Вредоносный URL
Ссылка в QR-коде, ведущая на ресурс, который крадёт данные, устанавливает вредоносное ПО или обманом переводит деньги. Опасность — в невидимости: пользователь сканирует физический QR (наклейка, стенд, штраф) и переходит без визуальной проверки адреса.
Что такое вредоносный URL в QR
Вредоносный URL — это ссылка внутри QR-кода, цель которой не та, что заявлено: вместо страницы ресторанного меню открывается фишинговый сайт, вместо квитанции ЖКХ — фейковый платёжный шлюз. Главная особенность QR как вектора атаки — пользователь не видит адрес до перехода. На компьютере вы наводите мышь на ссылку и читаете URL в строке браузера. При сканировании физического QR такого шага нет: один взмах камерой — и браузер уже открыт.
По данным ЦБ РФ и КиберПолиции, в 2024–2025 годах число quishing-атак (QR + phishing) в России выросло на 1500%. Топ-площадки подмены: QR-наклейки на парковочных стойках, в кафе, поддельные «штрафы ГИБДД» с кодом оплаты, QR на листовках управляющих компаний.
Термин «вредоносный URL» шире понятия quishing: quishing — один из сценариев, тогда как вредоносная ссылка может преследовать и другие цели, не связанные с кражей учётных данных.
Типы атак
- Фишинг (phishing). Копия легитимного сайта — Сбер, Госуслуги, Яндекс.Деньги — один в один воспроизводит интерфейс до последнего пикселя. Цель — логин, пароль, OTP из SMS. Жертва вводит данные и не замечает подмены, пока деньги не уйдут. Детальнее — в статье про QR-фишинг.
- Drive-by malware. Страница автоматически инициирует загрузку APK на Android под видом «обновления приложения» или «системного файла». Без клика. На старых версиях Android (до 13) JS-эксплойты через WebView срабатывают без предупреждения. Итог — банковский троян или шпион на устройстве.
- Cryptojacking. В браузере запускается JS-скрипт, использующий вычислительные ресурсы процессора для майнинга Monero. Телефон перегревается, батарея садится за час — пользователь обычно не догадывается о причине. Домен при этом выглядит безобидно и не попадает в классические антифрод-базы.
- Агрессивная реклама и push-подписки. Редирект на страницу, которая сразу запрашивает разрешение на push-уведомления. Дав согласие, пользователь получает поток навязчивой рекламы или спам. Технически не «взлом», но используется для монетизации баз живых номеров и email.
- Поддельные СБП-переводы. QR имитирует форму оплаты по Системе быстрых платежей, но реквизиты получателя подменены. Сценарий распространён в кафе и небольших магазинах: поверх оригинального QR-эквайринга наклеивается чужой код. Клиент платит — деньги уходят мошеннику.
- Сбор персональных данных (PII harvesting). Фейковая «регистрация для получения скидки» или «верификация участника акции» запрашивает ФИО, дату рождения, серию паспорта, СНИЛС. Эти данные продаются в даркнете или используются для оформления микрозаймов.
Как защититься
- Preview URL перед переходом. iPhone показывает URL в жёлтом баннере — прочитайте домен до нажатия. Я.Браузер всегда спрашивает подтверждение и прогоняет ссылку через Я.Безопасный поиск.
- VirusTotal до открытия. Скопируйте URL из preview и вставьте на
virustotal.com. 90+ антивирусных движков, результат за 15–30 секунд. Если 3+ детекта — не открывайте. - Kaspersky, Dr.Web, Bitdefender на смартфоне. Мобильный антивирус с QR-модулем проверяет ссылку до открытия браузера — без ручного копирования URL.
- Проверьте HTTPS в адресной строке. Легитимные банки, маркетплейсы, госсервисы используют HTTPS в 100% случаев. HTTP без «s» — красный флаг.
- 2FA на критичных аккаунтах. Даже если пароль украден, без второго фактора (TOTP, SMS) злоумышленник не войдёт. Подробнее — в термине двухфакторная аутентификация.
- Не доверяйте физическим наклейкам. Пощупайте QR — если под ним что-то есть, код подменён. Настоящий QR ресторана или банка печатается типографски, не наклеивается сверху.
Проверить ссылку из QR без перехода — онлайн-сканер QRkoder декодирует код из фото и показывает URL до открытия.
Частые вопросы
Чем вредоносный URL в QR отличается от обычной вредоносной ссылки в письме?
В письме браузер и антиспам-фильтр видят URL как текст и могут его проверить до клика. В QR-коде ссылка скрыта внутри изображения — антиспам сканирует картинку, а не адрес. Кроме того, QR на физическом носителе вызывает больше доверия: наклейка на стенде парковки психологически воспринимается как официальная информация. По данным Proofpoint, именно этим объясняется рост quishing-атак — они обходят 80% корпоративных почтовых фильтров.
Может ли вредоносный QR заразить устройство без перехода по ссылке?
Само сканирование безопасно — камера декодирует QR как строку текста, никакой код не выполняется. Риск возникает в момент открытия страницы: exploit kit использует уязвимость в движке браузера. На iOS 17+ и Android 14+ с актуальными патчами такие сценарии практически закрыты. Правило: не открывайте ссылку из незнакомого QR — перепишите URL вручную или проверьте через VirusTotal.
Как распознать поддельный QR на парковке или в кафе?
Три физических признака: (1) наклейка поверх оригинала — пощупайте, есть ли слой под ней; (2) криво приклеена или пузырится — оригинальные QR печатаются, не наклеиваются; (3) preview URL показывает домен, не совпадающий с заведением: sbeer.ru вместо sber.ru, gosuslugy.ru вместо gosuslugi.ru. При малейшем сомнении — попросите кассира назвать URL или найдите официальный сайт через поисковик.
Что делать, если уже ввёл данные карты на подозрительном сайте?
Действуйте в первые 30 минут — именно столько в среднем занимает обналичивание у мошенников. (1) Позвоните в банк, заблокируйте карту — реквизитов достаточно для транзакций без 3DS в ряде зарубежных сервисов. (2) Если прошло списание — сразу заявление на чарджбэк. (3) Смените пароли там, где использовали тот же — и включите двухфакторную аутентификацию. (4) Просканируйте устройство Kaspersky или Dr.Web. (5) Сообщите в банк и подайте заявление через Госуслуги («Правопорядок»).
Помогает ли пароль на QR от вредоносных ссылок?
Нет. Пароль на QR защищает содержимое от несанкционированного сканирования, но не делает ссылку внутри безопаснее. Это разные задачи: пароль — контроль доступа, проверка URL — антифрод. Для безопасности нужна проверка конечного адреса независимо от того, защищён ли код паролем.
Какой риск у smishing в сравнении с вредоносным QR?
Smishing — фишинг через SMS-сообщение со ссылкой. Вредоносный QR — тот же фишинг, но через физический носитель. Smishing проще масштабировать (тысячи SMS дёшевы), QR-атака точнее: мошенник знает, что жертва физически находится рядом с поддельной наклейкой и готова к действию (парковка, оплата, регистрация). Оба вектора требуют одного и того же — проверить URL до перехода и не вводить данные без уверенности в источнике.