1. What is quishing in simple terms?

Quishing is a type of phishing attack that uses a QR Code instead of a regular link. When someone scans the QR Code, it can send them to a fake website designed to steal passwords, payment details, or other sensitive information. The term combines the words "QR Code" and "phishing."

2. What is the difference between phishing and quishing?

Traditional phishing uses clickable links in emails, text messages, or websites. Quishing hides the malicious link inside a QR Code. Both attacks have the same goal: tricking people into visiting a fake website. The main difference is that quishing uses a QR Code to hide the destination.

3. Can scanning a QR Code give you a virus?

Scanning a QR Code by itself does not install a virus. A QR Code simply directs your device to a destination, such as a website. The risk comes from what happens after the scan. If the QR Code leads to a malicious website, that site may try to steal your information or convince you to download harmful software.

4. Why is quishing so hard to detect?

Many security tools are designed to inspect links and text. A QR Code is an image, which can make it harder to analyze. Quishing attacks also often move users from a work computer to a personal phone. This can make it more difficult for organizations to monitor and block malicious activity.

5. What are common quishing attack examples?

Common examples include fake QR Code stickers placed over real QR Codes on parking meters, phishing emails that pretend to be Microsoft 365 account alerts, and fraudulent invoices that contain QR Codes leading to fake payment pages. In each case, the attacker uses a QR Code to hide a malicious website behind a seemingly normal request.

6. How can organizations protect themselves from quishing?

Organizations can reduce their risk by using email security tools that inspect QR Codes, enforcing strong MFA, limiting access to sensitive systems, and training employees to recognize QR Code scams. A clear incident response plan is also important so teams know what to do if someone scans a malicious QR Code or enters credentials on a fake website.

7. How can you spot a fake QR Code?

A fake QR Code often redirects users to a suspicious website that imitates a legitimate brand. Before entering any information, check that the website URL matches the brand's official domain. Be cautious if the page contains spelling mistakes, asks for sensitive information, or looks different from the company's usual branding.

Что такое «квишинг» (фишинг с использованием QR-кодов)?

Shanti Nair

Последнее обновление: June 10, 2026

Сканирование QR-кода стало таким же привычным делом, как и переход по ссылке. Люди используют QR-коды для оплаты счетов, доступа к услугам и обмена информацией, и этот процесс обычно занимает всего несколько секунд. Однако однократное сканирование иногда может привести к попаданию на поддельный сайт, созданный с целью кражи данных. Именно в этом и заключается суть атак типа «квишинг».

«Квишинг» — это разновидность фишинга, при которой используются QR-коды, чтобы заманить людей на мошеннические сайты. Такие мошенники часто нацелены на учетные данные, платежную информацию и бизнес-аккаунты.

В этом руководстве рассказывается, как работает квишинг, почему злоумышленники его используют и какие группы подвергаются наибольшему риску. Вы также найдете практические советы по предотвращению распространенных мошенничеств и узнаете, как квишинг вписывается в более широкую дискуссию о безопасности QR-кодов.

Содержание

Что такое квишинг?
Квишинг в цифрах: как быстро растет угроза
Как работает атака квишинга
Почему квишинг обходит традиционные системы безопасности электронной почты
Реальные примеры квишинга
На кого обычно направлены атаки квишинга?
Как защитить свою организацию от квишинга
Контролируйте QR-коды, создаваемые вашей компанией
Часто задаваемые вопросы

Что такое квишинг?

Квишинг — это разновидность фишинговой атаки, при которой вредоносный URL-адрес скрывается в изображении QR-кода, а не в текстовой ссылке, по которой можно перейти. Название представляет собой слово, образованное из «QR-код» и «фишинг», а цель такая же, как и у любой фишинговой атаки: перенаправить вас на поддельный веб-сайт, чтобы злоумышленники могли украсть ваши учетные данные, установить вредоносное ПО или собрать ваши платежные данные.

Отличие квишинга заключается в способе доставки. Вредоносный URL-адрес встроен в QR-код, который считывает камера вашего телефона. Он не находится в тексте электронного письма, где его могут сканировать фильтры безопасности.

По данным Keepnet, в 2023 году количество атак с использованием квишинга увеличилось на 587%, что делает фишинг с использованием QR-кодов одной из самых быстрорастущих фишинговых техник, используемых сегодня.

Квишинг стоит в одном ряду с тремя связанными типами атак из семейства фишинга.

Тип атаки	Основной вектор	Способ доставки	Средство безопасности, которое обычно его обнаруживает	Почему квишинг обходит его
Фишинг	Электронная почта	Активная текстовая ссылка	Фильтры безопасности электронной почты и проверка репутации URL	Не применимо (базовый уровень)
Смишинг	SMS	Текстовое сообщение со ссылкой	Фильтрация сотовых операторов и инструменты обнаружения мобильных угроз	Н/Д
Вишинг	Голосовой звонок	Телефонный звонок с использованием социальной инженерии	Инструменты проверки идентификатора вызывающего абонента и обнаружения голосового мошенничества	Н/Д
Квишинг	Электронная почта, печатные материалы или физические поверхности	Изображение QR-кода, встроенное в электронное письмо, PDF-файл, плакат, счет или вывеску	Многие инструменты безопасности электронной почты сосредоточены на видимых URL-адресах, ссылках и текстовых индикаторах	Вредоносный URL-адрес скрыт внутри изображения QR-кода и часто открывается на отдельном мобильном устройстве, находящемся за пределами зоны действия средств защиты организации

Приведенная выше таблица важна, поскольку квишинг использует уязвимость, для устранения которой многие традиционные средства защиты от фишинга изначально не были разработаны. Вместо того чтобы просить жертв нажать на видимую ссылку, злоумышленники скрывают адрес назначения внутри изображения QR-кода. Во многих случаях сканирование затем происходит на отдельном мобильном устройстве, находящемся за пределами системы безопасности, которая обычно проверяет веб-трафик.

Атаки с использованием квишинга чаще всего происходят через два канала.

Первый — электронная почта, где злоумышленник встраивает QR-код в сообщение, вложение или PDF-файл и побуждает получателя отсканировать его.
Второй — физический мир, где поддельная наклейка с QR-кодом наклеивается поверх подлинной на парковочном счетчике, столике в кафе, киоске в холле или общественной доске объявлений. Оба подхода основаны на одном и том же поведении: сканировании кода без предварительной проверки того, куда он ведет.

«Квишинг» в цифрах: как быстро растет угроза

Рост популярности квишинга — это не будущая угроза. Это уже происходит в широких масштабах. Согласно анализу Keepnet Labs, количество атак квишинга выросло на 587% в 2023 году, что делает фишинг с использованием QR-кодов одной из самых быстрорастущих киберугроз последних лет.

Ряд других статистических данных указывает на ту же тенденцию:

Только в первом квартале 2025 года было обнаружено 4,2 миллиона угроз, связанных с QR-кодами.
89,3% атак с использованием QR-кодов были направлены на кражу учетных данных.
На руководителей высшего звена было совершено в 42 раза больше атак с использованием QR-кодов, чем на рядовых сотрудников.
26% вредоносных ссылок, рассылаемых по электронной почте, были встроены в QR-коды, а не представлены в виде традиционных гиперссылок.
Microsoft сообщает, что в среднем каждую неделю блокирует более 18 миллионов уникальных фишинговых писем, содержащих QR-код в тексте письма, и около 3 миллионов уникальных фишинговых писем с QR-кодом в день.

Данные также показывают, как действуют злоумышленники. Почти 9 из 10 атак с использованием QR-кодов направлены на кражу учетных данных, часто путем перенаправления жертв на поддельные страницы входа, имитирующие надежные бренды и бизнес-инструменты. Согласно отчету Abnormal Security о почтовых угрозах за первое полугодие 2024 года, руководители являются предпочтительной целью, поскольку они имеют доступ к конфиденциальным системам, финансовым разрешениям и данным компании.

По данным компании NordVPN, занимающейся кибербезопасностью, 73% американцев сканируют QR-коды без проверки, и более 26 миллионов человек уже были перенаправлены на вредоносные сайты. Скрывая конечный адрес внутри изображения, злоумышленники могут побудить жертв переключиться с контролируемого рабочего устройства на личный телефон, где меры безопасности могут быть слабее.

Рост популярности квишинга тесно связан с ростом использования QR-кодов. Бесконтактные меню, мобильные платежи, регистрация на мероприятиях и процедуры аутентификации сделали сканирование QR-кодов обычной частью повседневной жизни. Поскольку сканирование стало привычным действием, злоумышленники получили новый способ проведения фишинговых кампаний, не полагаясь на традиционные ссылки.

Как работает атака «квишинга»

Атака «квишинга» проходит в шесть этапов. Критическая брешь в безопасности возникает между третьим и четвертым этапами.

Этап 1: Злоумышленник генерирует вредоносный QR-код

Злоумышленник создает QR-код, который ведет на вредоносный URL. Часто это сайт для сбора учетных данных, страница для загрузки вредоносного ПО или поддельный платежный портал. На этом этапе злоумышленники могут использовать динамические QR-коды. Динамический QR-код хранит адрес назначения на сервере, а не в самом коде. Теперь злоумышленник может менять URL-адрес назначения после распространения, чтобы опережать черные списки URL-адресов.

Шаг 2: Встраивание QR-кода в приманку

Злоумышленник вставляет изображение QR-кода в формате PNG или JPG в фишинговое электронное письмо. В более изощренной версии код встраивается в вложение в формате PDF, например в счет, документ отдела кадров или уведомление о соблюдении нормативных требований. Изображения, встроенные в PDF-файлы, подвергаются еще меньшему контролю со стороны автоматических сканеров.

Шаг 3: письмо проходит через корпоративные фильтры безопасности

Жертва получает электронное письмо на корпоративном ноутбуке или устройстве. Стандартные инструменты безопасности электронной почты сканируют тексты сообщений на наличие известных вредоносных URL-адресов, подозрительных текстовых ссылок и доменов, помеченных как подозрительные. QR-код представляет собой изображение. Вредоносный URL-адрес внутри изображения невидим для фильтров, анализирующих текст. Электронное письмо попадает в папку «Входящие».

Шаг 4: Жертва сканирует код с помощью личного мобильного телефона

В электронном письме получателю предлагается отсканировать код с помощью телефона. Приманка может заключаться в том, что ссылка более удобна для просмотра на мобильном устройстве, или имитировать сброс многофакторной аутентификации (MFA), для которого требуется телефон. Жертва берет свое личное устройство и сканирует код.

Шаг 5: Мобильный браузер открывает фишинговую страницу

Личный мобильный телефон находится за пределами корпоративного периметра безопасности. На большинстве личных устройств отсутствует программное обеспечение для управления мобильными устройствами (MDM). Корпоративная виртуальная частная сеть (VPN) не активна. Браузер переходит по декодированному URL-адресу и отображает страницу злоумышленника.

Шаг 6: Сбор учетных данных или установка вредоносного ПО

Жертва вводит учетные данные на поддельной странице входа, совершает поддельный платеж или загружает приложение, которое кажется необходимым. Злоумышленник перехватывает данные.

Переключение устройства, то есть переход с корпоративного устройства на личный мобильный телефон между шагами 3 и 4, является структурной причиной того, что квишинг работает там, где стандартный фишинг терпит неудачу. Атака использует два отдельных периметра безопасности, и ни один из них не улавливает полную цепочку.

📝Примечание: угроза квишинга — это отдельная проблема, не связанная с тем, как легитимные компании используют QR-коды.

Компания, создающая QR-коды для меню, мероприятий или документов, нуждается в собственной системе безопасности. Эта система должна включать проверенные домены, аналитику сканирования и контролируемые URL-адреса назначения.

В результате безопасность QR-кодов для компаний выходит за рамки предотвращения мошенничества и включает в себя решения о выборе платформы, управлении кодами и политиках развертывания.

Почему квишинг обходит традиционную систему безопасности электронной почты

Большинство фишинговых писем содержат кликабельную ссылку. Инструменты безопасности могут проверить эту ссылку, проверить ее репутацию и заблокировать, если она выглядит подозрительно. Квишинг работает по-другому. Вместо того, чтобы размещать ссылку в электронном письме, злоумышленники скрывают ее внутри QR-кода.

Вот три причины, по которым квишинг может быть сложнее обнаружить, чем традиционный фишинг.

1. Вредоносный URL-адрес скрыт внутри изображения

Инструменты безопасности электронной почты предназначены для сканирования текста, ссылок и доменов. QR-код представляет собой изображение, поэтому URL-адрес назначения может не отображаться нигде в видимом тексте письма.

Поставщики решений для обеспечения безопасности теперь используют анализ изображений для обнаружения этих угроз. Например, Microsoft сообщает о блокировке примерно 1,5 миллиона атак на основе QR-кодов в день. Но не все инструменты безопасности электронной почты обладают одинаковым уровнем обнаружения QR-кодов.

2. Сканирование часто происходит на другом устройстве

Многие люди сканируют QR-коды с помощью своих телефонов, даже если электронное письмо приходит на рабочий компьютер.

Когда сотрудник нажимает на ссылку на ноутбуке компании, инструменты безопасности часто могут проверять и отслеживать эту активность. Но когда тот же человек сканирует QR-код с личного телефона, посещение может происходить вне обычных средств контроля безопасности организации. Это дает злоумышленникам еще один путь для достижения своей цели.

3. Злоумышленники могут изменить место, куда ведет QR-код

В некоторых фишинговых кампаниях используются динамические QR-коды. Динамический QR-код указывает на адрес, который может быть обновлен позже. Это позволяет злоумышленникам изменить конечный URL-адрес после того, как QR-код уже был доставлен. В некоторых случаях они могут сначала использовать безобидный адрес, а позже переключиться на вредоносный, что затрудняет обнаружение.

Результат прост: фишинговое письмо, содержащее видимую вредоносную ссылку, часто легче проанализировать средствам безопасности. QR-код скрывает этот адрес за изображением и добавляет дополнительные шаги между жертвой и вредоносным сайтом.

Реальные примеры квишинга

Атаки с использованием QR-кодов могут возникать везде, где люди используют QR-коды. Некоторые из них приходят по электронной почте, а другие появляются на вывесках, плакатах и платежных терминалах в общественных местах. Приведенные ниже примеры показывают, как злоумышленники используют QR-коды, чтобы скрыть вредоносные веб-сайты за простым сканированием.

Мошенничество с парковочными счетчиками в Остине (2022 г.)

В 2022 году мошенники разместили поддельные наклейки с QR-кодами на 29 парковочных счетчиках по всему Остину, штат Техас. Водители сканировали коды, чтобы оплатить парковку, но QR-коды приводили их на мошеннический платежный сайт. Любой, кто вводил свои платежные данные, рисковал передать эту информацию непосредственно мошенникам.

Атака сработала, потому что поддельные наклейки выглядели как настоящие. У большинства водителей не было причин подозревать, что оригинальные QR-коды были заменены.

Мошенничество с подтверждением учетной записи Microsoft 365

Многие фишинговые письма выдают себя за Microsoft 365. В сообщении может утверждаться, что срок действия вашего пароля истекает, ваша учетная запись требует подтверждения или необходимо обновить настройки MFA.

Вместо ссылки в письме вас просят отсканировать QR-код. QR-код открывает поддельную страницу входа в Microsoft, предназначенную для кражи имен пользователей и паролей. В некоторых кампаниях также предпринимаются попытки перехватить информацию о сеансе, которая помогает злоумышленникам получить доступ к учетным записям.

Поскольку вредоносный URL-адрес скрыт внутри QR-кода, на первый взгляд такое письмо может показаться более безопасным, чем традиционное фишинговое сообщение.

Мошенничество с счетами и платежами

Еще одной распространенной мишенью являются компании. В ходе таких атак мошенники рассылают электронные письма, которые выглядят как счета, запросы на оплату или выписки со счетов от надежных поставщиков.

Электронное письмо содержит поддельный QR-код, который якобы ведет к платежным реквизитам или подтверждающим документам. После сканирования QR-кода жертва попадает на поддельный веб-сайт, где ей предлагается ввести платежную информацию, банковские реквизиты или учетные данные. Цель — похитить деньги, конфиденциальную информацию или получить доступ к бизнес-системам.

Общей темой всех этих атак является доверие. Люди ожидают, что парковочные счетчики, страницы входа в Microsoft и счета-фактуры поставщиков будут подлинными. Злоумышленники используют это доверие, скрывая вредоносные веб-сайты за QR-кодами. Атаки с использованием физических накладок особенно эффективны, поскольку поддельная наклейка с QR-кодом может слиться с вполне законным знаком, меню, киоском или платежным терминалом.

Задача пользователей — определить, безопасен ли QR-код, прежде чем его сканировать. Чтобы понять эту разницу, нужно сначала узнать, безопасны ли QR-коды и какие меры можно принять для проверки адреса, прежде чем открывать его.

На кого обычно направлены атаки «квишинга»?

Злоумышленники не нацелены на всех одинаково. Они сосредоточены на отраслях, связанных с деньгами, конфиденциальной информацией или большим количеством документов. Они также нацелены на сотрудников, чья работа связана с утверждением платежей, управлением счетами или рассмотрением запросов.

Отрасли, на которые нацелены атаки «квишинга»

Отрасль	Распространенные приманки в виде QR-кодов
Энергетика	Счета поставщиков, документы по соблюдению нормативных требований, запросы поставщиков
Финансовые услуги	Подтверждение учетной записи, утверждение платежей, защита документов
Производство	Транспортные документы, счета-фактуры поставщиков, заявки на закупку
Страхование	Страховые полисы, логины для клиентского портала, верификация учетных записей
Технологии	Сброс MFA, обмен документами, загрузка программного обеспечения

Эти отрасли объединяет одно: многие сотрудники регулярно работают со счетами, формами, утверждениями и уведомлениями по счетам. Злоумышленники используют эти повседневные рабочие процессы, создавая вредоносные QR-коды, которые выглядят как обычные деловые сообщения.

Роли, которые чаще всего становятся мишенью атак с использованием поддельных QR-кодов

Хотя некоторые отрасли подвержены более высоким рискам, злоумышленники часто нацеливаются на конкретных сотрудников, имеющих доступ к денежным средствам, конфиденциальным данным или важным бизнес-системам.

Руководители

Руководители входят в число групп, на которые чаще всего нацелены атаки. По данным Abnormal Security, руководители высшего звена подвергаются квишинговым атакам в 42 раза чаще, чем другие сотрудники. Злоумышленники часто используют срочные запросы, документы на утверждение или уведомления о проверке учетной записи, поскольку руководители имеют доступ к конфиденциальной информации и финансовым системам.

Финансовые отделы

Сотрудники финансовых отделов часто становятся мишенью мошенничества с счетами и платежами. Их работа требует проверки счетов, утверждения платежей и взаимодействия с поставщиками. Злоумышленники знают об этом и часто маскируют вредоносные QR-коды под запросы на оплату или финансовые документы.

ИТ-отделы

Сотрудники ИТ-отделов регулярно занимаются сбросом паролей, обновлением MFA и предупреждениями о безопасности. В фишинговых письмах часто копируются эти сообщения и используются QR-коды, чтобы перенаправить жертв на поддельные страницы входа в систему.

Отделы кадров

Сотрудники отдела кадров работают с резюме, формами для приема на работу, документами о льготах и записями о сотрудниках. Злоумышленники могут маскировать фишинговые письма под документы о найме или запросы сотрудников, чтобы получить доступ к системам компании.

Работники на передовой и в поле

Сотрудники складов, заводов, розничных магазинов и других физических объектов сталкиваются с другим риском. Злоумышленники могут размещать поддельные наклейки с QR-кодами на оборудовании, киосках, вывесках или платежных терминалах, которыми работники пользуются каждый день.

Общим для всех этих целей является доверие. Злоумышленники ищут ситуации, в которых сканирование QR-кода кажется нормальным. Чем более привычен рабочий процесс, тем больше вероятность, что человек сначала отсканирует код, а потом уже задаст вопросы.

Как защитить свою организацию от квишинга

«Квишинг» работает, потому что злоумышленники скрывают вредоносные ссылки внутри QR-кодов и убеждают людей сканировать их. Чтобы снизить риск, организациям нужны средства защиты, охватывающие как безопасность электронной почты, так и безопасность QR-кодов. В этом могут помочь шесть мер, приведенных ниже.

1. Используйте инструменты безопасности электронной почты, способные проверять QR-коды

Традиционные фильтры электронной почты предназначены для сканирования ссылок и текста. Атаки квишинга скрывают место назначения внутри изображения QR-кода.

Современные инструменты безопасности электронной почты могут декодировать QR-коды в письмах и вложениях, а затем проверять, безопасен ли адрес назначения. Без этой возможности вредоносные QR-коды могут незаметно проходить через системы безопасности.

Стандарты аутентификации электронной почты, такие как DMARC, SPF и DKIM, по-прежнему важны, но они проверяют только отправителя. Они не проверяют сам QR-код.

2. Усиление защиты учетных записей с помощью MFA, устойчивой к фишингу

Многие атаки «квишинга» направлены на кражу имен пользователей и паролей. Надежная многофакторная аутентификация (MFA) снижает риск того, что украденный пароль приведет к взлому учетной записи.

По возможности используйте методы защиты от фишинга, такие как ключи безопасности или пароли-ключи. Эти методы значительно затрудняют злоумышленникам доступ к учетным записям, даже если сотрудник введет свой пароль на поддельном веб-сайте.

3. Ограничьте доступ скомпрометированных учетных записей

Ни одна система безопасности не является идеальной. Организации должны исходить из того, что некоторые атаки в конечном итоге увенчаются успехом.

Ограничение доступа в зависимости от должностных обязанностей помогает уменьшить ущерб. Если злоумышленники получат доступ к одной учетной записи, они не должны иметь возможность свободно перемещаться по системам, данным и приложениям.

4. Обучайте сотрудников распознаванию мошенничества с QR-кодами

Большинство программ по повышению осведомленности о безопасности сосредоточены на подозрительных ссылках. Сотрудники также должны узнать, как работает квишинг.

Обучение должно охватывать распространенные предупреждающие признаки, такие как неожиданные QR-коды в электронных письмах, срочные запросы на подтверждение учетной записи и наклейки с QR-кодами, размещенные поверх существующих вывесок или платежных терминалов.

5. Включите квишинг в программы по безопасности и соблюдению нормативных требований

Федеральные агентства, включая Федеральную торговую комиссию (FTC), Федеральное бюро расследований (FBI) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA), выступили с предупреждениями о фишинге с использованием QR-кодов.

Организации должны пересмотреть свои существующие политики безопасности и убедиться, что квишинг включен в обучение сотрудников, оценку рисков и процедуры реагирования на инциденты. Это особенно важно для регулируемых отраслей, которые уже следуют рамкам кибербезопасности и соблюдения нормативных требований.

6. Создайте план реагирования на инциденты с мобильными устройствами

Многие атаки с использованием квишинга перенаправляют пользователей с рабочего устройства на личный телефон.

Организации должны иметь четкий процесс расследования сообщений о сканировании вредоносных QR-кодов, выявления уязвимых учетных записей, сброса учетных данных и мониторинга подозрительной активности.

Квишинг отличается от традиционного фишинга тем, что скрывает вредоносные ссылки внутри QR-кодов и часто перенаправляет пользователей с рабочего устройства на личный телефон. Эти тактики могут затруднить обнаружение атак и снизить эффективность средств безопасности, предназначенных для проверки текстовых ссылок и содержимого электронной почты.

Поскольку использование QR-кодов продолжает расти, организациям необходимо рассматривать квишинг как отдельный риск для безопасности. Компании, которые сочетают защиту электронной почты с учетом QR-кодов, надежную многофакторную аутентификацию (MFA), обучение сотрудников и четкие процедуры реагирования, лучше подготовлены к предотвращению атак и ограничению ущерба в случае их успеха.

Контролируйте QR-коды, создаваемые вашей компанией

Не все QR-коды представляют угрозу. Компании ежедневно используют QR-коды для платежей, документов, обслуживания клиентов и рабочих процессов. Задача состоит в том, чтобы пользователи могли быть уверены в том, куда ведут эти QR-коды.

The QR Code Generator (TQRCG) помогает компаниям создавать QR-коды, которые можно отслеживать, редактировать и которые связаны с проверенными адресами. Это дает организациям больше информации о том, как используются их QR-коды и куда они направляют пользователей.

TQRCG также поддерживает требования безопасности « enterprise » благодаря сертификатам SOC 2 Type 2 и ISO 27001, а также соответствует требованиям GDPR. В сочетании с такими функциями, как отслеживание сканирования и управление URL-адресами назначения, эти средства контроля помогают компаниям обеспечить более высокий уровень безопасности QR-кодов и снизить риск злоупотребления.

Часто задаваемые вопросы

1. Что такое «квишинг» простыми словами?

Квишинг — это тип фишинговой атаки, в которой вместо обычной ссылки используется QR-код. Когда кто-то сканирует QR-код, он может перенаправить пользователя на поддельный веб-сайт, предназначенный для кражи паролей, платежных данных или другой конфиденциальной информации. Термин представляет собой сочетание слов «QR-код» и «фишинг».

2. В чем разница между фишингом и квишингом?

Традиционный фишинг использует кликабельные ссылки в электронных письмах, текстовых сообщениях или на веб-сайтах. Квишинг скрывает вредоносную ссылку внутри QR-кода. Обе атаки преследуют одну и ту же цель: обманом заставить людей посетить поддельный веб-сайт. Основное отличие заключается в том, что квишинг использует QR-код для сокрытия конечного адреса.

3. Может ли сканирование QR-кода привести к заражению вирусом?

Само по себе сканирование QR-кода не приводит к установке вируса. QR-код просто направляет ваше устройство к месту назначения, например, на веб-сайт. Риск заключается в том, что происходит после сканирования. Если QR-код ведет на вредоносный веб-сайт, этот сайт может попытаться украсть вашу информацию или убедить вас загрузить вредоносное программное обеспечение.

4. Почему квишинг так сложно обнаружить?

Многие средства безопасности предназначены для проверки ссылок и текста. QR-код представляет собой изображение, что затрудняет его анализ. Атаки с использованием квишинга также часто перенаправляют пользователей с рабочего компьютера на личный телефон. Это может затруднить организациям мониторинг и блокировку вредоносной деятельности.

5. Каковы типичные примеры атак «квишинга»?

Распространенные примеры включают поддельные наклейки с QR-кодами, наклеенные поверх настоящих QR-кодов на парковочных счетчиках, фишинговые электронные письма, маскирующиеся под уведомления об учетной записи Microsoft 365, и поддельные счета-фактуры, содержащие QR-коды, ведущие на поддельные страницы оплаты. В каждом случае злоумышленник использует QR-код, чтобы скрыть вредоносный веб-сайт за внешне обычным запросом.

6. Как организации могут защитить себя от квишинга?

Организации могут снизить риск, используя инструменты безопасности электронной почты, которые проверяют QR-коды, внедряя надежную многофакторную аутентификацию (MFA), ограничивая доступ к конфиденциальным системам и обучая сотрудников распознавать мошенничество с использованием QR-кодов. Также важен четкий план реагирования на инциденты, чтобы команды знали, что делать, если кто-то отсканирует вредоносный QR-код или введет учетные данные на поддельном веб-сайте.

7. Как распознать поддельный QR-код?

Поддельный QR-код часто перенаправляет пользователей на подозрительный веб-сайт, имитирующий сайт легитимного бренда. Перед вводом какой-либо информации проверьте, соответствует ли URL-адрес веб-сайта официальному домену бренда. Будьте осторожны, если на странице есть орфографические ошибки, запрашивается конфиденциальная информация или она выглядит иначе, чем обычный брендинг компании.