Защита от malicious QR-codes: как проверить ссылку до перехода

QR-код сам по себе не опасен: это просто картинка с зашифрованным текстом. Проблема начинается, когда после сканирования телефон открывает ссылку, страницу входа, форму оплаты или предложение установить приложение. Именно туда и ведут большинство malicious QR-codes.

На практике безопасный сценарий выглядит так: сначала вы считываете код так, чтобы увидеть ссылку, потом проверяете адрес и только после этого решаете, открывать его или нет. Если камера телефона сразу перебрасывает на сайт, вы теряете момент проверки.

Падlock в адресной строке и надпись HTTPS не означают, что сайт честный. Злоумышленники тоже ставят сертификаты. HTTPS защищает соединение, но не подтверждает, что перед вами настоящая страница банка, доставки или работодателя.

Почему QR-коды стали удобной приманкой

С QR-кодами люди привыкли действовать быстро: навёл камеру, нажал «Открыть», оплатил, авторизовался, подключился к Wi-Fi. Этим и пользуются мошенники.

Malicious QR-codes чаще всего ведут на такие действия:

  • фейковая страница входа, где просят логин, пароль и код из SMS;
  • форма оплаты за парковку, штраф, доставку, билет или заказ;
  • страница с предложением установить приложение вне официального магазина;
  • поддельная анкета, опрос или «возврат средств»;
  • QR-код для входа в аккаунт, который фактически подтверждает авторизацию на чужом устройстве;
  • короткая ссылка, за которой скрыт переход на подозрительный домен.

Главная защита — не «никогда не сканировать QR-коды», а не позволять телефону автоматически открывать неизвестные ссылки.

Как правильно проверять ссылку из QR-кода

Чтобы проверить адрес, QR-код всё равно нужно считать. Но считывание не должно сразу превращаться в переход на сайт. Нужен инструмент, который покажет ссылку текстом и даст вам время её осмотреть.

  1. Отключите автооткрытие ссылок. Проверьте настройки камеры или QR-сканера. Если после наведения камеры сайт открывается сам, для неизвестных кодов лучше использовать другой способ.
  2. Используйте сканер с предпросмотром. Хороший сканер показывает URL до кнопки «Открыть». Это базовая защита от случайного перехода.
  3. Скопируйте ссылку, а не нажимайте «Открыть». Так проще посмотреть домен, убрать отвлекающие элементы страницы и проверить адрес в отдельном сервисе.
  4. Проверьте домен. Смотрите не на красивый текст кнопки, а на настоящий адрес. Например, login.bank.example и bank.example.phish — это разные сайты, хотя на глаз оба могут выглядеть убедительно.
  5. Раскройте короткие ссылки. Если QR ведёт на bit.ly, t.me, vk.cc или другой сервис перенаправления, сначала посмотрите конечный адрес.
  6. Проверьте ссылку репутационным сервисом. Для незнакомых адресов можно использовать сервисы вроде VirusTotal, urlscan.io или встроенные проверки браузера. Не загружайте туда QR-коды с личными билетами, пропусками или доступами.
  7. Сравните с официальным адресом. Если код пришёл в письме от банка, доставки или работодателя, лучше открыть приложение или сайт вручную, а не переходить по ссылке из QR-кода.

Если после сканирования вы видите не URL, а команду вроде подключения к Wi-Fi, добавления контакта или отправки сообщения, тоже не нажимайте «Подтвердить» сразу. QR-код может запускать действие без привычной страницы, где можно рассмотреть адрес.

Что именно смотреть в ссылке

Не нужно быть специалистом по кибербезопасности, чтобы заметить часть рисков. Перед открытием ссылки из QR-кода проверьте несколько вещей.

Домен должен совпадать с ожидаемым

Смотрите на основную часть адреса. Например, у официального сайта домен может быть example-bank.ru. А подозрительные варианты вроде example-bank-pay.ru, examplebank.security-login.ru или example-bank.ru.phish уже не являются тем же самым доменом.

Особенно внимательно проверяйте поддомены. Адрес login.example-bank.ru может быть нормальным, если банк действительно использует такой поддомен. А вот example-bank.ru.login.phish — это уже другой сайт.

HTTPS — это хорошо, но мало

HTTPS означает, что соединение зашифровано. Это не доказывает, что сайт принадлежит нужной организации. Фейковые страницы часто выглядят аккуратно и тоже работают по HTTPS.

Короткие ссылки — повод остановиться

QR-код часто кодирует короткую ссылку, потому что она компактная. Но именно это удобно мошенникам: вы не видите конечный адрес. Перед открытием такую ссылку лучше раскрыть и посмотреть, куда она ведёт.

Странные символы — красный флаг

Если в адресе много процентов, непонятных символов, кириллицы в латинском домене или вида вроде xn--, не открывайте ссылку без проверки. Иногда так маскируют похожие буквы или прячут настоящий домен.

Перенаправления могут уводить далеко

Ссылка из QR-кода может сначала вести на один адрес, потом перенаправить на второй, третий и только затем открыть страницу. Опасность часто не в первой ссылке, а в финальной. Если сервис проверки показывает цепочку перенаправлений, смотрите именно конечный домен.

Какой способ проверки выбрать

Способ Что даёт Когда использовать Ограничения
Камера с автооткрытием Быстро открывает ссылку Только для доверенных QR-кодов: внутри официального приложения, на проверенном документе, в знакомом сервисе Не даёт времени проверить адрес до перехода
QR-сканер с предпросмотром Показывает URL до открытия Для повседневной проверки QR-кодов на улице, в кафе, на парковке, в письмах и объявлениях Нужно выбрать надёжное приложение и отключить автопереходы
Офлайн-декодер или сканер без отправки данных Показывает содержимое кода без загрузки в интернет Для личных QR-кодов: билетов, пропусков, документов, рабочих доступов Нужно убедиться, что приложение не передаёт данные на сервер
Онлайн-проверка ссылки Помогает раскрыть короткие ссылки и посмотреть репутацию адреса Для незнакомых публичных QR-кодов и подозрительных ссылок Не стоит загружать коды с персональными или корпоративными данными
Ручной ввод адреса в браузере или приложении Позволяет обойти QR-код полностью Для банков, госуслуг, платежей, рабочих систем и важных аккаунтов Медленнее, но безопаснее при высоком риске

Сценарии: что делать в разных ситуациях

QR-код пришёл в письме или SMS. Не сканируйте сразу. Если сообщение якобы от банка, доставки, маркетплейса или работодателя, откройте официальное приложение или введите адрес вручную. Письмо и SMS легко подделать, а QR-код там часто нужен именно чтобы вы не смотрели на домен.

QR-код на парковке, в кафе или на улице. Используйте сканер с предпросмотром. Если адрес не похож на официальный домен оператора, города или заведения, не вводите данные карты. Лучше заплатить через официальное приложение или попросить чек другим способом.

QR-код на официальном документе. Даже если документ выглядит настоящим, проверьте домен. Мошенники могут наклеить свой QR-код поверх настоящего или прислать поддельный PDF. Если речь о платеже или входе в аккаунт, перепроверьте адрес через официальный сайт.

QR-код для входа в аккаунт. Будьте особенно осторожны. Некоторые сервисы позволяют войти, отсканировав код на экране компьютера. Если вы сканируете чужой QR-код и подтверждаете вход, вы можете дать доступ к своему аккаунту на неизвестном устройстве. Для таких действий используйте только свой компьютер и свой браузер.

QR-код в рабочем чате или корпоративной системе. Не используйте случайные онлайн-сервисы для проверки. Лучше открыть ссылку через корпоративный браузер, антивирус или систему защиты, а подозрительный код отправить в ИТ- или информационную безопасность.

QR-код на билете, пропуске или личном документе. Не загружайте его в публичные онлайн-декодеры. Внутри может быть не только ссылка, но и уникальный код, номер заказа или персональные данные. Для таких случаев лучше использовать офлайн-сканер или официальное приложение.

Частые ошибки при проверке QR-кодов

  • Нажимать «Открыть» сразу после сканирования. Это главный риск: ссылка может быть короткой или замаскированной, а браузер откроется раньше, чем вы поймёте адрес.
  • Доверять внешнему виду страницы. Логотип, форма бренда и красивый дизайн ничего не доказывают. Фейковые страницы часто копируют внешний вид почти один в один.
  • Считать HTTPS гарантией безопасности. HTTPS нужен, но он не подтверждает честность сайта.
  • Проверять только первую часть ссылки. Финальный домен после перенаправления может отличаться от того, что вы увидели сначала.
  • Вводить пароль или код из SMS после перехода по QR-коду. Если страница просит данные сразу после сканирования, лучше остановиться и открыть сервис вручную.
  • Сканировать наклейки поверх настоящих QR-кодов. На парковках, самокатах, терминалах и объявлениях злоумышленники могут заклеить настоящий код своим.
  • Использовать первый попавшийся онлайн-декодер. Для публичной ссылки это ещё терпимо, но для личных и рабочих QR-кодов такая проверка может создать отдельную утечку.

Как лучше сделать: короткий рабочий порядок

Я бы держал в голове простой порядок действий. Он занимает меньше минуты, но отсекает большинство рисков.

  1. Наведите камеру или сканер так, чтобы увидеть текст ссылки, но не нажимайте «Открыть».
  2. Скопируйте адрес и посмотрите домен.
  3. Если ссылка короткая — раскройте её.
  4. Если адрес незнакомый — проверьте его в репутационном сервисе.
  5. Если нужен вход, оплата или данные карты — лучше не идти по ссылке, а открыть официальный сайт или приложение вручную.
  6. Если QR-код выглядит подозрительно, наклеен поверх другого или пришёл в неожиданном сообщении — не используйте его.

Когда можно открыть ссылку без лишних проверок

Полностью убрать риск нельзя, но есть ситуации, где он заметно ниже. Например, QR-код внутри официального приложения банка, на экране вашего личного кабинета, в уже открытом рабочем сервисе или на документе, который вы получили из проверенного канала.

Но даже там лучше смотреть на контекст. Если вы не ожидали оплату, вход, подтверждение доступа или скачивание файла, остановитесь. Мошенники часто играют на спешке: «оплатите сейчас», «код действует 5 минут», «иначе заказ отменят». Именно в этот момент люди перестают смотреть на адресную строку.

Итог

Защита от malicious QR-codes строится не на запрете QR-кодов, а на паузе между сканированием и переходом. Используйте сканер с предпросмотром, отключите автооткрытие ссылок, проверяйте домен, раскрывайте короткие ссылки и не вводите пароли, коды и данные карт на страницах, открытых из сомнительного QR-кода.

Если сомневаетесь, не сканируйте повторно и не ищите «безопасный» способ открыть подозрительную ссылку. Откройте официальный сайт или приложение вручную. Это медленнее, но в большинстве случаев намного безопаснее.

Оцените статью
PEFile — Безопасность и технологии простым языком