arrow_backБлог
·5 мин. чтения·Super QR Code Generator Team

Подделка QR-кодов: как обнаружить её до вреда

Преступники подменяют QR-коды, чтобы перенаправить жертв на фишинг. Узнайте, как работает подделка, на что смотреть и какие меры защиты её остановят.

безопасность qr-кодовзащита от фишингаквишингподделка qr
Подделка QR-кодов: как обнаружить её до вреда
AI-generated

Физический QR-код можно перекрыть наклейкой менее чем за пять секунд. Этот простой факт должен изменить ваше отношение к каждому коду, который вы печатаете, и к каждому коду, который вы сканируете. В отличие от цифрового фишинга по электронной почте, поддельные QR-коды не блокируются почтовыми фильтрами и предупреждениями браузера — единственная защита — это знать, на что обращать внимание.

Как выглядит подделка QR-кода в реальности

Подделка не требует опытного злоумышленника. Самый распространённый метод — напечатанная наклейка, размещённая прямо над оригинальным кодом на флаере, карточке стола, паркомате или меню ресторана. Наклейка выглядит идентично оригиналу по размеру и цвету, но закодированный URL ведёт на страницу сбора учётных данных или платёжный портал, контролируемый злоумышленником.

Три наиболее частых сценария:

  • QR-коды для оплаты на палатках с едой, у уличных торговцев или на паркоматах — поддельный код перенаправляет на фальшивую страницу оплаты, которая собирает данные карт.
  • QR-коды на публичных местах на плакатах или табличках на дверях, обещающие доступ к Wi-Fi, меню или информацию о событии.
  • Этикетки доставки и логистики, где подменённые коды перенаправляют ссылки отслеживания, что вводит в заблуждение клиентов или сотрудников.

Атака работает, потому что люди обычно спешат. Они наводят камеру, видят предпросмотр привычного URL и нажимают кнопку, не прочитав его внимательно.

Почему стандартные инструменты безопасности не помогают

Корпоративные брандмауэры и антивирусное ПО защищают устройства на уровне сети, а не в момент, когда камера декодирует паттерн модуля на бумаге. QR-код — это не кликабельная ссылка в письме; это оптический payload. Именно этот разрыв и используют злоумышленники.

Динамические QR-коды — которые кодируют короткий URL-перенаправление вместо финального адреса — усугубляют проблему, если они не управляются тщательно. Конечная точка перенаправления может быть изменена в любой момент, что означает, что законный динамический код может быть перехвачен, если учётная запись, которая его создала, скомпрометирована. Понимание того, как работают динамические коды в сравнении со статическими — первый шаг к осознанию того, какой риск вам угрожает.

Как обнаружить подделку перед сканированием

Сначала осмотрите физическую поверхность. Проведите пальцем по коду. Наклейка имеет края. Вы должны их почувствовать, даже если печать хорошего качества. Ищите приподнятые углы, неправильные границы или незначительное несовпадение цвета между кодом и окружающим материалом.

Проверьте предпросмотр URL перед тем, как нажать. Каждое современное приложение камеры смартфона показывает декодированный URL перед подтверждением. Прочитайте его. Задайте три вопроса:

  1. Это точно тот домен, который я ожидал (не paypa1.com или menu-venue-uk.xyz)?
  2. Использует ли он HTTPS?
  3. Есть ли что-то неожиданное в конце — длинная строка запроса, странный поддомен, символы, которые выглядят как буквы, но ими не являются?

Сопоставьте с контекстом. QR-код на паркомате, который просит ваш полный номер карты и CVV на стороннем сайте — это неправильно. Законные приложения паркинга берут платёж внутри проверенного приложения, а не в неизвестной мобильной форме.

Меры защиты, которые вы должны внедрить как издатель кодов

Если вы публикуете QR-коды для сканирования клиентами, вы несёте определённую ответственность за их безопасность. Вот практический контрольный список мер:

Физические меры развёртывания

  • Ламинируйте или покрывайте лаком коды на печатной продукции долгого пользования. Наклейка не может хорошо приклеиться к глянцевому ламинату без видимых пузырей.
  • Печатайте коды прямо на основной графике, а не как отдельную этикетку, которую можно заменить. Тиснение или гравировка ещё более надёжны для постоянных конструкций.
  • Добавьте читаемый URL под каждым кодом. Подделка, которая заменяет код, не может одновременно заменить печатный текст без явных следов.

Меры управления кампаниями

  • Используйте динамические коды только на платформе, которая логирует каждое изменение перенаправления с временной меткой и учётной записью пользователя. Этот журнал важен при анализе инцидента.
  • Ротируйте или прекращайте действие кодов, которые отображались в рискованных общественных местах после окончания кампании. Мёртвые коды нельзя перенаправить, и они не могут быть скомпрометированы.
  • Отслеживайте аналитику сканирований на предмет аномалий: резкий скачок сканирований из региона, который ваша кампания не охватывает, или внезапное падение коэффициента конверсии при высоком объёме сканирований — оба могут указывать на то, что поддельный код находится в обращении.

Сигналы верификации, которые вы можете добавить в сам код

  • Фирменный визуальный дизайн — пользовательская цветовая схема, логотип или форма глазков, соответствующие вашему другому маркетингу — делает простую чёрную наклейку-замену визуально неконсистентной. Наше руководство по проектированию брендированных QR-кодов охватывает детали реализации без ущерба для сканируемости.
  • Согласованность доменов — всегда используйте один и тот же короткий домен во всех ваших кодах, чтобы клиенты знали, что ожидать в предпросмотре.

Что делать при обнаружении подделанного кода

  1. Сфотографируйте подделанный код на месте перед его удалением — задокументируйте размещение наклейки, окружающую графику и местоположение.
  2. Немедленно удалите или закройте поддельный код, чтобы остановить дальнейших жертв.
  3. Перенаправьте конечный URL исходного динамического кода на страницу, которая говорит, что код скомпрометирован и предоставляет безопасную альтернативную ссылку. Не просто удаляйте короткий URL — это может позволить ему быть повторно зарегистрированным.
  4. Сообщите в местную полицию и, если затронут платёжный фрод, в ваш банк-приобретатель или платёжного процессора. Многие юрисдикции рассматривают это как мошенничество, а не как уголовное повреждение имущества, что влияет на способ отчётности.
  5. Уведомьте клиентов, если у вас есть доказательства того, что сканирования произошли между подделкой и вашим обнаружением. Краткое фактическое сообщение лучше молчания.

Ключевые выводы

  • Физическая подделка — это быстро, дёшево и обходит большинство цифровых средств контроля безопасности.
  • Лучшая защита — это тактильная (ламинирование, тиснение) и визуальная (фирменный дизайн, печатный URL).
  • Динамические коды нуждаются в безопасности уровня учётной записи и журналах аудита — слабые учётные данные превращают их в вектор атаки.
  • Аналитика сканирований может служить системой раннего предупреждения, если вы знаете, какие аномалии искать.
  • Как издатель кода, ваша ответственность не заканчивается при печати — она распространяется на весь жизненный цикл кода в мире.

Развёртываете ли вы несколько кодов на столах или запускаете кампанию по всему городу, Super QR Code Generator предоставляет управление динамическими кодами, инструменты брендированного дизайна и аналитику сканирований, необходимые для того, чтобы каждый код был учтён и защищён.

Частые вопросы

Как я могу понять, что наклейка QR-кода наложена поверх другого кода?expand_more
Крепко проведите пальцем по поверхности кода. Наклейка, наложенная на оригинал, будет иметь приподнятые края, которые вы почувствуете, даже если качество печати высокое. Вы также можете заметить небольшое различие в цвете между наклейкой и окружающим материалом, или приподнятые углы, если наклейка была наклеена поспешно или на изогнутую поверхность.
Может ли динамический QR-код быть перехвачен без физической подделки?expand_more
Да. Если учётная запись, которая контролирует динамическое перенаправление, скомпрометирована через слабый пароль или фишинговую атаку, злоумышленник может удалённо изменить целевой URL без касания печатного кода. Вот почему учётные записи динамических QR-кодов должны использовать надёжные уникальные пароли и двухфакторную аутентификацию, и почему журналы аудита изменений перенаправления важны для реагирования на инциденты.
Как должен выглядеть безопасный предпросмотр URL QR-кода перед тем, как я его нажму?expand_more
Он должен использовать HTTPS, соответствовать бренду или организации, которую вы ожидаете, и не иметь необычных поддоменов или добавленных строк запроса, которые вы не можете объяснить. Остерегайтесь атак омографии — символы, которые выглядят как стандартные буквы, но принадлежат другому алфавиту. Если вы в сомнении, вручную введите ожидаемый URL в браузер, вместо того чтобы следовать коду.
Как я защищу QR-коды на уличной графике от подделки?expand_more
Ламинирование или нанесение глянцевого лака на печатный код делает адгезию наклейки визуально очевидной и физически более сложной. Для постоянных конструкций печать непосредственно в материал или использование гравированных кодов полностью исключает возможность замены наклейкой. Всегда добавляйте читаемый URL ниже, чтобы, даже если код закрыт, клиенты имели альтернативу.
Какие сигналы аналитики указывают на то, что мой печатный QR-код был подделан?expand_more
Следите за неожиданным скачком общего объёма сканирований без соответствующего увеличения целевого события конверсии (например, заполнения формы или покупки), сканирований, поступающих из мест, которые ваша кампания не охватывает, или резким падением коэффициента конверсии на коде, который ранее работал нормально. Любой из этих паттернов требует физической проверки кода в поле.

Ещё из блога

Весенние QR-кампании: 5 тактик, которые реально конвертируют

QR-коды на осень: 7 тактик для увеличения продаж осенью

Динамическая маршрутизация QR: отправляйте сканирующих на разные URL автоматически

Создать QR-код