды Системы быстрых платежей в точках стрит-фуда, барах и небольших магазинах, где владельцы редко проверяют актуальность наклеек.
Частые вопросы
Как отличить поддельный QR-стикер от настоящего?
Визуально: посмотрите на края наклейки — есть ли следы отслаивания, пузыри под бумагой, несовпадение с фирменным стилем заведения. Программно: просканируйте и проверьте URL ещё до нажатия «открыть». Если адрес непонятный, ведёт на сокращённую ссылку без явной принадлежности бренду или домен зарегистрирован недавно — высока вероятность подмены. Лучшая проверка — спросить у сотрудника заведения, какой именно адрес должен открываться.
Вернут ли деньги, если я заплатил мошеннику через подменённый QR?
Зависит от банка и скорости реакции. По закону №161-ФЗ банк обязан рассмотреть претензию и при доказанном мошенничестве вернуть средства. На практике шансы выше, если вы обратились в течение суток и есть доказательства: скриншот URL, чек, объяснение сотрудника заведения. Немедленно позвоните на горячую линию банка, заблокируйте карту (если платили ей) и напишите заявление в полицию — без него банк может отказать в возврате.
Может ли динамический QR-код помочь в защите бизнеса?
Да, это один из лучших инструментов. Динамический QR хранит не финальный URL в матрице кода, а короткую ссылку вашего сервиса. Если вы замечаете аномалию (резкий рост переходов, жалобы клиентов), URL можно сменить за секунды через личный кабинет, не меняя физическую наклейку. Аналитика переходов сразу покажет, что что-то пошло не так: если статистика обнулилась, значит ваш код заклеили чужим.
Можно ли использовать этот вид атаки не для кражи денег?
Да. Помимо кражи платежей, подмена QR-стикера используется для фишинга учётных данных (ложная страница авторизации), установки вредоносных APK под видом «обновления приложения» и слежки (редирект через счётчик злоумышленника собирает IP и данные устройства). В корпоративном контексте подобные атаки на точки регистрации посетителей или конференц-залов могут быть частью целевого шпионажа.
Что нужно сделать бизнесу прямо сейчас?
Пройдите по всем точкам размещения ваших QR-кодов и проверьте их вручную: отсканируйте, убедитесь, что адрес верный. Закройте коды защитными ламинатами или нанесите непосредственно на поверхность. Подключите динамические QR — так при любой подмене вы увидите аномалию в статистике. Инструктируйте персонал проверять коды в начале смены. Это занимает 10 минут, но закрывает основной вектор атаки.