Почему материал появился в этой подборке?

QR-коды используются в оплате, меню, парковках, билетах и доставке, поэтому риск не зависит от одной новости или конкретного сервиса.

Как проверялись факты?

Редакция сверила базовые даты, цифры и контекст по источникам, вынесенным в конце публикации.

QR-коды и мошенничество: чек-лист перед оплатой

QR-код удобен именно потому, что скрывает длинную ссылку за одним действием камеры. Но эта же удобность помогает мошенникам: наклейка на терминале, письмо с кодом или посылка с неизвестным QR могут вести не туда, куда ожидает пользователь.

QR-код сам по себе не является опасным. Это способ упаковать данные в изображение: ссылку, текст, платежные реквизиты, контакт или настройку. Проблема начинается с привычки сканировать не глядя. Пользователь видит знакомый квадрат на столике кафе, терминале парковки, квитанции, посылке или в письме и ожидает официальный сценарий. Мошеннику остается подменить направление: наклеить другой код, отправить убедительное письмо или сделать сайт, похожий на настоящий.

В отличие от обычной ссылки, QR-код не показывает адрес до действия, если приложение камеры не выводит предпросмотр. Поэтому важно не торопиться. Сканирование еще не равно оплате, но переход на страницу, ввод телефона, карты, логина или кода подтверждения уже создает риск. Особенно опасны сценарии со срочностью: «оплатите штраф», «подтвердите доставку», «верните посылку», «получите бонус», «аккаунт будет заблокирован».

Где QR-код чаще всего подменяет доверие

Человек сканирует QR-код на публичной поверхности — QR-код удобен, пока пользователь понимает, куда он ведет и почему его предлагают сканировать. Фото: Paul Downey, Wikimedia Commons, CC BY-SA 2.0.

На публичных поверхностях риск связан с физической подменой. Наклейка поверх официальной таблички может вести на сайт-клон. В письмах и сообщениях QR используют, чтобы обойти привычную осторожность к ссылкам: человек сканирует код телефоном, покидает защищенную почтовую среду и открывает страницу в мобильном браузере. В доставке и маркетплейсах код может обещать уточнение адреса или возврат, хотя настоящий сервис обычно показывает такие действия внутри приложения.

В платежах важно смотреть не только на дизайн страницы, но и на получателя. Если код ведет к форме карты вместо привычного банковского сценария, просит лишние данные, не показывает понятного продавца или домен отличается от официального, это повод остановиться. Настоящая оплата не должна требовать пароль от банка, код из SMS для «проверки личности» без операции, seed-фразу, фото карты с двух сторон или установку приложения по неизвестной ссылке.

Проверка QR-кода перед действием

Признак	Что означает	Что сделать
Код наклеен поверх старого	Возможна физическая подмена	Сравнить с официальным приложением или спросить сотрудника
Адрес похож, но отличается символом	Вероятен сайт-клон	Не вводить данные, открыть сайт вручную
Просят срочно оплатить или подтвердить	Используют давление времени	Проверить уведомление в официальном приложении
Нужны пароль, коды, полная карта	Запрос выходит за нормальный платеж	Закрыть страницу и сохранить доказательства

Что делать после подозрительного перехода

Если вы только открыли страницу и ничего не вводили, обычно достаточно закрыть ее, очистить вкладку и не продолжать сценарий. Если ввели логин и пароль, нужно сразу менять пароль на официальном сайте, завершать активные сессии и включать двухфакторную защиту. Если ввели данные карты или подтвердили платеж, нужно связываться с банком, блокировать карту или операцию по правилам банка и сохранять скриншоты страницы, переписки, чека и адреса сайта.

Для публичного места полезно сообщить владельцу точки: кафе, парковке, управляющей компании, магазину. Если код физически наклеен поверх официального, это не только ваша проблема. Для доставки и маркетплейса стоит написать в поддержку через приложение, а не по номеру из подозрительного сообщения. Чем меньше вы продолжаете общение в канале мошенника, тем меньше вероятность, что вас дожмут второй легендой.

Перед оплатой смотрите домен и получателя, а не только логотип на странице.
Не устанавливайте приложения по QR-коду из письма, посылки или уличной рекламы.
Не вводите банковские коды, если операция непонятна или получатель не совпадает.
Для спорных платежей сохраняйте скриншоты, URL, чек и время события.

На телефоне стоит включить привычку предварительного просмотра ссылки. Большинство камер и банковских приложений показывают адрес до перехода, и эту секунду нельзя пропускать. Если адрес сокращен, выглядит как набор случайных букв или ведет на домен, не похожий на сервис, безопаснее открыть официальный сайт вручную. Для оплаты парковки, штрафа или доставки официальный путь через приложение обычно медленнее на одно действие, но зато не зависит от наклейки, которую мог заменить кто угодно.

Почему это вопрос прав, а не только техники

QR-фишинг часто маскируется под бытовую услугу: оплату парковки, заказ, возврат, штраф, билет, меню или бонус. Поэтому пользователю важно не только знать технологию, но и фиксировать обстоятельства. Если деньги ушли, потребуется доказать, что было обещано, где размещался код, какой сайт открылся и какие данные запрашивали. В идеале спор не должен доходить до этого этапа, но аккуратная фиксация помогает банку, сервису и правоохранительным органам разбираться быстрее.

Хорошее правило: QR-код должен сокращать путь к известному действию, а не открывать новый странный сценарий. Если вы ожидали меню, а получили форму карты, если ожидали оплату парковки, а видите неизвестный домен, если посылка предлагает сканировать код без ясной причины, остановка является нормальным действием. Удобство QR не отменяет базовую проверку адреса, получателя и смысла операции.