What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Полевой справочник

QR-мошенничество

QR-код — это просто закодированная строка. Опасность не в формате, а в том, что эта строка говорит вашему телефону сделать, и в том, что вы обычно сканируете, не читая. Вот десять атак, происходящих прямо сейчас: как каждая из них выглядит на практике и как её распознать до того, как нажать.

Проверить QR → Стандарты QR, которые мы декодируем →

1. Замена наклейкой на паркоматах, меню и зарядных станциях

Как это выглядит: Небольшая наклейка аккуратно размещена поверх настоящего QR-кода на паркомате, меню ресторана, зарядной станции для электромобилей или кассе самообслуживания. QR на наклейке неотличим от оригинала. После сканирования вы попадаете на страницу оплаты, которая выглядит как официальный ресурс города или ресторана. Деньги уходят мошеннику. В 2023–2024 годах этому подверглись несколько крупных городов США (Сан-Антонио, Остин, Хьюстон); в 2024–2025 годах резко участились случаи с зарядными станциями для электромобилей.

Как распознать: Присмотритесь к QR-коду. Он нанесён непосредственно на поверхность (гравировкой, краской, под ламинатом)? Или это наклейка? Проведите ногтем по краю: если поднимается — это наклейка. QR-коды на паркоматах и зарядных станциях почти всегда постоянные. Для меню спросите у персонала, какая платёжная страница настоящая — добросовестные заведения охотно подтвердят. И обязательно проверьте QR в нашем сканере перед оплатой: декодированный адрес назначения сразу выдаст обман.

Подробнее: платёжные QR EMVCo →

2. Поддельная Wi-Fi-точка в аэропортах, отелях и на конференциях

Как это выглядит: Карточка или наклейка рекламирует бесплатный Wi-Fi: «Airport_Free_WiFi», «Starbucks_Guest_2», «ConferenceGuest». Сканируете QR, телефон подключается к сети, интернет работает. Но сеть — это точка доступа злоумышленника, запущенная в том же помещении. Трафик проксируется в настоящий интернет, чтобы ничего не казалось подозрительным, но все DNS-запросы, SNI-имена хостов, HTTP-трафик и данные captive-порталов с запросом учётных данных видны атакующему.

Как распознать: Проверьте, что SSID совпадает с официально заявленным. Аэропорты публикуют название гостевой сети на официальном сайте, отели — на стойке регистрации. Схожие названия (лишние символы, переставленные буквы, добавленное «Free») — признак атаки. Наш сканер проверяет SSID на сходство с высокоимитируемыми брендами. Если сомневаетесь, пользуйтесь мобильным интернетом.

Подробнее: QR с учётными данными Wi-Fi →

3. Фишинг через passkey QR

Как это выглядит: Вы входите на сайт с компьютера. Сайт показывает QR для привязки passkey с телефона. Злоумышленник, заманивший вас на поддельный сайт, показывает свой QR — и привязывает ваш passkey к СВОЕЙ активной сессии на настоящем сайте. Теперь он вошёл в ваш аккаунт. Гибридный транспорт CTAP 2.2, лежащий в основе passkey QR, криптографически надёжен; атака исключительно на человеческом уровне — вам нужно просто отсканировать QR не с того экрана.

Как распознать: Перед сканированием passkey QR проверьте URL в адресной строке браузера. Фишинговые сайты часто используют опечатки в домене (лишний дефис, переставленные буквы, .co вместо .com). Сам QR не опасен — важно, реален ли сайт, на котором он отображается. Также: passkey QR живут недолго (обычно меньше минуты). QR на статичной странице справки, который висит там часами, — подозрителен.

Подробнее: QR для FIDO2 passkey →

4. Кража экспортного QR аутентификатора

Как это выглядит: Кто-то берёт ваш разблокированный телефон «сфотографировать». Открывает Google Authenticator, нажимает «Перенос аккаунтов» → «Экспорт», генерирует QR и фотографирует его своим телефоном. Возвращает ваш. Этот QR содержит все seed-коды аутентификатора (Google, AWS, GitHub, банк, криптобиржа) в base64 в виде protobuf. Теперь у злоумышленника есть доступ к 6-значным кодам для всех ваших аккаунтов — навсегда, пока вы не сбросите каждый.

Как распознать: Защита не в том, чтобы заметить QR, а в том, чтобы никогда не давать его создавать. Не отдавайте разблокированный телефон. Если нужно что-то показать — сделайте это сами. Большинство приложений-аутентификаторов теперь требуют биометрическое подтверждение при экспорте, но Google ввёл это только в конце 2023 года, старые телефоны могут пропускать этот шаг. Если подозреваете, что это произошло, считайте это полной компрометацией: сбросьте 2FA на всех аккаунтах в аутентификаторе.

Подробнее: QR для переноса otpauth →

5. Публикация фото посадочного талона

Как это выглядит: Путешественник публикует фото посадочного талона в Instagram или LinkedIn: «Лечу в Токио!». Штрихкод PDF417 (или QR) на талоне содержит код бронирования (PNR) и номер билета в открытом виде. Злоумышленник, сделавший скриншот, декодирует штрихкод, находит бронирование на сайте авиакомпании (PNR + фамилия обычно достаточно) и может отменить поездку, поменять место, просмотреть весь маршрут или запустить возврат средств.

Как распознать: Не публикуйте фотографии посадочных талонов. Если очень нужно, замажьте или обрежьте штрихкод И код бронирования (обычно напечатан отдельно как 6-символьный буквенно-цифровой код). QR/штрихкод — идеальная цель для атаки, так как считывается с любого скриншота.

Подробнее: посадочные талоны IATA BCBP →

6. Сбор данных со штрихкода водительского удостоверения

Как это выглядит: Бар, клуб, вейп-магазин, диспансер или магазин с возрастным ограничением сканирует PDF417-штрихкод на обороте вашего водительского удостоверения «для проверки возраста». Этот штрихкод содержит ВСЕ данные удостоверения в открытом виде: имя, адрес, дата рождения, номер удостоверения, рост, вес, цвет глаз. Некоторые заведения хранят эти данные, продают маркетинговым агрегаторам или теряют в утечках. Настоящему охраннику нужно знать одно: достигли ли вы совершеннолетия. Ваш адрес ему не нужен.

Как распознать: Спросите, что и зачем сканируют. Некоторым заведениям нужно только подтвердить возраст; другие (крупные клубы в некоторых юрисдикциях) обязаны хранить данные по закону. Возражайте, если заведение небольшое и неформальное. Если у вас есть мобильное водительское удостоверение, используйте его: mDL поддерживает избирательное раскрытие данных (бар может запросить только «старше 21? да/нет» без доступа к вашей дате рождения).

Подробнее: PDF417 водительского удостоверения AAMVA →

7. QR-коды криптодрейнеров на NFT-мероприятиях и в физическом арте

Как это выглядит: QR-код на митапе по NFT, открытии галереи, стенде конференции или внутри физического арта обещает бесплатный NFT или получение аирдропа. Сканируете — QR открывает сессию WalletConnect или диплинк в приложение кошелька, и вас просят подписать транзакцию. Транзакция одобряет вредоносный контракт на слив всех токенов из вашего кошелька. Наборы для дрейнеров — это массовый продукт; QR-код — просто способ доставки.

Как распознать: Перед подписью внимательно читайте запрос транзакции в кошельке. Если он запрашивает одобрение токенов (особенно setApprovalForAll или неограниченный approve) для незнакомого контракта — отказывайтесь. QR с бесплатными NFT на случайных стендах не стоят риска. Используйте отдельный «горячий» кошелёк с минимальным балансом для любых офлайн-взаимодействий; держите основные активы в кошельке, который никогда не подключается к QR-сессиям.

8. Наклейка поверх QR благотворительной организации

Как это выглядит: В общественном месте размещён флаер настоящей благотворительной организации. Злоумышленник наклеивает поверх QR для пожертвований свою наклейку, ведущую на подконтрольный ему кошелёк или поддельную страницу. Деньги идут мошеннику. Чаще всего это происходит после стихийных бедствий и громких событий — легитимная организация активно публикует информацию, а злоумышленник паразитирует на этом.

Как распознать: Как и в случае №1: QR — это наклейка поверх напечатанного или часть оригинального принта? Ещё лучше — жертвуйте, набирая URL благотворительной организации в браузере вручную или через её официальное приложение. QR-коды удобны, но не создают цепочки доверия.

9. QR поддельного паспорта продукта

Как это выглядит: QR-код на одежде, аккумуляторе, электронном устройстве или мебели утверждает, что является EU Digital Product Passport продукта (требование ESPR, поэтапное внедрение 2027–2030). Сканируете — и красивая страница рассказывает о происхождении продукта, переработанных материалах, экологических заявлениях. Всё это ненастоящее: производитель подделки просто заплатил за шаблонный сайт в стиле DPP. По мере развёртывания DPP это будет масштабироваться: регуляторы ещё только строят реестр ЕС для подтверждения подлинности.

Как распознать: Проверьте, разрешается ли поле issuer в DPP на зарегистрированного экономического оператора ЕС. По состоянию на середину 2026 года Еврокомиссия ещё не опубликовала сводный реестр; до тех пор относитесь к заявлениям DPP как к рекомендательным, а не проверенным. Наш сканер извлекает поле issuer и URL сервера DPP, чтобы вы могли выполнить эту проверку.

Подробнее: EU Digital Product Passport →

10. Недобросовестный верификатор mDL, запрашивающий лишние данные

Как это выглядит: Вы предъявляете мобильное водительское удостоверение (mDL) в баре или магазине. Приложение верификатора запрашивает полное имя, полную дату рождения, номер удостоверения, адрес И фото — хотя для транзакции нужна только проверка возраста. Вы подтверждаете по привычке. Теперь у небольшого заведения есть ваши полные личные данные, которые хранятся неизвестно сколько и могут быть проданы кому угодно. Стандарт требует, чтобы кошелёк показывал вам список запроса, но не запрещает вам соглашаться на избыточное раскрытие данных.

Как распознать: Читайте запрос внимательно. Если верификатор требует больше, чем нужно для транзакции (бар спрашивает адрес, продавец хочет номер удостоверения), откажитесь и попросите минимальный вариант (только age_over_21). Если отказывают — вы сами решаете: передать лишнее или уйти. Стандарт на вашей стороне, но экосистема верификаторов пока не регулируется.

Подробнее: мобильные водительские удостоверения (ISO 18013-5) →

Что делать, если вы уже отсканировали что-то подозрительное

Платёжный сайт: Если вы ввели данные карты, немедленно свяжитесь с банком, чтобы оспорить транзакцию и перевыпустить карту. Не ждите, пока платёж пройдёт.
Wi-Fi: Удалите сеть из списка на телефоне. Проверьте недавно использованные приложения на предмет запросов учётных данных. Смените пароли на всём, чем пользовались в этой сети, особенно на сайтах с HTTP.
Passkey: Войдите в затронутый аккаунт, перейдите в настройки безопасности, просмотрите список активных ключей доступа и удалите всё незнакомое. Заодно смените пароль, если сайт это позволяет.
Экспорт аутентификатора: Считайте это полной компрометацией. Сбросьте 2FA на каждом аккаунте, который был в аутентификаторе. Начните с наиболее ценных (банк, email, криптобиржа, GitHub, AWS).
Опубликованный посадочный талон: Свяжитесь с авиакомпанией, если возможно — смените код бронирования, настройте оповещение о статусе рейса, чтобы заметить любые изменения в бронировании.
Криптовалютный дрейнер: Немедленно переведите оставшиеся активы в новый кошелёк. Отзовите разрешения контрактов во всех использованных сетях (revoke.cash и аналогичные инструменты поддерживают большинство сетей). Слитые токены, как правило, не подлежат восстановлению.

Проверьте перед сканированием

Перетащите любой QR (изображение, вставка или камера) в наш сканер. Вы увидите декодированную нагрузку, цепочку переходов (если это URL), кто может изменить адрес назначения в будущем и репутационные флаги. Решение за вами — информация на экране до того, как вы действуете.

Открыть сканер →