Где встречается квишинг и как на него не попасться

Вы подходите к парковочному автомату и видите наклейку с QR-кодом: «Оплатите парковку быстро и без комиссии». Удобный способ сэкономить время? Да. Но также возможно, что это ловушка.

В этой статье:

1. Что такое квишинг
2. Как работает квишинг
3. Где мошенники используют QR-коды
4. Как не попасться на квишинг
5. Что делать, если вы стали жертвой
6. Что в итоге
7. Часто задаваемые вопросы

Мы привыкли доверять QR-кодам. Они есть в ресторанах, на афишах, в квитанциях за коммунальные услуги. Это быстрый способ получить информацию или совершить платеж. Однако мошенники адаптируют свои схемы под наши привычки. Так появился квишинг (quishing) — гибрид QR-кода и фишинга.

Что такое квишинг

Квишинг (QR code + phishing, прямой перевод с английского «куар-код», «фишинг» для кражи паролей, данных банковских карт)) — это вид кибермошенничества, при котором злоумышленники используют QR-коды для перенаправления жертвы на фишинговые сайты.

Цель — заставить человека ввести личные данные, пароли или реквизиты банковских карт, которые уходят напрямую преступникам.

Как работает квишинг

Механика проста, но именно поэтому эффективна. Мошенники пользуются нашим доверием к технологиям и невнимательностью.

Типичная схема выглядит так:

1. Создание приманки. Злоумышленник генерирует QR-код, который ведет на поддельный сайт. Внешне он не отличается от настоящего.
2. Распространение. Поддельный шифр размещают там, где люди привыкли их видеть: поверх настоящих наклеек на паркоматах, в листовках, электронных письмах от имени известных компаний или мессенджерах.
3. Переход. Человек сканирует код смартфоном, планируя перейти на официальную страницу.
4. Перенаправление. Телефон открывает браузер и загружает сайт, который может быть точной копией сайта банка, портала госуслуг или службы доставки.
5. Ввод данных. Жертва, не подозревая подвоха, вписывает логин и пароль от личного кабинета или информацию с банковской карты для оплаты услуги.
6. Кража данных. Введенная информация мгновенно оказывается у мошенников. Далее они используют ее для взлома аккаунтов или для вывода денег.

Главная опасность квишинга в том, что в отличие от ссылки в письме QR-код не позволяет увидеть конечный адрес сайта до перехода. Вы действуете вслепую.

Где мошенники используют QR-коды

Квишинг может встретиться где угодно, но есть несколько наиболее распространенных ситуаций, в которых стоит проявить бдительность.

Парковки и платные автоматы

Один из самых популярных способов. Мошенники печатают стикеры со своим QR-кодом и наклеивают их поверх настоящих на паркоматах или столбах. Человек сканирует картинку, чтобы оплатить парковку, и попадает на сайт-двойник, где теряет деньги.

Рестораны и кафе

Во многих заведениях QR-коды пришли на замену бумажным меню. Злоумышленник может незаметно разместить свою наклейку на столике до вашего прихода. Вместо меню вы перейдете на фишинговый сайт или страницу, пытающуюся загрузить вредоносное программное обеспечение (ПО) на телефон.

Опасность может крыться не только в меню. К примеру, мошенники научились перехватывать учетные данные через подключение к Wi-Fi по QR-кодам в кафе.

Электронные письма и рассылки

Вам приходит письмо якобы от службы доставки с темой: «Ваша посылка ожидает подтверждения». Вместо ссылки во вложении находится изображение QR-кода. Такие письма легче обходят спам-фильтры, так как не содержат прямых гиперссылок.

Так мошенники рассылали письма от имени ФНС.

Фальшивые штрафы и квитанции

Листовка под дворником автомобиля с «квитанцией» о штрафе и картинкой для быстрой оплаты — классический прием. То же самое касается поддельных квитанций ЖКХ, которые мошенники бросают в почтовые ящики.

Скидки и подарки

Объявления о крупных скидках у известных брендов или розыгрышах ценных призов, где для участия нужно отсканировать код. Желание сэкономить часто притупляет бдительность.

Экономьте проверенными способами. Например, с помощью кешбэка от Халвы на покупки в магазинах-партнерах.

Как не попасться на квишинг

Стать жертвой квишинга неприятно, но избежать довольно просто. Достаточно выработать несколько полезных привычек.

1. Внимательно осматривайте носитель кода. Перед сканированием посмотрите на саму картинку. Не наклеена ли она поверх другого изображения? Не выглядит ли бумажка чужеродной? Если есть сомнения, лучше не пользоваться ею.
2. Анализируйте ссылку перед переходом. Современные телефоны показывают адрес, на который ведет код. Не нажимайте «Перейти» сразу. Внимательно прочитайте адрес — если он содержит странные символы, ошибки в названии компании, транслитерации (sovkombanсk.com вместо sovcombank.ru) или выглядит подозрительно, закройте вкладку.
3. Не вводите лишнюю информацию. Действительно ли для просмотра меню ресторана нужен CVV? Конечно, нет. Если сайт, открывшийся после сканирования, требует конфиденциальные данные без веской причины — это явный признак мошенничества.
4. С осторожностью относитесь к заманчивым предложениям. Слишком выгодные предложения, крупные выигрыши и неожиданные подарки — почти всегда приманка. Если обещают скидку 90% по ссылке, высока вероятность, что это ловушка.
5. Используйте программы для проверки ссылок. У некоторых антивирусных приложений есть встроенный сканер. Он автоматически проверяет ссылку по базам фишинговых сайтов и блокирует переход, если адрес опасен.
6. Включите 2FA — двухфакторную аутентификацию. Это правило касается не только квишинга, но и безопасности в целом. Если 2FA активна на ваших основных аккаунтах (почта, соцсети, госуслуги), мошенники не смогут войти в них, даже если узнают пароль.
7. Обновляйте операционную систему телефона. Регулярные обновления закрывают уязвимости, через которые злоумышленники могут попытаться установить вредоносное ПО на ваше устройство.

Что делать, если вы стали жертвой

Если вы перешли по ссылке и поняли, что попали на мошеннический сайт, не теряйте время: прекратите действия и закройте страницу.

Ввели пароль — срочно смените его. Сделайте это на официальном сайте или в приложении того сервиса, пароль от которого могли украсть злоумышленники. Если заполнили реквизиты карты — заблокируйте немедленно через приложение банка или позвонив на горячую линию.

Сообщите в банк, даже если просто подозреваете утечку данных. Сотрудники усилят мониторинг ваших счетов.

Если вы потеряли деньги, необходимо написать заявление в полицию. Это повышает шансы на то, что на мошенников обратят внимание правоохранительные органы.

Что в итоге

Квишинг — это не новая хакерская технология, а старая схема обмана в новой обертке. Мошенники просто воспользовались тем, что мы слепо доверяем QR-кодам.

Три главных вывода, которые стоит запомнить:

1. QR-код — это та же ссылка, просто графическая. Относитесь к нему с тем же уровнем осторожности, что и к ссылке в письме от незнакомца.
2. Смотрите, куда ведет код. Функция предпросмотра ссылки есть в каждом смартфоне.
3. Не делитесь лишним. Ни один легитимный сервис не будет просить данные вашей карты или пароль, чтобы показать меню или дать скидку.

Будьте внимательны к своим данным, и тогда никакие новые виды мошенничества не застанут вас врасплох.

Часто задаваемые вопросы

Собрали и ответили на самые популярные.

Что такое квишинг простыми словами?

Это мошенническая схема, при которой преступники используют QR-коды для того, чтобы заманить вас на поддельный сайт и вынудить ввести реквизиты карт.

Можно ли заразить телефон вирусом, отсканировав QR-код?

Нет. Это просто зашифрованная информация (обычно ссылка). Вирус можно скачать, только если перейти по этой ссылке и согласиться на загрузку файла.

Как узнать, ведет ли QR-код на опасный сайт, до перехода по нему?

Да, нужно посмотреть на адрес ссылки, который появляется на экране после сканирования до подтверждения перехода. Сравните его с официальным адресом компании. Любые несоответствия или странные символы — повод насторожиться.

Всегда ли QR-коды на квитанциях ЖКХ безопасны?

Нет, не всегда. Мошенники могут подбрасывать в почтовые ящики поддельные квитанции со своими реквизитами. Безопасны только напечатанные на официальных бланках, которые вы получаете от проверенной управляющей компании.

Что опаснее: фишинг через ссылки в письмах или через QR-коды?

Оба способа опасны. Но у квишинга есть особенность: он сложнее отслеживается автоматическими фильтрами (например, спам-фильтрами почты), так как вредоносная ссылка скрыта внутри картинки. К тому же люди часто сканируют код с мобильных устройств, где интерфейс браузера меньше и заметить подвох сложнее.

Нужно ли устанавливать отдельное приложение для сканирования QR-кодов?

В этом нет необходимости. Встроенная камера современных смартфонов отлично справляется с этой задачей. Однако если вы хотите дополнительной защиты, можно использовать приложения известных антивирусных компаний, у которых есть встроенная проверка ссылок.