How can I tell if a QR code is safe before scanning it?

You cannot determine a QR code's safety just by looking at it, which is why you should use a QR scanner app that previews the destination URL before opening it. Check that the URL matches the expected domain exactly, looking for misspellings or suspicious extensions. For physical QR codes, inspect for signs of tampering like stickers over original codes or poor print quality.

What should I do if I accidentally scanned a malicious QR code?

Immediately close the browser window without entering any information or clicking links. If you already entered credentials, change your passwords immediately on all affected accounts using a different device. Monitor your bank and credit card statements for unauthorized transactions and consider placing fraud alerts with credit bureaus if you provided personal or financial information.

Are QR codes in emails always dangerous?

Not all QR codes in emails are malicious, but they should be treated with extreme caution because they're a common attack vector. Legitimate companies rarely send QR codes for sensitive actions like password resets or payments in unsolicited emails. Always verify the sender's authenticity through independent channels and prefer typing URLs directly rather than scanning codes for important accounts.

Can my phone get infected with malware just by scanning a QR code?

Simply scanning a QR code typically won't infect your device, but the destination website could prompt you to download malicious apps or exploit browser vulnerabilities. Modern smartphones usually require explicit permission before downloading files, but sophisticated attacks can exploit zero-day vulnerabilities. Using updated mobile security software and keeping your operating system current provides important protection.

Why don't email security systems catch QR code phishing attacks?

Traditional email security filters scan text, URLs, and attachments for known malicious patterns, but QR codes appear as harmless images in email analysis. The malicious URL is encoded within the image itself, making it invisible to standard scanning tools. This is why quishing attacks have become so prevalent—they exploit a blind spot in conventional email security infrastructure.

Высокий Средний ущерб: $1,500 Обычная длительность: 1-3 days

Квишинг (фишинг через QR-коды): Полное руководство по защите

Квишинг, или фишинг через QR-коды, — это быстро растущий метод кибератак, при котором преступники заменяют легитимные QR-коды вредоносными или создают поддельные коды, которые перенаправляют жертв на мошеннические веб-сайты. По данным Центра жалоб на интернет-преступления ФБР, связанные с QR-кодами мошенничества возросли на 587% в период с 2022 по 2023 год, при этом средние потери достигли 1500 долларов США на один инцидент. Эти атаки эксплуатируют тот факт, что QR-коды нечитаемы для человека, что делает невозможным проверку пункта назначения перед сканированием. Мошенничество обычно работает путем размещения поддельных QR-кодов на паркоматах, столиках в ресторанах, упаковке продукции или в приложениях электронной почты, которые выглядят так, как будто они от законных компаний. При сканировании эти коды перенаправляют жертв на убедительные поддельные веб-сайты, предназначенные для сбора учетных данных для входа, информации о банковских счетах или данных платежных карт. В корпоративной среде злоумышленники отправляют QR-коды по электронной почте, которые обходят традиционные фильтры безопасности, приводя сотрудников на поддельные страницы входа Microsoft 365 или портали расчета заработной платы. Особенная опасность квишинга заключается в его способности обходить традиционные меры безопасности. Традиционные системы безопасности электронной почты сканируют URL-адреса и вложения на предмет вредоносного содержимого, но QR-коды выглядят как безобидные изображения. Кроме того, многие смартфоны автоматически открывают ссылки из QR-кодов без предварительного отображения полного URL-адреса, что не дает жертвам возможности проверить пункт назначения. Федеральная торговая комиссия сообщила, что компании потеряли более 48 миллионов долларов США на мошенничестве с QR-кодами в 2023 году, при этом как потребители, так и сотрудники стали жертвами этих сложных атак.

Распространённые тактики Как распознать Как защитить себя Реальные примеры Куда сообщить

Распространённые тактики

• Замена физических QR-кодов: Мошенники печатают наклейки с вредоносными QR-кодами и размещают их над легитимными кодами на паркоматах, платежных терминалах ресторанов, станциях зарядки электромобилей и ярлыках упаковки доставки, перенаправляя платежи на свои счета.
• Кампании квишинга по электронной почте: Злоумышленники отправляют профессионально оформленные электронные письма якобы от IT-отделов, отделов кадров или финансовых учреждений с QR-кодами для срочной переустановки пароля, установки многофакторной аутентификации или оплаты счетов, которые приводят на сайты сбора учетных данных.
• Поддельные уведомления о парковке: Преступники размещают поддельные штрафы за парковку на лобовых стеклах с QR-кодами, якобы предлагающими быстрые варианты оплаты, которые на самом деле крадут информацию кредитной карты и личные данные при сканировании.
• Приманки криптовалютных инвестиций: Мошенники распространяют QR-коды через социальные сети и приложения для обмена сообщениями, утверждая, что предоставляют доступ к эксклюзивным возможностям инвестирования в криптовалюту, но фактически опустошают цифровые кошельки жертв при сканировании.
• Мошенничество с доставкой пакетов: Мошенники отправляют текстовые сообщения или электронные письма с QR-кодами, утверждая, что переносят доставку посылок или требуют оплаты таможенных пошлин, приводя на поддельные сайты почтовых служб, которые захватывают информацию платежных карт.
• Мошенничество с меню ресторана и платежами: Злоумышленники создают поддельные QR-коды для цифровых меню или платежей за обслуживание за столом в ресторанах, перенаправляя посетителей на похожие сайты, которые крадут данные кредитных карт, когда клиенты пытаются оплатить свои счета.

Как распознать

Несоответствие предпросмотра URL: Перед открытием ссылки проверьте, отображает ли ваш телефон предпросмотр URL, который не соответствует ожидаемому пункту назначения (например, QR-код паркомата, показывающий личный веб-сайт вместо официального домена города).
Признаки физического вмешательства: Ищите наклейки, размещенные над исходными QR-кодами, неправильное выравнивание печати, разную качество бумаги или коды, которые выглядят так, как будто они были добавлены после разработки, а не профессионально напечатаны как часть исходного материала.
Запросы срочного действия: Будьте осторожны с QR-кодами, сопровождаемыми угрожающим языком, таким как «ваш аккаунт будет заблокирован в течение 24 часов», «требуется срочное обновление безопасности» или «оплатите в течение 2 часов, чтобы избежать штрафов», так как легитимные сервисы редко используют такую тактику давления.
Общие или обезличенные коммуникации: Электронные письма или сообщения, содержащие QR-коды, которые не используют ваше фактическое имя, ссылаются на расплывчатые проблемы с аккаунтом или не содержат конкретные детали о вашей связи с предполагаемым отправителем, скорее всего мошеннические.
Неожиданные запросы аутентификации: Если вы получаете непрошеные QR-коды, утверждающие, что настраивают многофакторную аутентификацию, проверяют данные аккаунта или подтверждают личность, когда вы не инициировали такой процесс, это серьезный сигнал тревоги.
Несоответствие адресата платежа: Когда QR-код приводит на страницу платежа, убедитесь, что имя получателя, данные компании и процессор платежей соответствуют ожиданиям — мошенники часто используют личные счета или незнакомые платежные платформы вместо установленных служб продавца.

Как защитить себя

Установите сканер QR-кодов с предпросмотром URL: Используйте приложения для чтения QR-кодов, которые отображают полный URL-адрес пункта назначения перед его открытием, и всегда проверяйте, что домен соответствует легитимной организации (проверьте на тонкие опечатки, например 'micros0ft.com' с нулем вместо 'o').
Вручную вводите официальные URL-адреса: Вместо сканирования QR-кодов для чувствительных операций, таких как банковское обслуживание, переустановка пароля или платежи, перейдите на официальный веб-сайт, введя URL-адрес прямо в браузер или используя сохраненные закладки.
Проверяйте физические QR-коды перед сканированием: Осмотрите паркоматы, платежные терминалы и упаковку продукции на предмет признаков вмешательства — легитимные QR-коды должны быть напечатаны как часть исходного материала, а не добавлены через наклейки или отдельные ярлыки.
Включите двухфакторную аутентификацию на всех аккаунтах: Даже если мошенники получат ваши учетные данные через квишинг, надлежащая двухфакторная аутентификация, использующая приложения аутентификатора (не SMS), препятствует им получению доступа к вашим аккаунтам без кода вторичной проверки.
Свяжитесь с организациями через официальные каналы: Если вы получили QR-код, утверждающий, что требуется срочное действие, независимо свяжитесь с организацией, используя номера телефонов или веб-сайты из их официальных источников, а не информацию, предоставленную в подозрительном сообщении.
Используйте программное обеспечение мобильной безопасности: Установите авторитетные приложения мобильной безопасности, которые могут обнаруживать и блокировать вредоносные веб-сайты, даже при доступе через QR-коды, обеспечивая дополнительный уровень защиты от кражи учетных данных и вредоноса.

Реальные примеры

Владелец небольшого бизнеса получил электронное письмо якобы от поставщика своего бухгалтерского программного обеспечения с QR-кодом для «обязательной проверки безопасности». Сканирование привело на убедительную поддельную страницу входа, где он ввел свои учетные данные. В течение 2 часов мошенники получили доступ к его аккаунту, изменили информацию восстановления и отправили мошеннические трансферы ACH на сумму 8400 долларов США на внешние счета. Компания обнаружила взлом только когда законные запросы платежей были отклонены из-за недостаточности средств.

Посетители популярного ресторана в центре города сканировали QR-коды на информационных палатках стола для просмотра меню, не подозревая, что мошенники заменили легитимные коды за ночь. Поддельные коды привели на клонированный веб-сайт, выглядевший идентично фактической системе заказов ресторана. За выходные 47 клиентов ввели информацию своих кредитных карт для оплаты еды, причем мошенники сразу же использовали украденные данные для мошеннических покупок в среднем на сумму 2300 долларов США за карту, прежде чем ресторан обнаружил подмену.

Куда сообщить — Россия

Официальные каналы в вашем регионе для сообщения о мошенничестве.

МВД России — Управление «К»

Киберпреступность

Управление по борьбе с преступлениями в сфере IT. Электронное обращение в МВД.

Перейти →

Госуслуги — заявление в полицию

Сообщение

Подача заявления о мошенничестве через портал Госуслуг.

Перейти →

Роскомнадзор

Сообщение

Жалобы на сайты мошенников, утечки персональных данных.

Перейти →

Банк России — приёмная

Финансовый регулятор

Жалобы на финансовые пирамиды, нелегальных брокеров, банковское мошенничество.

8-800-300-30-00 Перейти →

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), квишинг (фишинг через qr-коды): полное руководство по защите is described at https://scamlens.org/ru/encyclopedia/quishing-qr-code-phishing.

https://scamlens.org/ru/encyclopedia/quishing-qr-code-phishing

Начните здесь

Проверка Безопасности

Разведка

Инструменты и Отчёты

Премиум-услуги

Расширение и API

Квишинг (фишинг через QR-коды): Полное руководство по защите

Распространённые тактики

Как распознать

Как защитить себя

Реальные примеры

Куда сообщить — Россия

МВД России — Управление «К»

Госуслуги — заявление в полицию

Роскомнадзор

Банк России — приёмная

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide