Ви наводите камеру на QR-код у кафе, на паркоматі чи в листі від банку — і за долю секунди переходите за посиланням. Але що якщо цей код підмінений? Саме так працює квішинг — новий вид фішингу через QR-коди, який стрімко захоплює увагу кіберзлочинців по всьому світу. За даними Check Point Research, між 2021 і 2024 роками кількість таких атак зросла на 900%. Детальний аналіз загрози опублікував Cyber For Youth.

+900% за три роки — цифри, які не вкладаються в голові

Квішинг — це поєднання слів QR і фішинг. Зловмисники створюють фальшиві QR-коди, які ведуть на шкідливі сайти або автоматично встановлюють шкідливе програмне забезпечення. У 2023 році 22% усіх фішингових атак містили QR-коди. Понад 10% фішингових листів зараз включають їх замість традиційних посилань.

Причина популярності схеми проста. Звичайне текстове посилання легко перевірити перед кліком. QR-код — неможливо: ви не знаєте, куди він веде, поки не відскануєте його. Саме ця сліпа зона й робить QR небезпечнішим інструментом для шахраїв, ніж класичний фішинговий лист.

Де ховається шкідливий квадрат

Фальшиві QR-коди з’являються там, де їх найменше очікують. Зловмисники наклеюють підроблені коди поверх справжніх на паркоматах, меню ресторанів і платіжних терміналах. Вони надсилають їх у листах нібито від банків, кур’єрських служб чи державних органів.

Для шахраїв це ідеальний інструмент обходу захисту. Традиційні поштові фільтри шукають підозрілі посилання в тексті. QR-код — це зображення, а не текст, тому більшість антиспам-систем просто не реагує на нього. Жертва сканує код смартфоном, де захист зазвичай слабший, ніж на комп’ютері, і потрапляє на фішинговий сайт або отримує вірус.

Топ-менеджери під прицілом

Квішинг б’є не лише по звичайних користувачах. За даними Recorded Future, топ-менеджери отримують у 42 рази більше шкідливих QR-кодів, ніж рядові співробітники. Найчастіше під удар потрапляє енергетичний сектор — 29% усіх атак через QR-коди. За ним ідуть фінанси та виробництво.

Окремої уваги заслуговує техніка “adversary-in-the-middle” — атака посередника. Жертва сканує QR, переходить на сторінку, що виглядає як справжній банківський сайт чи корпоративний портал, і вводить логін, пароль та код двофакторної автентифікації. Зловмисник отримує всі ці дані в реальному часі й одразу використовує їх для входу в акаунт — ще до того, як жертва встигне щось запідозрити. Квішинг — лише одна із форм цифрового шахрайства, яке стає дедалі витонченішим. ChatGPT вже рекомендує шахрайські сайти у відповідях на запити — і це робить ШІ-підсилений фішинг новою загрозою для звичайних покупців.

Як ШІ зробив квішинг ще небезпечнішим

Штучний інтелект різко підвищив якість фішингових атак загалом. Recorded Future фіксує зростання загальних фішингових атак на 1265% саме завдяки ШІ-інструментам. Ось що це означає на практиці:

  • Листи й сайти з QR-кодами виглядають бездоганно — без граматичних помилок і з правдоподібними логотипами брендів;
  • ШІ автоматично генерує тисячі варіантів фішингових кампаній за лічені хвилини;
  • атаки типу “adversary-in-the-middle” крадуть навіть коди двофакторної автентифікації в реальному часі;
  • QR-коди у вигляді зображень обходять більшість корпоративних антиспам-фільтрів без жодних зусиль.

Раніше фішингові листи легко впізнавали за безглуздим текстом і поганим дизайном. Тепер ця підказка більше не працює.

Думай перш ніж сканувати — три секунди, що рятують гаманець

Захист від квішингу починається з простої звички — зупинитися перед скануванням. Кілька практичних правил суттєво знизять ризик:

Перевіряй фізичний стан коду. Якщо наклейка поверх іншої або виглядає підозріло — не скануй. Використовуй вбудований сканер смартфона, а не сторонні застосунки: він показує URL до переходу. Якщо посилання виглядає дивно або відрізняється від очікуваного бренду — закрий його.

Ніколи не вводь паролі й платіжні дані після переходу за QR із листа чи оголошення без додаткової перевірки. Для корпоративного захисту варто встановити рішення з підтримкою сканування QR у потоці електронних листів. І головне: якщо код обіцяє щось занадто вигідне — це майже завжди пастка.

Олена Василенко

Від Олена Василенко

Редакторка і автор новин та статей на проекті "Топові Новини"