QR-коды давно стали привычным инструментом: оплата, вход в сервисы, меню в кафе, регистрация на мероприятиях. Но вместе с удобством появился и новый вектор атак — quishing, то есть фишинг через QR-коды.
Что такое quishing
Это схема, в которой жертву не просят кликнуть по подозрительной ссылке напрямую. Вместо этого ей предлагают отсканировать QR-код, ведущий на фейковый сайт, форму авторизации или страницу загрузки вредоносного ПО.
Такой подход работает особенно эффективно, потому что:
- QR-код скрывает URL до момента сканирования
- пользователь чаще открывает ссылку на смартфоне, где сложнее заметить подмену домена
- люди привыкли доверять QR-кодам в офлайне и корпоративной среде
Как работает атака
Чаще всего сценарий выглядит так:
- злоумышленник отправляет письмо с QR-кодом для “подтверждения аккаунта”, “сброса пароля”, “доступа к документу”
- или размещает код на бумажных объявлениях, в подъездах, офисах, на парковках, поверх оригинальных наклеек
- после сканирования пользователь попадает на поддельную страницу Microsoft 365, Google, банка или корпоративного VPN
- введённые логин, пароль и MFA-код уходят атакующим 🎯
Иногда QR-код ведёт не на сайт, а на:
- скачивание APK/профиля конфигурации
- подключение к вредоносной Wi‑Fi сети
- запуск мессенджера с готовой командой или сообщением
Почему это опасно для бизнеса
Quishing обходит часть классических защит:
- почтовый фильтр может не распознать угрозу внутри изображения
- сотрудники используют личные смартфоны вне периметра защиты компании
- мобильные браузеры показывают адресную строку менее заметно
- атака часто выглядит как штатный бизнес-процесс
Итог — компрометация учётных записей, кража токенов сессии, доступ к облачной почте, CRM, внутренним порталам и платёжным системам.
Как распознать QR-фишинг
Тревожные признаки:
- QR-код пришёл в письме с темой “срочно”, “истекает доступ”, “необходима повторная авторизация”
- после сканирования открывается домен с ошибками, лишними символами, нестандартной зоной
- страница просит ввести корпоративные учётные данные вне обычного SSO-сценария
- QR-код наклеен поверх другого или размещён в неожиданном месте ⚠️
Как защититься
- Проверяйте URL после сканирования, прежде чем открывать страницу
- Не вводите логины и пароли на сайтах, открытых из случайных QR-кодов
- Используйте MFA с привязкой к приложению или аппаратному ключу, а не только SMS
- Внедряйте MDM/UEM для контроля мобильных устройств
- Обучайте сотрудников: QR-код — это та же ссылка, только в графической форме
- Ограничивайте BYOD-доступ к критичным системам
- Добавляйте в почтовую защиту анализ изображений и QR-кодов 🛡️
Главное правило
QR-код не делает ссылку безопасной. Он лишь меняет способ доставки. В 2025 году quishing — уже не экзотика, а полноценный инструмент социальной инженерии, который успешно атакует и обычных пользователей, и корпоративную инфраструктуру.
👀 Ниже по ленте — мягкая рекомендация заглянуть в подборку каналов про IT: там новости, безопасность, инфраструктура и практические кейсы.