QR-код должен был упростить жизнь. И он ее упростил. Настолько, что люди перестали думать вообще. Навел камеру, ткнул пальцем, оплатил, пошел дальше. Именно в этот момент мошенники аплодируют стоя. Сегодня QR-коды используют не только в кафе и ресторанах. Они давно вышли за пределы меню и чаевых и спокойно живут в квитанциях ЖКХ, объявлениях, доставках, частных услугах, парковках и даже в переписках. Проблема не в технологии. Проблема в том, что QR воспринимают как что-то безопасное по умолчанию. А это просто ссылка. Только замаскированная. Я разберу, как это работает сейчас, где люди чаще всего попадаются, почему даже умные и осторожные ведутся, и что будет дальше. Без запугивания, но и без иллюзий.
История развития QR-кодов: от удобства к инструменту мошенничества
Источник для изображения: gettyimages.com
QR-код начинался как нейтральная технология, стал символом удобства, а сегодня превратился в один из самых незаметных инструментов обмана. Безопасность теперь зависит не от кода, а от внимательности человека.
1994 год QR-код разрабатывается японской компанией Denso Wave для маркировки деталей в промышленности. Цель одна: быстро и точно считывать информацию без ошибок.
2000–2008 годы QR-коды выходят за пределы заводов. Их начинают использовать в логистике, на упаковке товаров и в рекламе. Технология нишевая, массового пользователя еще нет.
2010–2014 годы С распространением смартфонов QR-коды становятся частью маркетинга: визитки, сайты, билеты, промо-акции. Пользователь сканирует из любопытства, а не для денег.
2015–2018 годы QR-коды начинают применять в платежах и сервисах: электронные билеты, посадочные талоны, первые попытки оплаты через QR. Доверие растет, контроль еще сохраняется.
2019–2020 годы Пандемия резко ускоряет распространение QR-кодов. Меню в кафе, пропуска, регистрации, бесконтактные сценарии. QR становится “нормой”, а не исключением.
2021–2022 годы QR-коды массово входят в платежи: чаевые, переводы, мелкие услуги. Пользователь перестает воспринимать QR как ссылку и начинает воспринимать как кнопку “оплатить”.
2023–2024 годы Фиксируется рост поддельных QR-кодов: наклейки поверх оригиналов, фальшивые квитанции ЖКХ, подмены в доставке и объявлениях. Появляется термин “QR-фишинг”.
2025 год QR-коды используются в мошенничестве системно. Они применяются для кражи денег, данных карт и доступа к банковским операциям. Основной упор делается на спешку и доверие.
2026–2027 годы (прогноз) QR-коды остаются удобным инструментом, но становятся полем постоянного риска. Усиливается контроль со стороны банков, но мошенники смещаются в офлайн и серые сценарии: курьеры, объявления, частные услуги.
Как выглядит QR-мошенничество в реальной жизни
Источник для изображения: gettyimages.com
Представим обычный день. Вы заходите в кафе. На столе QR-код. Сканируете, открывается страница оплаты чаевых. Интерфейс аккуратный, логотип знакомый, сумма стоит “по умолчанию”. Вы не проверяете, потому что зачем. Через минуту деньги ушли. Не официанту. И не сервису чаевых.
Подобные случаи регулярно описываются в отчетах аналитиков Kaspersky, где отдельно отмечается рост фишинга через визуально легитимные интерфейсы, а не через агрессивные письма.
Или другой сценарий. В почтовом ящике квитанция. Вроде бы за коммуналку. QR-код, сумма, все как обычно. Только деньги улетают на счет физлица. Вы это замечаете не сразу. Иногда не замечаете вообще. О поддельных платежных документах с QR-кодами официально предупреждал Банк России, подчеркивая, что оплата по QR вне банковского приложения резко повышает риск мошенничества.
Еще пример, который сейчас очень любят. Курьер. Стоит у двери, спешит, люди за спиной. “Подтвердите получение, пожалуйста, вот QR”. Человек сканирует, попадает на страницу, где “для подтверждения” нужно ввести данные карты. И все. Мозг в этот момент занят неловкостью, спешкой и желанием быстрее закрыть ситуацию.
Во всех этих случаях ключевое одно: QR-код появляется в момент, когда человек не ожидает подвоха и не планирует проверять.
Почему QR-код работает лучше обычной ссылки
Источник для изображения: gettyimages.com
Если коротко, потому что люди ленивы. Но это не оскорбление, это наблюдение. QR-код выглядит физически безопасным. Он на бумаге, на наклейке, на стене. Не в письме от неизвестного отправителя. Не в странном SMS. Он “в реальном мире”, а значит вроде бы надежный. Есть еще несколько причин, почему схема живет и размножается. Их подробно анализируют специалисты Group-IB в своих ежегодных отчетах о киберпреступности:
люди не читают адрес сайта на телефоне
дизайн фишинговых страниц стал аккуратным и неброским
QR часто появляется в ситуациях давления: очередь, курьер, дедлайн
оплата по QR стала привычным действием, без внутреннего стоп-сигнала
Именно привычка и стала главной дырой в безопасности.
Где поддельные QR встречаются чаще всего сейчас
Источник для изображения: gettyimages.com
Здесь логично немного структурироваться, потому что сценариев много, а путаница только на руку мошенникам.
Кафе, бары, чаевые, меню Самый массовый и самый “безобидный” вход в схему. Люди готовы платить, суммы небольшие, контроль минимальный. Подмена QR или подставной сервис чаевых дает стабильный поток денег.
ЖКХ, квитанции, перерасчеты Один из самых опасных сценариев. Потому что суммы выше, а люди привыкли платить регулярно. О таких случаях регулярно сообщают региональные подразделения МВД России.
Курьерские службы и доставка “Подтвердите получение”, “оформите возврат”, “доплатите за доставку”. QR появляется в момент контакта с реальным человеком. Это сильно снижает критичность мышления.
Частные услуги и объявления Ремонт, аренда, предоплата, доставка с рук. Присылают QR “для удобства”. Иногда это даже не фишинг, а прямой перевод мошеннику, который потом исчезает.
Городская среда Парковки, афиши, автоматы, подъезды. QR наклеен поверх настоящего или просто размещен рядом с объявлением. О подмене городских QR-кодов предупреждал Роскомнадзор в рамках разъяснений по цифровой безопасности.
Как выглядит схема технически
Источник для изображения: gettyimages.com
Обычно все укладывается в три шага:
1)Создается QR, ведущий на фишинговую страницу или подставную оплату
2) QR размещают там, где человек не ждет подвоха
3) Человек сам совершает нужное мошеннику действие
Важно понимать одну вещь. В большинстве случаев никто ничего не “взламывает”. Человек все делает добровольно. Именно поэтому потом так сложно вернуть деньги. Этот момент подробно разбирается и в аналитических материалах GetScam о добровольном вовлечении жертв.
Сценарий
Что хотят украсть
Красный флаг
Как правильно
“Меню/чаевые” в кафе
данные карты / лишняя сумма / подписка
сумма “по умолчанию” выше ожидаемой, странный сайт
чаевые только через проверенный сервис/приложение, перед оплатой сверяйте сумму Москва 24
“Квитанция ЖКХ” с QR
перевод на физлицо / фишинг
письмо “вдруг”, задолженность “срочно”, нет нормальных реквизитов
платить только через приложение банка/Госуслуги/личный кабинет УК, а не по QR с бумаги Коммерсантъ
“Курьер: подтвердите QR”
карта/аккаунт/списание
требуют ввод карты “для подтверждения”
подтверждение доставки не требует данных карты, максимум подпись/код в приложении
QR из мессенджера
все сразу
“оплатите перевод/штраф/билет” от незнакомца
не сканировать, искать услугу вручную в официальном приложении
“Сгенерируйте QR в банке”
снятие наличных/перевод
вас уговаривают “просто создать код”
никогда не отдавать QR из банка, это как отдать ключи от кошелька Роскачество
Что говорит закон
Источник для изображения: gettyimages.com
С точки зрения закона такие схемы чаще всего квалифицируются как мошенничество. Не важно, был ли это фишинговый сайт, подставная квитанция или “удобная оплата”. Если используется поддельный интерфейс, вмешательство в процесс оплаты или обман через цифровые каналы, это уже не бытовая история, а полноценное уголовное преступление. На практике это статьи о мошенничестве и неправомерном доступе к информации, о чем неоднократно напоминали представители МВД России и эксперты банковского сектора.
Проблема не в том, что “жертва сама виновата”. Проблема в доказывании и времени. Чем быстрее человек понимает, что произошло, тем больше шансов что-то вернуть.
Если кратко: “я просто наклеил квадратик” в суде не звучит как оправдание. Чаще всего в таких кейсах всплывают:
ст. 159 УК РФ (мошенничество), когда речь про хищение денег обманом КонсультантПлюс
ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации), когда обман завязан на вмешательство в обработку/передачу компьютерной информации и цифровые механизмы оплаты КонсультантПлюс
ст. 272 УК РФ (неправомерный доступ к компьютерной информации), если в процессе добывают доступы/аккаунты КонсультантПлюс
ст. 273 УК РФ (вредоносные программы), если под видом “приложения для оплаты/учета” распространяют… КонсультантПлюс
Важный момент: даже если вы “просто ввели данные карты на сайте”, это не делает вас виноватым. Но это делает вас удобной целью, а дальше начинается бюрократия: банк, заявления, блокировки, иногда возврат, чаще нервотрепка.
Что происходит прямо сейчас: тренды 2025-2026
Источник для изображения: gettyimages.com
QR-подмены уходят из “кафе-меню” в “серьезные платежи” ЖКХ, штрафы, логистика, парковки, “госсервисы” под видом Госуслуг. GetScam+1
Растет промышленный фишинг Фишинговых ресурсов становится больше, блокируют больше, но “выше скорость появления, чем скорость реакции”. По сообщениям о блокировках, фиксируется кратный рост блокировок фишинговых сайтов. cableman.ru+1
Мошенники давят на “быстро и удобно” QR как раз про это. Человек сам ускоряет атаку.
Прогноз: когда это закончится и что будет дальше
Источник для изображения: gettyimages.com
2026 год
Поддельные QR на бумажных носителях (объявления, квитанции, наклейки) будут только расти: дешево, масштабируемо, почти не требует “взлома”.
Вылезет больше гибридных атак: QR ведет на сайт, сайт ведет на установку “приложения”, приложение ворует доступы.
2027 год
Массовее станет “подписывание” QR и проверка в банковских приложениях (когда приложение показывает: “получатель, ИНН, назначение, риск”). Это срежет часть схем, но не убьет их.
Мошенники сместятся туда, где у пользователя меньше привычки проверять: “подтверждение курьера”, “перерасчет ЖКХ”, “штраф со скидкой сегодня”.
Закончится это ровно тогда, когда людям станет привычно проверять адрес и получателя. То есть никогда. Значит, нужно выработать рефлекс.
Практическая защита: 10 правил, которые реально спасают деньги
Источник для изображения: gettyimages.com
Сканируйте QR только там, где контекст доверенный и код не выглядит “наклеенным поверх”.
После сканирования смотрите URL. Не “похоже”, а именно домен.
Для ЖКХ, штрафов, госплатежей: заходите вручную в приложение банка/Госуслуги/кабинет УК, а не по QR с листка.
Никогда не вводите данные карты на странице, куда вы попали “случайно через QR”.
Не сканируйте QR из мессенджеров/писем от незнакомых.
Если “курьер просит QR для подтверждения”, просите подтверждение в официальном приложении сервиса.
В банке включите лимиты и уведомления на все операции.
Любая просьба “сгенерируйте QR в приложении банка и пришлите” = стоп. Роскачество
Сверяйте получателя платежа (имя/организация).
Если сомневаетесь, не платите. Мошенники живут на вашей поспешности.
Заключение
QR продается как путь без усилий. А безопасность всегда требует усилий. Минимальных, но обязательных. Поддельные QR не исчезнут. Они будут рядом с вами в кафе, подъезде, переписке и на двери. Единственный способ не стать частью статистики это перестать воспринимать QR как что-то по умолчанию безопасное. Это не про технологии. Это про внимание. И оно все еще дешевле, чем потерянные деньги и потраченное время. Потому что QR продается как “удобство без усилий”. А мошенничество всегда паразитирует на “без усилий”. Вы не обязаны становиться параноиком. Но вы обязаны перестать быть удобным.
QR-код не “безопаснее ссылки”. Это ссылка в маске. Снимите маску: посмотрите домен, проверьте получателя, платите через официальные приложения. И все, схема разваливается. Не на 100%, но на достаточно, чтобы вы остались при своих.
❗️ Материал носит исключительно информационный характер и не является юридической консультацией.
Частые вопросы
1) Я оплатил по QR и понял, что это мошенники. Что делать прямо сейчас? Сразу звоните в банк, фиксируйте спорную операцию, блокируйте карту при необходимости. Параллельно сохраняйте скриншоты страницы, реквизиты, переписку и подавайте заявление.
2) Можно ли “вернуть деньги”, если сам ввел данные на фишинговом сайте? Иногда да, чаще сложно. Зависит от способа списания/перевода и скорости реакции. Чем быстрее вы подняли банк, тем выше шанс.
3) Как отличить настоящий QR квитанции ЖКХ от поддельного? Надежный вариант один: не играть в “угадайку по бумажке”, а платить через приложение банка, Госуслуги или личный кабинет УК. Если все же сканируете, проверяйте домен и получателя до подтверждения.
Признанный эксперт в области кибербезопасности с более чем 10-летним опытом. В своей профессиональной деятельности он специализируется на выявлении интернет-мошенничества, анализе цифровых угроз и разработке эффективных стратегий защиты пользователей в онлайн-среде. Он регулярно публикует аналитические материалы, основанные на проверенных источниках и актуальных исследованиях в сфере информационной безопасности. Цель работы Дениса и команды GetScam — повышение цифровой грамотности и обеспечение прозрачности в вопросах киберугроз. Мы стремимся сделать интернет-пространство безопаснее, предоставляя читателям достоверную информацию, рекомендации по защите личных данных и инструменты для распознавания мошенников.
