К 2025 году мошенники превратили QR-коды в инструмент массового обмана. Один неверный клик — и ваши деньги исчезают со счета, смартфон заражается вредоносным ПО, а персональные данные оказываются в руках злоумышленников. Давайте разберемся, как QR-коды из удобного инструмента превратились в актуальную угрозу, как устроено такое мошенничество с технической точки зрения и что говорит статистика. А в конце немного потренируемся отличать поддельные коды от оригинальных. Прошу под кат.
Скоро выпустим новый комикс о путешествиях ИБ-специалиста! Регистрируйтесь, чтобы узнать о публикации первыми. Бонусом сможете выиграть один из 15 комплектов призов.
Используйте навигацию, если не хотите читать текст полностью:
→ Массовые мошенничества с использованием QR-кодов
→ Как устроены поддельные QR-коды
→ Статистика
→ Почему традиционные методы защиты не спасают
→ Как защититься
→ QR-коды: тест на внимательность
Массовые мошенничества с использованием QR-кодов
Ну что, QR-коды — это уже как Wi-Fi или кофе с собой: без них никуда. Они удобны? Безусловно. Безопасны? А вот тут начинается самое интересное. QR-коды — это не только инструмент для быстрой навигации, но и любимая игрушка мошенников. Давайте для начала посмотрим на типичные популярные способы украсть ваши деньги или персональные данные через поддельный QR-код.
Парковки в Нидерландах
Ну вот, вы приехали в центр города, нашли парковку и радостно сканируете QR-код на паркомате. Удобно же — никаких очередей, все через телефон. Но знаете что? Этот код может оказаться не таким уж легальным. Мошенники уже давно взяли на вооружение фишинг через паркоматы.
В Европе с этим прямо беда. Вот вам пример: в Нидерландах полиция буквально кричит (ну, почти) о поддельных QR-кодах с логотипом Easy Park. При сканировании такого кода пользователь попадает на сайт, который запрашивает платежные данные.
Источник.
Аналогичная ситуация наблюдается в Люксембурге, где мошенники клеят стикеры с фальшивыми QR-кодами на парковочные автоматы. Эти коды перенаправляют пользователей на мошеннические сайты, имитирующие официальные сервисы. Муниципалитет рекомендует использовать только официальное приложение Indigo Neo для оплаты парковки, чтобы избежать проблем.
А в Дублине одна женщина потеряла 1 000 евро, отсканировав поддельный QR-код на парковочном автомате. Такие случаи показывают, насколько легко можно стать жертвой мошенников, если не проверять источник QR-кода. Особенно опасно, что эти фальшивые коды часто размещаются в местах с высокой проходимостью, где люди спешат и меньше внимания обращают на детали.
Меню в ресторанах в США
QR-коды в ресторанах — это, конечно, удобно. Никаких грязных меню, все стильно и современно: навел камеру — и вот тебе список блюд. Но мошенники добрались и сюда. Да-да, те самые, которые клеят свои фейковые коды прямо на столики или входные двери.
Киберпреступники создают поддельные QR-коды, которые перенаправляют пользователей на мошеннические сайты или приложения, имитирующие настоящие сайты ресторанов. Эти платформы запрашивают личную информацию, платежные данные и могут даже устанавливать вредоносное ПО на устройства.
Источник.
Исследование показало, что более половины ресторанов в США перешли на QR-коды для меню, но многие из них не осведомлены об опасностях, связанных с их использованием. Это создает идеальные условия для мошенников, которые могут заменить легитимные коды своими собственными.
QR-коды в email-рассылках
Аналитики Abnormal Security Corp. обнаружили, что руководители высшего звена получают фишинговые атаки через QR-коды в 42 раза чаще, чем рядовые сотрудники.
Пример фишингового письма. Источник.
Кроме того, QR-коды могут быть встроены в цветные фоны или спрятаны в электронные письма и файлы Excel с поддержкой макросов. Это затрудняет их обнаружение антивирусами. Злоумышленники постоянно совершенствуют свои методы, делая атаки более изощренными.
Например, используют QR-коды, которые перенаправляют пользователей на сайты, требующие установки обновлений для браузера или операционной системы. На самом деле, это вредоносное ПО, которое может украсть данные или предоставить злоумышленникам доступ к устройству.
Как устроены поддельные QR-коды
Исследователи из Barracuda обнаружили новые методы квишинга (от англ. phishing through QR codes), которые позволяют обходить традиционные системы безопасности. Одна из таких техник заключается в создании QR-кодов из текстовых символов ASCII/Unicode вместо стандартных статических изображений. Это затрудняет обнаружение вредоносных ссылок с помощью оптического распознавания символов (OCR).
В областях, где требуются пробелы, использовалась каскадная таблица стилей (CSS), чтобы сделать цвет текста блока полностью прозрачным, сделав его невидимым. Источник.
Еще одна тревожная тенденция — использование универсальных идентификаторов двоичных больших объектов (Blob URI). Эти URI позволяют веб-разработчикам работать с двоичными данными (например, изображениями или видео) непосредственно в браузере, без необходимости отправлять или получать их с внешнего сервера. Это делает обнаружение фишинговых страниц еще сложнее, так как они могут быть полностью автономными и не оставлять следов на сторонних серверах.
Особенно изощренной стала схема под названием Quishing 2.0. Она включает два QR-кода.
- Первый («плохой») ведет на легитимную страницу SharePoint, связанную с взломанной учетной записью. Эта страница затем перенаправляет пользователя на фишинговую страницу.
- Второй («чистый») ведет на онлайн-сервис сканирования QR-кодов (например, me-qr.com), где отображается реклама, а затем пользователь перенаправляется на ту же страницу SharePoint.
Механизм атаки Quishing 2.0: обход фильтров безопасности. Источник.
Такая многослойная схема обходит большинство систем безопасности, так как «чистый» QR-код ведет на легитимный сервис, а фишинговая страница маскируется под доверенный ресурс. Это делает атаки еще более опасными и труднообнаружимыми.
Статистика
Количество случаев фишинга QR-кодов, зарегистрированных в июне 2023 года. Источник.
Команда Egress установила, что 12% всех фишинговых атак с января по август 2024 года включали QR-коды, что на 1 400% больше, чем в 2021 году. К 2025 году глобальные расходы с использованием QR-кодов превысят 5,3 триллиона долларов. Это создает огромное поле для злоумышленников, которые постоянно совершенствуют свои методы.
В 2025 году мировые расходы на платежи с использованием QR-кодов превысят 2,4 триллиона долларов США. Источник.
В 2024 году наблюдался значительный рост фишинговых атак с использованием QR-кодов, увеличившись более чем на 270% в месяц. Эти цифры говорят о том, что QR-коды становятся более привлекательной целью для мошенников, а пользователи чаще становятся их жертвами.
Почему традиционные методы защиты не спасают
Когда речь заходит о защите от атак через QR-коды, многие пользователи полагаются на традиционные антивирусы и системы безопасности. Однако эти методы часто оказываются бессильными перед новыми угрозами. Почему так происходит? Разберемся в основных причинах.
Антивирус не проверяет URL перед сканированием
Одна из главных проблем заключается в том, что традиционные антивирусные программы не проверяют URL-адреса, на которые ведут QR-коды, до их сканирования. Антивирусы обычно работают на основе сигнатур и поведенческого анализа, что позволяет им обнаруживать вредоносные файлы и программы на устройстве. Но когда дело доходит до QR-кодов, они остаются «слепыми» до момента, когда пользователь уже перешел по ссылке.
Специалисты компании Check Point в 2024 году говорят, что 70% пользователей не подозревают о возможных угрозах при сканировании QR-кодов. Это связано с тем, что антивирусы не могут предупредить пользователя о потенциальной угрозе до момента перехода по ссылке. Пользователь может быть перенаправлен на фишинговый сайт или вредоносное приложение прежде, чем антивирус успеет отреагировать.
Эта проблема особенно опасна, потому что злоумышленники используют все более изощренные методы маскировки своих атак. Даже если антивирус обнаружит угрозу, ущерб может быть уже нанесен.
Вредоносные сайты маскируются под легитимные
Современные киберпреступники отлично умеют маскировать свои вредоносные сайты под легитимные ресурсы. Это делает их трудными для обнаружения даже опытными пользователями.
Использование HTTPS
Многие фишинговые сайты теперь используют протокол HTTPS. Это создает ложное чувство безопасности у пользователей. Браузеры показывают зеленый замок рядом с URL-адресом, что заставляет пользователей думать, что сайт безопасен. По данным компании PhishLabs, более 30% фишинговых сайтов в 2024 году использовали HTTPS.
Скрытие реального URL
Злоумышленники часто используют URL-сокращатели (например, bit.ly или tinyurl.com), чтобы скрыть настоящий адрес сайта. Пользователь видит короткий и якобы безопасный URL-адрес, но при переходе может попасть на вредоносный сайт. Исследование Barracuda Networks показало, что 40% всех фишинговых атак в 2024 году использовали сокращенные ссылки.
Имитация известных брендов
Киберпреступники создают сайты, которые имитируют страницы известных брендов или сервисов, таких как банки или популярные интернет-магазины. Они копируют дизайн и контент легитимных сайтов, чтобы обмануть пользователей и заставить их ввести свои личные данные. Например, в ходе атаки на клиентов одного из крупных банков в Европе было создано более 100 поддельных сайтов с идентичным дизайном и функционалом. Такая маскировка делает фишинговые сайты практически неотличимыми от настоящих, особенно для неопытных пользователей.
Пользователи почти не знают об угрозах
Еще одной причиной неэффективности традиционных методов защиты является недостаточная осведомленность пользователей о рисках использования QR-кодов. Большинство обывателей не знают о возможных угрозах при использовании QR-кодов и не понимают важности проверки источников перед сканированием. Исследование Cybersecurity & Infrastructure Security Agency (CISA) показало, что только 25% респондентов осведомлены о рисках использования QR-кодов.
Кроме того, пользователи часто сканируют QR-коды без должной проверки или размышлений о том, куда они могут привести. Это создает благоприятную среду для злоумышленников, которые могут легко манипулировать доверчивыми людьми. Например, многие люди сканируют коды на уличных объявлениях, не задумываясь о том, кто их разместил и какие последствия это может иметь.
Как защититься
Единственный способ точно не стать жертвой мошенников — не использовать QR-коды. Но мы с вами понимаем, что это очень сложно и не всегда удобно. Что ж, пора задуматься о дополнительных мерах цифровой гигиены.
Если код поступает от неизвестного отправителя или размещен в общественном месте без ясного контекста, лучше его проигнорировать. Например, поддельные QR-коды на парковочных автоматах, метро или рекламных плакатах могут выглядеть абсолютно безобидно, но вести на страницы, где ваши данные окажутся под угрозой. Конечно, за любыми объявлениями и рекламой в таких местах обычно следят определенные инстанции. Рекламу, например, помечают специальными стикерами с уникальным номером. Но и это не панацея.
Лучше просто не доверять кодам, которые кажутся подозрительными: например, если они размещены в местах с высокой проходимостью или выглядят наклеенными поверх оригинальных.
Современные смартфоны оснащены инструментами, которые помогают безопасно сканировать QR-коды. Например, Google Lens позволяет просматривать содержимое QR-кода перед тем, как открыть ссылку. Оно распознает код и предоставляет информацию о нем, что помогает избежать перехода на потенциально опасные сайты. Если URL содержит подозрительные символы или домен, Google Lens предупредит вас об этом.
Источник.
На устройствах Apple встроенная функция безопасного просмотра автоматически проверяет URL-адреса на наличие угроз. Если вы используете Safari, система предупредит вас о небезопасных сайтах до того, как вы попадете на них. Это особенно полезно, если вы случайно сканируете поддельный QR-код. Это простой встроенный способ защитить себя от фишинговых сайтов и других угроз.
Источник.
При наведении камеры айфона на QR-код вы увидите ссылку. Это тоже не панацея, особенно если учесть, что многие вообще не смотрят на всплывающую ссылку, а просто нажимают на нее. По крайней мере, сокращенные ссылки должны наводить на определенные сомнения в безопасности перехода по ним.
Источник.
Многие приложения предоставляют предварительный просмотр ссылки после сканирования. Обратите внимание на орфографические ошибки или необычные доменные имена. Например, если адрес выглядит как bank-safety.com вместо официального bank.com, это явный признак мошенничества.
Если вы сомневаетесь в безопасности ссылки, используйте онлайн-сканеры, такие как VirusTotal или URLVoid. Эти сервисы анализируют ссылки на наличие вредоносного контента и сообщают о возможных угрозах. Лучше потратить несколько минут на безопасность, чем потерять данные или деньги.
QR-коды: тест на внимательность
Заканчиваем статью маленьким экспериментом! Посмотрите на эти два QR-кода ниже. Один из них ведет на официальный сайт Selectel, а другой создан для демонстрации потенциальных угроз. Но не спешите их сканировать!
Как вы думаете, чем они отличаются?
Когда мы располагаем два кода рядом, мы видим очевидные визуальные различия. Но по рисунку можно разве что иногда примерно прикинуть длину ссылки. Именно поэтому мошенники так успешно используют QR-коды — они выглядят безобидно, пока не станет слишком поздно. А пока попробуйте сами проверить их с помощью описанных выше методов. Или вы можете испытать удачу и сканировать тот, который нравится больше.
Но помните: в реальной жизни такой подход может привести к серьезным последствиям. Ваша бдительность — лучший щит против киберугроз.
