Quishing (QR-фишинг)
Кибератака, при которой злоумышленники распространяют поддельные QR-коды, ведущие на фишинговые сайты или загружающие вредоносное ПО.
Определение Quishing
Quishing (от QR + phishing) — это разновидность фишинг-атак, при которой злоумышленники используют QR-код как канал доставки вредоносного URL. Жертва сканирует с виду безобидный символ — на наклейке, в письме, на «платёжной квитанции» — и попадает на поддельную страницу, имитирующую банк, СБП, госуслуги, СДЭК, Почту России или работодателя. Там её просят ввести номер карты, пароль, код из SMS или установить APK-файл «для оплаты».
Термин стал популярен после серии атак 2023–2024 годов на пользователей банков в Европе и США. В России quishing активно использовался в кампаниях «квази-посылок», поддельных штрафов ГИБДД, «возвратов СБП» и «проверок ЖКХ» — массовых сценариях, где логично видеть QR-код и нет времени сомневаться.
Типичные сценарии атаки
- Наклейка с QR поверх легитимного кода на парковке, зарядной станции, столике кафе.
- Письмо «от СДЭК» с поддельным трек-номером и QR для «отслеживания посылки».
- QR на «квитанции ЖКХ» с фальшивыми реквизитами получателя.
- Поддельные «штрафы ГИБДД» с QR-оплатой на номер мошенника.
- Фиктивные HR-письма «пройдите онбординг» с QR, ведущим на страницу логина «SSO корпоративного портала».
- QR, открывающий загрузку вредоносного APK под видом банковского приложения.
Как защититься
- Всегда просматривать URL перед переходом — хороший сканер показывает ссылку.
- Не сканировать QR-коды с наклеек на общественных поверхностях без верификации.
- Использовать решения с превью и антифрод-проверкой доменов.
- Для бизнеса — применять только свой домен у shortlink-сервиса и ставить «пломбы» поверх кодов.
- Настроить правила Smart Routing и блокировать подозрительные User-Agent.
- Обучать сотрудников: QR-код ≠ доверенный источник.
QR-код не защищает сам себя. Его безопасность — это цепочка: место размещения, короткая ссылка, домен, конечная страница. Ослабьте одно звено — и получите идеального проводника для фишинг-атаки.
Связанные концепции
- динамический QR с отзывом и паролем как защита бизнеса;
- short-link-провайдеры с антифрод-анализом;
- DMARC, SPF и DKIM как защита email-канала;
- Mobile Threat Defense — класс MDM-решений против мобильных угроз.
Частые вопросы
Чем quishing опаснее классического фишинга?
QR-код скрывает целевой URL — пользователь не видит доменного имени до сканирования, и стандартная рекомендация «проверьте адрес» работает хуже. Кроме того, QR-коды распространяются через физические носители, к которым у людей больше доверия, чем к email-ссылкам. Наклейка на парковке или на столике в кафе воспринимается как «легитимный канал» бизнеса, и жертва не задумывается, что её может подменить злоумышленник.
Как бизнесу обезопасить свои QR?
Используйте собственный домен у шортлинк-сервиса: видя узнаваемый адрес, пользователь меньше доверяет поддельному. Наклеивайте QR-коды на труднозаменяемые материалы, оборудуйте видеонаблюдение там, где это оправдано. Ведите учёт размещённых QR-кодов и периодически проверяйте, что по ним открывается именно ваша страница. В динамических QR ограничивайте целевые URL белым списком и подключайте антифрод-аналитику провайдера.
Можно ли автоматически блокировать злонамеренные QR?
Да, современные сканеры в смартфонах и мессенджерах всё чаще показывают превью URL, а мобильные антивирусы (Касперский, Bitdefender, ESET) проверяют адреса по базе phishing-доменов до открытия браузера. Корпоративные решения MDM и Mobile Threat Defense идут дальше: блокируют запрос по репутации домена, принадлежности сертификата и поведению страницы. Но 100% защиты нет — пользователь должен оставаться осознанным звеном в цепочке безопасности.
Что делать, если я уже перешёл по фишинговому QR?
Если вы успели ввести данные карты или пароль, немедленно позвоните в банк и заблокируйте карту или сбросьте пароль от сервиса. Проверьте устройство антивирусом, поменяйте пароли в критичных сервисах (банк, госуслуги, почта, корпоративные системы) и включите двухфакторную аутентификацию везде, где она ещё не активирована. Сообщите о случае в «Госуслуги» и на официальные каналы сервиса, за который выдавали себя злоумышленники.