QR-фишинг (Quishing): новый вектор атак через QR-коды

Мы просто и по делу рассказываем про ИИ-инструменты для работы: сравнения, пошаговые гайды, бесплатные альтернативы и реальные сценарии применения. Помогаем выбрать между ChatGPT, Gemini, Claude, локальными моделями и десятками узкоспециализированных сервисов — от дизайна и HR до аналитики и SEO. Меньше хайпа, больше практики и экономии времени каждый день.

qr-фишингquishingбезопасность

QR-коды давно стали привычным инструментом: оплата, вход в сервисы, меню в кафе, регистрация на мероприятиях. Но вместе с удобством появился и новый вектор атак — quishing, то есть фишинг через QR-коды.

Что такое quishing

Это схема, в которой жертву не просят кликнуть по подозрительной ссылке напрямую. Вместо этого ей предлагают отсканировать QR-код, ведущий на фейковый сайт, форму авторизации или страницу загрузки вредоносного ПО.

Такой подход работает особенно эффективно, потому что:

  • QR-код скрывает URL до момента сканирования
  • пользователь чаще открывает ссылку на смартфоне, где сложнее заметить подмену домена
  • люди привыкли доверять QR-кодам в офлайне и корпоративной среде

Как работает атака

Чаще всего сценарий выглядит так:

  • злоумышленник отправляет письмо с QR-кодом для “подтверждения аккаунта”, “сброса пароля”, “доступа к документу”
  • или размещает код на бумажных объявлениях, в подъездах, офисах, на парковках, поверх оригинальных наклеек
  • после сканирования пользователь попадает на поддельную страницу Microsoft 365, Google, банка или корпоративного VPN
  • введённые логин, пароль и MFA-код уходят атакующим 🎯

Иногда QR-код ведёт не на сайт, а на:

  • скачивание APK/профиля конфигурации
  • подключение к вредоносной Wi‑Fi сети
  • запуск мессенджера с готовой командой или сообщением

Почему это опасно для бизнеса

Quishing обходит часть классических защит:

  • почтовый фильтр может не распознать угрозу внутри изображения
  • сотрудники используют личные смартфоны вне периметра защиты компании
  • мобильные браузеры показывают адресную строку менее заметно
  • атака часто выглядит как штатный бизнес-процесс

Итог — компрометация учётных записей, кража токенов сессии, доступ к облачной почте, CRM, внутренним порталам и платёжным системам.

Как распознать QR-фишинг

Тревожные признаки:

  • QR-код пришёл в письме с темой “срочно”, “истекает доступ”, “необходима повторная авторизация”
  • после сканирования открывается домен с ошибками, лишними символами, нестандартной зоной
  • страница просит ввести корпоративные учётные данные вне обычного SSO-сценария
  • QR-код наклеен поверх другого или размещён в неожиданном месте ⚠️

Как защититься

  • Проверяйте URL после сканирования, прежде чем открывать страницу
  • Не вводите логины и пароли на сайтах, открытых из случайных QR-кодов
  • Используйте MFA с привязкой к приложению или аппаратному ключу, а не только SMS
  • Внедряйте MDM/UEM для контроля мобильных устройств
  • Обучайте сотрудников: QR-код — это та же ссылка, только в графической форме
  • Ограничивайте BYOD-доступ к критичным системам
  • Добавляйте в почтовую защиту анализ изображений и QR-кодов 🛡️

Главное правило

QR-код не делает ссылку безопасной. Он лишь меняет способ доставки. В 2025 году quishing — уже не экзотика, а полноценный инструмент социальной инженерии, который успешно атакует и обычных пользователей, и корпоративную инфраструктуру.

👀 Ниже по ленте — мягкая рекомендация заглянуть в подборку каналов про IT: там новости, безопасность, инфраструктура и практические кейсы.

🗣 Подборки каналов
🧠 Каталог ботов и приложений
🗺 Навигация

Читайте так же