Будущее
09 декабря 2025, 17:00

Узнать состав и потерять деньги. Почему опасно сканировать все QR-коды подряд

Квадратиш, практиш, гуд?
В какой-то момент в мире стало так много информации, что появилась острая потребность как-то компактизировать хотя бы часть из нее — чтобы занимала меньше места и не лезла в глаза. Так человечество окружило себя QR-кодами. Эти характерные пиксельные квадратики буквально везде: ими маркируют продукцию, заменяют таблички в музеях, просят оплатить покупку с их помощью. Переводы по QR-кодам уверенно конкурируют с традиционными по номеру карты и телефону, и Росфинмониторинг вскоре будет контролировать их напрямую наравне с прочими. А в пандемию они прочно обосновались в нашей жизни как «пропуск на улицу». Что такое на самом деле QR-код, что можно сделать с его помощью и не опасно ли считывать своей камерой что попало — разобрались для вас.
Узнать состав и потерять деньги. Почему опасно сканировать все QR-коды подряд

© Коллаж: «Теперь вы знаете», создано при помощи нейросети

Материал проверил:

Павел Коваленко
директор Центра противодействия мошенничеству компании «Информзащита»

Что «под капотом» QR-кода

QR-код (от англ. Quick Response code — «код быстрого отклика») — двумерный (матричный) штриховой код, рисунок из черных квадратов на белом фоне. В них скрыта информация — чаще всего ссылка или команда, которую должно выполнить «прочитавшее» QR-код устройство.

Если проще, QR-код — это особый вид штрихкода, в котором с помощью пикселей зашифрована некая информация. Распознать его могут смартфоны и специальные считыватели с помощью камеры или сканера. Таким образом пользователь получает быстрый доступ к этой информации.

QR-коды универсальнее, чем обычные штрихкоды, потому что считываются не только по горизонтали, но и по вертикали и могут содержать в себе больше данных. Поэтому в последнее время они стали распространенным средством, чтобы разместить дополнительные сведения на товаре, удостоверениях, рекламных объявлениях.

Пример: Многие сталкивались с просьбой оплатить покупку QR-кодом — расположенный около кассы квадратик отсылает ваше банковское приложение к выставленному конкретной кассой счету.

Как и где появились QR-коды: краткий экскурс

Появлению такой диковины, как QR-коды, мы обязаны японцам. А конкретно — японской машиностроительной компании Denso.

Считается, что эту технологию придумал японский инженер Масахиро Хара, чтобы повысить эффективность работы заводов автозапчастей: до изобретения QR работникам приходилось во время производства и сборки сканировать на деталях десяток штрихкодов разных стандартов, отвечающих за разную информацию.

Разработку нового кода, который позволил бы вместить больше информации, Масахиро начал в 1992 году, а уже в 1994 году Denso представила готовую технологию.

На внешний вид и форму QR-кодов создателя вдохновила древняя китайская игра го, на которой игроки белыми и черными фишками выстраивали на чистой доске фигуры, стремясь «окружить» своими фишками противника.

QR-коды оказались весьма удобными не только для изначальной задачи, но и для других сфер применения. Так как эту технологию изначально сделали с открытым исходным кодом, в следующее десятилетие она широко распространилась по всему миру, а QR стал одним из самых часто используемых двоичных кодов.

Как работает QR-код

Каждый черно-белый пиксельный квадратик имеет обязательные элементы, которые позволяют считывающим устройствам идентифицировать его как QR-код. Это:

  • Собственно данные, зашифрованные двоичным кодом, где 1 — черный пиксель, а 0 — белый пиксель. Ячейки с зашифрованными данными группируются в более крупные узоры.
  • Метки позиционирования — три квадрата с квадратом внутри по трем из четырех углов (один квадрат для микро-QR). Они указывают, в каком направлении читать код.
  • Белая рамка («тихая зона») вокруг кода и меток, чтобы отделить их от остального массива информации.
  • Полосы синхронизации, чтобы можно было считать даже код, расположенный на неровной поверхности.
  • Маркер версии QR-кода, то есть сведения о формате, в котором закодированы данные. Всего их четыре: цифровое, буквенно-цифровое, двоичное и кандзи для японских иероглифов.
  • Блоки исправления ошибок Рида — Соломона, которые располагаются по краям и исправляют ошибки при чтении QR. Таким образом можно считать код, даже поврежденный на 30%.

QR-коды разделяются на виды в зависимости от предназначения и содержания. Они бывают:

  • статическими — открывают одну и ту же ссылку без возможности ее поменять (например, сайт компании или информационный текст);
  • динамическими — содержат короткую ссылку, которая переводит пользователя сначала на промежуточный ресурс, а потом на целевую страницу, которая может меняться (например, сезонная акция).

Также есть деление по размеру и объему зашифрованной информации:

  • «QR-код модель 1» позволяет кодировать до 1167 цифр (707 символов).
  • «QR-код модель 2» содержит шаблон выравнивания и имеет большую плотность данных, так что способен хранить до 7089 цифр (4296 символов).
  • Микро — компактный QR-код, который шифрует очень небольшой объем информации (например, на чеке или этикетке). У него есть только один шаблон позиционирования вместо трех, а вот размер может отличаться, несмотря на общее название. Самые маленькие кодируют до 35 цифр (21 символ).

Самый маленький QR-код имеет размер 21×21 пиксель, самый большой — 177×177 пикселей. Каждый код последующей версии больше предыдущего строго на 4 модуля по горизонтали и по вертикали.

© «Теперь вы знаете» / Рамка QR-кода, Том Нокс -CC-BY-SA-3.0/ FlippyFlink, Public domain, via Wikimedia Commons

Как считываются QR-коды

Сегодня для того, чтобы считывать QR-коды, не нужно специализированное оборудование — несколько последних поколений смартфонов сделаны с заложенной возможностью распознавать QR.

Для этого достаточно навести камеру смартфона на QR-код и дождаться, пока она «захватит» изображение — в этом случае код на экране смартфона подсветится рамочкой и появится надпись «открыть приложение» или «перейти по ссылке».

Даже если такой опции в камере по умолчанию нет, можно скачать приложение для чтения QR-кодов. Многие приложения также имеют внутренний считыватель QR-кодов.

Где применяют QR-коды: типичные и нетипичные места

QR-коды применимы везде, где нужно заключить много информации на малой площади. Например:

  • на кассах, чтобы оплатить покупку без комиссии банка за использование терминала для карт (часто за такой способ оплаты предлагают скидку или кешбэк!);
  • на визитках, чтобы дать потенциальным клиентам и партнерам больше информации о человеке и компании (ссылки на соцсети, дипломы, лицензии и т. п.);
  • на билетах, чтобы ускорить или автоматизировать проход на мероприятие/рейс;
  • на этикетках, чтобы дать пользователю возможность подробнее прочитать про продукцию;
  • на чеках в кафе, чтобы оставить официантам электронные чаевые через специальный сервис;
  • в качестве маркировки в дополнение к штрихкодам, чтобы подтвердить подлинность и происхождение товара;
  • в музеях и на выставках, чтобы дать посетителям возможность больше узнать о произведении искусства, но не перегружать пространство табличками;
  • на документах, чтобы подтвердить их подлинность через электронную базу;
  • в рекламных материалах, чтобы создать дополнительную вовлеченность, предложить потребителям пройти опрос, поучаствовать в конкурсе и т. п.
  • в публичных местах для доступа к Wi-Fi-сети — это быстрее и удобнее, чем вручную искать название сети и вбивать сложный код;
  • коды SQRC с личной информацией используются для предоставления разных уровней допуска к помещениям/документации/системам.

Опасность внутри кода: когда не стоит сканировать QR

У QR-кодов есть очевидный риск: люди не могут анализировать его «глазами», так что до тех пор, пока не наведете на него камеру и не прочитаете устройством, не узнаете, что за информация там зашифрована. А благодаря «вместительности» QR-кода туда можно поместить практически все что угодно. Иногда даже откровенный зловред.

Проще всего там спрятать фишинговую ссылку. Переходя по ней, вы ожидаете увидеть какой-то знакомый и полезный сайт. При этом, так как обычно для этого используется промежуточное звено в виде «короткой ссылки», можно не заметить, что адрес несколько отличается от нормального.

Если признаки обычных фишинговых ссылок (неправильный адрес сайта, опечатки, небезопасный сертификат, странные доменные зоны, редирект и т. п.) давно известны и визуально читаются, то по скоплению квадратов заранее определить подозрительность ссылки невозможно.

Там вас могут попросить войти, используя логин-пароль от другого сервиса, или, например, заполнить заявку, оставив персональные данные. И вуаля — эта чувствительная информация оказывается у преступников, которые нашли способ подсунуть вам QR-код.

Также такие QR-коды могут вести на какие-то не вполне легальные сайты, например на даркнет-ресурс (сайт «подпольного» интернета, где торгуют незаконными товарами и услугами) или сайт с контентом 18+. Довольно часто QR-коды лепят и рисуют на улицах.

Казалось бы, ничего особенно опасного, обычный человек просто закроет непонятный ресурс, куда ему не надо. Но распространение такой информации часто попадает под статью из УК. И просто представьте, что будет, если такой QR-код в публичном месте решат прочитать своим телефоном дети.

Также в QR-код можно вставить прямую ссылку на скачивание вредоносного ПО: вируса, трояна, шифровальщика или программы для скрытого майнинга. После сканирования такого кода устройство может инициировать загрузку и установку этого ПО, после чего все персональные данные пользователя оказываются под угрозой кражи.

Наконец, в QR-код можно положить платежные реквизиты для перевода, но надежный ли на другом конце контрагент — всегда вопрос со звездочкой.

Например, в конце 2024 года в России получила распространение схема разводки:

  • мошенники писали россиянам и представлялись налоговиками;
  • у жертв «находили» какие-то ошибки и неплатежи и угрожали конфискацией незадекларированных денег;
  • закрыть задолженность предлагали переводом через QR-код.

Вот только по итогам счета жертв оказывались полностью опустошены. Аферисты утверждали, что это техническая ошибка и средства вернутся через несколько дней — и пропадали с украденным.

Еще один популярный прием мошенников — наклеить свой код поверх настоящего. Например, в кафе на столиках или на афишах концертов могут появиться липкие «заменители», которые ведут уже не на страницу оплаты или официального сервиса, а на фишинговый сайт. Такой подлог сложно заметить, особенно если наклейка сделана качественно.

В последнее время набирает обороты и так называемый quishing — рассылка QR-кодов по электронной почте или в мессенджерах. Вместо привычной ссылки в письме прикладывается квадратик, который на первый взгляд выглядит безопаснее, но на деле ведет все туда же — на поддельные ресурсы.

Как защититься от вредоносного QR-кода

  • Внимательно проверять адреса сайтов, на которые ведут ссылки внутри QR-кодов.
  • Смотреть, соответствует ли содержимое открывшихся страниц тому, что было заявлено рядом с QR-кодом, и не вводить никакие персональные данные, логины и пароли, особенно если их требование кажется вам избыточным.
  • Не торопиться давать согласие на скачивание приложений и выполнение команд по QR-коду. Любое приложение надежнее скачивать из официальных магазинов, найдя поиском по названию. А если в сторах его нет, необходимость скачивания со стороннего ресурса должна заставить вас насторожиться и трижды все перепроверить.
  • Установить на устройство защитное решение со встроенным QR-сканером: такие программы проверяют ссылку, спрятанную в коде, и блокируют попытки перехода на недостоверный или опасный сайт.
  • Если возникает сомнение в подлинности кода, расположенного в каком-то заведении или на сайте, лучше обратиться к официальным представителям организации, якобы разместившей его.
  • Особенно внимательно стоит относиться к QR-кодам, которые ведут на короткие ссылки: они скрывают реальный адрес и делают сложнее проверку домена.
  • Если речь идет о платежных QR-кодах, надежнее использовать встроенные функции банковских приложений: многие из них автоматически проверяют реквизиты и предупреждают о подозрительных получателях.