Як працюють атаки через QR-коди (і як захиститися)

Q: Як визначити, чи безпечний QR-код?

Використовуйте вбудовану камеру телефону (не сторонні додатки), перевіряйте URL перед відкриттям, шукайте ознаки підробки на фізичних QR-кодах і ніколи не скануйте коди з ненадійних джерел.

Кібербезпека14 бер 2026·7 хв читання

QR-коди стали повсюдними — ресторанні меню, паркомати, упаковка товарів, квитки на події. Їхня зручність змусила нас довіряти їм беззастережно. Але саме цю довіру використовують кіберзлочинці у зростаючій хвилі атак під назвою квішинг (QR-фішинг).

Що таке квішинг?

Квішинг поєднує «QR» та «фішинг». Замість підозрілого посилання в електронному листі зловмисники розміщують шкідливі QR-коди у фізичному світі або в цифрових документах. При скануванні ці коди перенаправляють вас на переконливі фейкові сайти, створені для крадіжки облікових даних, фінансової інформації або встановлення шкідливого ПЗ.

ФБР повідомило про зростання на 300% випадків шахрайства з QR-кодами між 2023 та 2025 роками, із збитками понад $150 мільйонів лише у США.

5 реальних методів атак через QR-коди

1. Наклейки на паркоматах

Злочинці наклеюють фальшиві QR-коди поверх справжніх кодів оплати на паркоматах. Жертви сканують код, думаючи, що оплачують парковку, але насправді вводять дані кредитної картки на фішинговому сайті.

2. Підміна ресторанних меню

Під час пандемії QR-меню стали стандартом. Зловмисники використовують це, наклеюючи прозорі стікери з шкідливими QR-кодами на ресторанні підставки.

3. Фальшиві повідомлення про доставку

Ви отримуєте картку у поштовій скриньці: «Ми намагалися доставити вашу посилку. Скануйте для перепланування.» QR-код веде на фішингову сторінку.

4. QR-коди в бізнес-листах

Зловмисники вставляють QR-коди в електронні листи, тому що QR-коди обходять більшість фільтрів безпеки електронної пошти.

5. QR-коди для публічного Wi-Fi

Фальшиві QR-коди «Безкоштовний Wi-Fi» в аеропортах, кафе або готелях можуть перенаправити вас на портал, який встановлює профіль конфігурації на ваш телефон.

🧪 Тест безпеки QR-кодів

1. Ви знаходите QR-код на паркоматі. Що потрібно зробити першим?

Сканувати та одразу оплатитиПеревірити, чи це наклейка поверх оригінального кодуСфотографувати і сканувати пізніше

2. QR-код в листі від "ІТ-підтримки" просить підтвердити акаунт. Який найбезпечніший варіант?

Сканувати QR-код телефономПереслати колегам для перевіркиПерейти на сайт компанії напряму без сканування

3. Після сканування QR-коду телефон показує URL. Яке посилання підозріле?

https://paypal.com/paymenthttps://paypa1-secure.com/verifyhttps://parking.cityname.gov/pay

Як захиститися

Перевіряйте URL перед натисканням: Завжди дивіться на URL, який телефон показує після сканування.
Шукайте ознаки підробки: На фізичних кодах шукайте наклейки поверх оригіналу.
Використовуйте вбудовану камеру: Рідна камера телефону безпечніша за сторонні QR-сканери.
Ніколи не вводьте облікові дані: Якщо QR-код веде на сторінку входу, закрийте її та перейдіть на сайт напряму.
Уникайте QR Wi-Fi кодів: Просіть пароль Wi-Fi у персоналу напряму.

FAQ

Що таке квішинг?

Квішинг — це фішинг через QR-коди. Зловмисники замінюють легітимні QR-коди на шкідливі, які перенаправляють жертв на фейкові сторінки входу або завантажують шкідливе ПЗ.

Чи може сканування QR-коду встановити вірус?

На більшості сучасних телефонів сканування QR-коду спочатку показує попередній перегляд URL. Але якщо ви натиснете на посилання, воно може призвести до шкідливої сторінки.

Як визначити, чи безпечний QR-код?

Використовуйте вбудовану камеру телефону, перевіряйте URL перед відкриттям, шукайте ознаки підробки і ніколи не скануйте коди з ненадійних джерел.

Пов'язані інструменти

Генератор паролів — створіть надійні паролі для акаунтів
Анатомія фішингової атаки