QR-коды за последние годы стали почти универсальным «ключом» к цифровым сервисам. Ими открывают меню в кафе, оплачивают парковку, переходят к чат-ботам поддержки, получают скидки и подтверждают записи на услуги. Массовое распространение этой технологии выглядит естественным продолжением цифровизации: быстрее, удобнее, бесконтактно. Однако именно простота и скорость QR-сценариев создают новые риски для информационной безопасности, о которых пользователи часто вспоминают уже после инцидента.

Сам по себе QR-код — это усовершенствованный двумерный штрихкод, способный хранить закодированные данные: ссылку, текст, номер телефона, фрагмент файла. Аббревиатура QR расшифровывается как Quick Response, то есть «быстрый отклик». Визуально он выглядит как квадрат с характерным «пиксельным» узором, а прочитать его можно обычной камерой смартфона или планшета. Устройство распознает рисунок, извлекает из него данные и показывает пользователю, что именно скрыто в коде, чаще всего предлагая сразу перейти по ссылке.

Хотя QR-коды воспринимаются как примета последних лет, технологии уже больше двух десятилетий. В начале 1990-х годов японская автомобильная промышленность столкнулась с тем, что классические штрихкоды вмещали слишком мало символов, из-за чего на детали приходилось наносить несколько кодов. Решением стала разработка компании Denso Wave, подразделения Toyota: символы расположили так, чтобы код считывался под любым углом и содержал намного больше данных. Первый QR-код появился в 1994 году, вмещал свыше 7000 символов и считывался в разы быстрее привычных штрихкодов. Важный шаг для будущей популярности технологии — отсутствие жестких ограничений по правам и лицензированию: QR-коды мог использовать любой желающий. В начале 2000-х распространение ускорилось благодаря развитию мобильных телефонов, а затем смартфонов, когда считывание двумерных кодов стало встроенной функцией.

Всплеск применения пришелся на пандемию. QR-коды использовали для контроля передвижений, подтверждения доступа в общественные места, бесконтактных меню и оплат. Даже после отмены ограничений привычка «навести камеру и получить результат» осталась, а бизнес продолжил расширять сценарии использования. По данным портала QR Tiger, в 2024 году зафиксировано 26,95 млн сканирований QR-кодов более чем в 50 странах мира, а сама технология активно применяется от розницы и общепита до фармацевтики и авиаперелетов.

Технически QR-код представляет собой набор черных и белых модулей, где информация записана в двоичном виде, то есть нулями и единицами. В классическом варианте в трех углах расположены опознавательные метки, которые помогают устройству понять ориентацию, а дополнительные элементы синхронизации и выравнивания позволяют корректно считать код даже с неровной поверхности или в перевернутом виде. Существует и механизм исправления ошибок, благодаря которому код может читаться даже при заметных повреждениях изображения. Именно эта устойчивость и скорость распознавания сделали QR-код удобным инструментом для повседневных задач.

Проблема в том, что удобство для пользователя одновременно является преимуществом для злоумышленников. Профессор Финансового университета при Правительстве РФ Гришаева Ю.М. обращает внимание на ключевое отличие QR-кодов от привычных гиперссылок: ссылку можно хотя бы примерно оценить визуально до клика, а содержимое кода скрыто и не поддается человеческой интерпретации без сканирования. Камера смартфона считывает QR мгновенно, и переход на сайт часто происходит почти автоматически, особенно если в настройках включено автоматическое открытие ссылок. В результате у человека остается минимальное время на сомнение и проверку, а это идеальные условия для фишинга.

Главной угрозой эксперты называют физическую подмену QR-кодов, известную как «квишинг» или QR-фишинг. Схема проста и эффективна: злоумышленник накладывает свой код поверх легального, например, на парковочном автомате, стойке в кафе, рекламном или информационном стенде. Пользователь уверен, что сканирует официальный QR для оплаты или меню, но вместо ожидаемого ресурса попадает на поддельный сайт. На такой странице могут запрашивать данные банковской карты, коды подтверждения, логины и пароли, а иногда и доступ к аккаунтам популярных сервисов. Квишинг особенно опасен тем, что «место доверия» работает на мошенника: знакомая парковка или кафе воспринимаются как гарант безопасности, и критическое мышление заметно снижается.

Отдельный риск связан с маскировкой ссылок. Доцент кафедры «Безопасность жизнедеятельности» Финансового университета Григорьев С.М. отмечает, что QR-код — удобный инструмент для злоумышленников еще и потому, что его чаще всего сканируют на личных смартфонах, которые не защищены корпоративными решениями безопасности. Для сокрытия реального адреса активно используются сервисы коротких ссылок, а также цепочки перенаправлений, когда сначала открывается «приличный» промежуточный адрес, а затем происходит редирект на вредоносный ресурс. В итоге пользователь видит знакомый дизайн «страницы оплаты» и вводит данные, не замечая подмены домена или других признаков фальсификации.

Иногда QR-коды применяют и как способ подвести человека к загрузке вредоносного ПО. Григорьев С.М. подчеркивает, что современные мобильные системы имеют защитные механизмы, однако социальная инженерия по-прежнему эффективна: пользователя могут убедить установить «нужное приложение», подтвердить «обновление», выдать разрешения или пройти «проверку безопасности», которая на деле окажется кражей данных. Технические барьеры помогают, но не отменяют человеческий фактор.

Сложность в том, что визуально отличить поддельный QR-код от настоящего почти невозможно: внутри — тот же узор, а что именно он открывает, заранее не видно. Поэтому практический ориентир — контекст и состояние носителя. По словам Гришаевой Ю.М., насторожить должны следы переклейки, неровные края наклейки, повреждения, ощущение, что код наклеен поверх другого. Более надежно выглядят коды, которые напечатаны непосредственно на поверхности объекта и не похожи на «временную» наклейку. При этом даже аккуратно наклеенный код не гарантирует безопасность, если пользователь не проверяет адрес перед переходом.

Минимизировать риски помогают простые настройки и дисциплина. Самое полезное — отключить автоматический переход по ссылке после сканирования и включить режим, при котором смартфон сначала показывает превью с адресом. Перед открытием стоит внимательно оценить URL: сокращатели, лишние символы, ошибки в домене известной организации, странные поддомены и неожиданные зоны доменов часто указывают на мошеннический ресурс. Вводить платежные данные после перехода по QR-коду безопасно только при полной уверенности в источнике, а оплату услуг вроде парковки или заказа в ресторане разумнее проводить через официальные приложения, вводя данные вручную. Это кажется медленнее, но именно эта «лишняя секунда» часто отделяет безопасное действие от успешной атаки.

QR-код остается полезным инструментом и вряд ли исчезнет в ближайшее время: он дешев в размещении, удобен для бизнеса и понятен пользователям. Но по мере роста популярности будет расти и интерес мошенников, а значит, QR-коды все чаще станут не только символом комфорта, но и точкой входа для атак. Внимательность к месту размещения, проверка адреса и отказ от автоматизма превращают «быстрый отклик» из потенциальной ловушки обратно в удобную технологию.