Большинство успешных атак на основе QR-кодов не используют технические уязвимости — они используют человека, который не знал, на что обратить внимание. Фишинг через QR-код (часто называемый «квишингом») растёт резко, потому что он обходит фильтры электронной почты и кажется надёжнее, чем подозрительная ссылка. Если вы управляете малым бизнесом или командой, которая работает с печатными материалами, оборудованием кассовых аппаратов или коммуникациями с поставщиками, получасовой сеанс обучения — один из самых дешёвых инвестиций в безопасность, которые вы можете сделать.
Вот практическая шестиступенчатая схема, которую вы можете провести с командой прямо сейчас.
1. Объясните, что на самом деле делает QR-код
Перед обучением угрозам убедитесь, что все понимают механизм. QR-код — это просто машиночитаемая инструкция — чаще всего это URL, но иногда это учётные данные Wi-Fi, номер телефона или запрос платежа. Сканирование кода передаёт контроль тому, на что указывает код, и это именно то, что используют злоумышленники.
Направьте персонал на понятный ресурс, например наше полное руководство о том, как работают QR-коды, чтобы у них была базовая информация. Люди, которые понимают инструмент, сложнее обманываются с её помощью.
2. Обучите привычке «Предпросмотр перед действием»
Каждая крупная мобильная ОС (iOS 16+, Android 13+) показывает предпросмотр URL перед открытием вкладки браузера при сканировании QR-кода встроенным приложением камеры. Обучите вашу команду:
- Остановиться на экране предпросмотра — никогда не нажимать сразу.
- Читать полный домен, а не только начало URL. Злоумышленники используют поддомены вроде
yourbank.com.verify-login.net, где реальный домен —verify-login.net. - Искать HTTPS, но относиться к нему как к минимальному порогу, а не гарантии. Фишинговые сайты регулярно имеют действительные TLS-сертификаты.
Эта единственная привычка блокирует большую часть случайных попыток квишинга. В нашей отдельной статье о том, почему предпросмотр URL защищает сканирующих, есть больше деталей, которые стоит поделить с командой.
3. Список красных флагов для физических QR-кодов
Сотрудники, которые работают в розничной торговле, гостеприимстве или на мероприятиях, регулярно видят печатные QR-коды от третьих лиц — меню, счета, материалы конференций, накладные доставки. Дайте им конкретный список красных флагов:
| Сигнал | Почему это важно |
|---|---|
| Наклейка, наложенная на существующий код | Классический метод подделки |
| Код, напечатанный на простой бумаге без брендинга | Низкий порог для подделки |
Предпросмотр URL ведёт на IP-адрес (например, http://192.168.1.1/…) |
Легитимные сайты бизнеса так не делают |
| Пункт назначения не соответствует обещанному действию | «Сканируй, чтобы увидеть счет» → приводит на страницу входа |
| Код на несрочной почте или посылках | Высокорисковой вектор доставки |
Для более глубокого взгляда на физическую подделку, статья о том, как обнаружить подделку QR-кодов, — это практическое дополнение.
4. Отдельно рассмотрите QR-коды для платежей и учётных данных
QR-коды для платежей (используемые в счетах, на кассовых аппаратах, на паркинговых счётчиках) — это высокоценная цель. QR-коды для учётных данных — те, которые автоматически заполняют пароль Wi-Fi или входят в приложение — это второй отдельный класс, к которому ваша команда должна относиться иначе, чем к маркетинговому сканированию.
Ключевое правило: никогда не сканируйте QR-код платежа из неверифицированного источника, не подтвердив получателя через отдельный канал. Если поставщик отправляет счет с QR-кодом для платежа, позвоните на известный номер поставщика перед сканированием. Это не параноя — мошенничество в счетах через QR хорошо задокументировано.
Для QR-кодов Wi-Fi: проверьте с тем, кто управляет вашей сетью, перед сканированием кода «гостевого Wi-Fi» в любом общем пространстве, которое вы не контролируете.
5. Установите внутренний стандарт QR-кодов для своих собственных материалов
Сбивчивый или непоследовательный внутренний подход делает сотрудников более уязвимыми. Если ваш бизнес использует QR-коды на квитанциях, упаковке или маркетинговых материалах, определите стандарт и сообщите о нём:
- Всегда используйте ваш зарегистрированный домен в качестве пункта назначения (например,
yourbusiness.com/…), никогда не используйте просто сокращатель или перенаправление третьей стороны без брендинга. - Расскажите своей команде, как выглядят ваши QR-коды — цвет, расположение логотипа, домен, на который они разрешаются — чтобы они могли заметить имитацию.
- Используйте динамические коды, где возможно, чтобы вы могли проверять журналы сканирования и отключить скомпрометированный URL без переиздания. Перед тем, как решить, стоит понять компромиссы между статическими и динамическими форматами — это сравнение статических и динамических QR-кодов их четко изложит.
Когда персонал точно знает, как должны выглядеть ваши легитимные коды, они гораздо лучше умеют замечать подделки.
6. Проведите простое настольное упражнение
Знание уходит без практики. Один раз в квартал распечатайте два или три QR-кода — один, который ведёт на ваш реальный веб-сайт, один, который ведёт на очевидный заполнитель («ЭТО ТЕСТ»), и один, который выглядит правдоподобно, но ведёт куда-то неожиданно. Попросите членов команды отсканировать каждый и объяснить, что они сделают перед тем, как действовать.
Вы можете собрать это упражнение менее чем за десять минут с помощью встроенного инструмента для создания тестовых кодов. Цель не поймать людей — это встроить привычку предпросмотра и паузы в мышечную память.
Ключевые выводы
- QR-атаки успешны против людей, а не систем — обучение — это прямой контрмер.
- Экран предпросмотра URL — первая линия защиты вашей команды; учите всех её использовать.
- Физическая подделка (наклейки поверх легитимных кодов) — самый распространённый вектор атак в реальном мире.
- QR-коды платежей и учётных данных несут более высокие ставки и заслуживают отдельного, более строгого протокола.
- Определите и сообщите, как выглядят ваши собственные легитимные QR-коды, чтобы персонал мог определить самозванцев.
- Квартальное практическое упражнение укрепляет привычки лучше, чем одноразовая презентация.
