Квішинг (QR-код фішинг): як він працює та як його зупинити

Квішинг це фішинг, доставлений через QR-код. Зловмисник кодує шкідливу URL всередині квадрата пікселів, кидає її в корпоративний лист або друкує поверх легітимної вивіски, і дозволяє телефону цілі зробити решту. Email-фільтри бачать зображення, а не посилання. Жертва сканує на персональному пристрої, що сидить поза кожним корпоративним контролем безпеки. Ця невідповідність робить квішинг ефективним.

Квішинг це фішингова техніка, де зловмисники кодують шкідливу URL всередині QR-коду та доставляють її через електронну пошту, друкований матеріал або фізичне розміщення. Коли ціль сканує код, її телефон відкриває сторінку збору облікових даних, запит OAuth-згоди або drive-by завантаження. Назва поєднує “QR” та “phishing”.

Атака має чітку структурну перевагу над звичайним фішинговим посиланням. Шлюз безпеки електронної пошти може парсити URL, переписувати їх та перевіряти проти розвідки загроз за мілісекунди. Він не може прочитати картинку. І навіть коли email-шлюз правильно декодує QR-код, сканування зазвичай відбувається на персональному телефоні, що живе поза кожним корпоративним контролем, який ваша команда налаштувала.

Згідно зі звітом Abnormal Security 2024, обсяги фішингу через QR-код зросли більш ніж на 400% у другій половині 2023 року порівняно з тим самим періодом роком раніше. HP Wolf Security з тих пір задокументував стабільні кампанії, що імітують Microsoft 365, DocuSign та внутрішні HR-портали через 2024 і в 2025.

Три властивості роблять квішинг важким для зупинки звичайними інструментами.

Email-шлюзи ніколи не були побудовані для зображень. Secure Email Gateway інспектує URL, вкладення та репутацію відправника. QR-коди сидять усередині файлу зображення, а деякі зловмисники тепер будують код у HTML-таблицях або ASCII-арті, тож він навіть не реєструється як зображення. Microsoft, Proofpoint та Abnormal додали декодери на рівні зображень, але виявлення непослідовне, особливо коли URL ланцюжиться через три або чотири переадресації перед посадкою.

Атака стрибає на некерований пристрій. Жертва читає лист на керованому ноутбуці за веб-проксі та агентом кінцевої точки. Вона сканує код персональним телефоном, у якого немає проксі, немає DNS-фільтра і немає DLP-клієнта. Крадіжка облікових даних відбувається на пристрої, який команда безпеки не може побачити.

Привід поєднує авторитет з низьким тертям. Друкована заявка, що каже “скануйте для швидкого повторного запису MFA”, поєднує знайомий бренд із фрикційною дією. Банки, паркомати, ресторани та логістичні перевізники навчили людей сканувати коди, не задумуючись. Зловмисники експлуатують цю набуту поведінку прямо.

Електронна пошта залишається найпоширенішим шляхом доставки, але не єдиним.

Корпоративна пошта з QR-код приманками. Найзадокументованіший варіант. Повідомлення імітують реєстрацію Microsoft Authenticator, повторну автентифікацію DUO, конверти DocuSign, сповіщення про спільний доступ SharePoint та оновлення внутрішньої HR-політики. Деякі листи прямо стверджують, що процес “працює лише на мобільному”, щоб виправдати формат QR. Cofense та Perception Point обидва відстежили сплески цього у 2024, з логіном Microsoft 365 як переважною ціллю.

Накладки фізичних плакатів та вивісок. Зловмисники друкують маленьку QR-наклейку та розміщують її поверх легітимного коду на паркоматах, меню ресторанів або машинах транзитних квитків. Internet Crime Complaint Center ФБР видав публічну рекомендацію в січні 2022 після того, як підроблені коди паркоматів в Остіні, Сан-Антоніо та інших містах перенаправили водіїв на шахрайські платіжні портали. Той самий сценарій тепер зʼявляється на бейджах конференцій та лобі-вивісках.

Поштові повідомлення та сповіщення про посилки. Швейцарський National Cyber Security Centre (NCSC) попередив наприкінці 2023 про фізичні листи, що імітують швейцарську поштову службу, з QR-кодами, які завантажували Android банківські трояни. Споживачі США повідомили про подібні шахрайства, надіслані як повідомлення IRS, оновлення пільг та інвойси платних доріг.

Внутрішні документи після початкового злому. Щойно зловмисники отримують доступ до одного корпоративного акаунту, вони вбудовують QR-коди у внутрішні wiki, спільні PDF та піни Slack. Вони несуть вищу довіру, бо приходять “зсередини”, і вони обходять вихідне сканування електронної пошти повністю.

Багатоканальні комбінації. Квішинг добре поєднується з callback-фішингом. Один лист включає і QR-код, і номер телефону. “Скануйте або зателефонуйте для швидшого обслуговування.” Два шляхи атаки в одному повідомленні, і жоден не містить клікабельної URL.

Більшість порад з виявлення для фішингу на основі посилань не застосовуються до квішингу, бо немає посилання, на яке можна навести курсор. Використовуйте цю чотирикрокову перевірку замість.

Запитайте, чому відправник обрав QR-код замість звичайної URL. Внутрішні системи та легітимні сервіси завжди мають навігаційні сторінки входу, тож QR-код у корпоративному листі майже завжди непотрібний і підозрілий.

Якщо лист стверджує, що від IT, HR або вендора, уявіть, як вони зазвичай попросили б цю дію. Внутрішні скидання паролів відбуваються всередині ідентифікаційного провайдера. DocuSign надсилає посилання на конверт. Microsoft надсилає глибоке посилання на свій власний портал. QR-код коротко замикає кожен з цих очікуваних потоків, що є точкою для зловмисника та червоним прапором для читача.

Інспектуйте фактичну адресу відправника, а не відображуване імʼя. Квішинг-листи імітують Microsoft, Google, DocuSign та ваш власний домен. Невідповідний або випадковий домен відправника залишається найсильнішим одиничним сигналом.

Відкрийте повні заголовки, якщо ваш поштовий клієнт їх ховає. Шукайте провали SPF, DKIM та DMARC. Повідомлення, що стверджує, що приходить від security@microsoft.com, але провалює DMARC, не від Microsoft, незалежно від того, наскільки чистий логотип виглядає.

І iOS, і Android коротко показують URL призначення перед відкриттям браузера. Прочитайте її. Якщо домен не відповідає заявленому відправнику, або це скорочувач URL на кшталт bit.ly, ставтесь до неї як до зловмисної і не натискайте.

Попрактикуйтесь з безпечним кодом спочатку. Відкрийте камеру, наведіть на відомий QR-код і чекайте, поки зʼявиться банер URL. Якщо ви не знали, що банер існує, ви не самі, і ви також цільова аудиторія для зловмисника, який очікує, що ви натиснете без читання.

Якщо повідомлення стверджує, що вам потрібно повторно автентифікуватися, перейдіть до сервісу прямо, ввівши URL самостійно. Ніколи не використовуйте контактний метод, наданий у підозрілому повідомленні.

Те саме правило застосовується до фізичних кодів. Якщо QR-код паркомата виглядає не так, заплатіть через офіційний додаток або за опублікованим номером телефону. Якщо лист стверджує, що від вашого банку, зателефонуйте за номером на звороті вашої картки. Перевірка поза каналом перемагає весь клас атак.

Кампанія федерального агентства США. Cofense розкрив наприкінці 2024 кампанію, що надсилала Microsoft-брендовані листи реєстрації MFA персоналу федерального агентства США. QR-коди вирішувалися в зворотний проксі Evilginx2, що збирав і облікові дані, і session cookies, дозволяючи зловмисникам обходити MFA на більш ніж 40 поштових скриньках, перш ніж кампанію вдалося стримати.

Spear-квіш в енергетичному секторі. Perception Point повідомив про цільову квішинг-кампанію у Q1 2025 проти операторів північноамериканського енергетичного підприємства. Приманка позувала як угода вендора DocuSign, а коди вказували на схожі SSO-сторінки, тематизовані для ідентифікаційного провайдера підприємства. Кілька операторів ввели облікові дані на персональних телефонах, і зловмисники використали доступ для подальшого етапу компрометації бізнес-пошти проти команди кредиторської заборгованості.

Шахрайство з паркоматами з прямими доларовими втратами. Рекомендація ФБР від січня 2022 залишається однією з найкраще задокументованих фізичних квішинг-подій. Поліція Остіна сама відстежила понад 20 підроблених паркоматів, і кілька водіїв повідомили про шахрайство з картками протягом годин після сканування. Окремі втрати варіювалися від кількох сотень доларів до кількох тисяч, щойно зловмисники протестували вкрадені деталі картки.

Якщо ваша історія реальних інцидентів не задокументована, правдоподібного сценарію достатньо для навчання. Логістична компанія отримує внутрішньо виглядаючий лист з QR-кодом і текстом “скануйте, щоб прийняти оновлений кодекс поведінки вендора”. Призначенням стає екран згоди Microsoft 365. Перший користувач, що сканує на телефоні, надає OAuth-додатку, контрольованому зловмисником, доступ до читання поштової скриньки. Протягом години зловмисник відповідає на треди інвойсів зсередини довіреного акаунту.

Жоден окремий контроль не зупиняє квішинг. Захист має охоплювати електронну пошту, пристрої та поведінку паралельно.

Застосовуйте правила email-фільтрів для вбудованих QR-кодів. Microsoft Defender, Proofpoint та Abnormal тепер декодують QR-коди всередині зображень і рендерять базову URL для інспекції. Увімкніть ці політики, потім налаштуйте їх для карантину повідомлень, що містять QR-код, зовнішнього відправника та будь-яку мову терміновості в тому ж тілі.

Заблокуйте додатки сканера QR з MDM. Більшість платформ дозволяють вимагати рідний додаток камери для сканування QR, блокувати завантажені збоку додатки сканера та змусити попередній перегляд URL перед навігацією. І iOS, і Android підтримують це через стандартні політики управління мобільними пристроями.

Запустіть квішинг у вашій програмі симуляцій. Загальні фішингові тести не будують правильного рефлексу, бо вони все одно винагороджують наведення на посилання. Включіть QR-код сценарії у вашу ротацію навчання фішинговим симуляціям та використовуйте безкоштовну вправу з QR-код фішингу, щоб кожен працівник зустрів один до того, як зустріне реальний.

Розгорніть менеджери паролів з блокуванням домену. Менеджер паролів, що автозаповнює лише на точному домені, де він зберіг обліковий запис, відмовиться заповнювати на квішинг-сторінці. Цей одиничний контроль перемагає збір облікових даних у більшості задокументованих кампаній.

Побудуйте надійний канал звітування про фішинг. Працівникам потрібна одна кнопка в їхньому поштовому клієнті та один короткий номер у корпоративному довіднику для звітування про підозріле повідомлення, чи це email, SMS або фізичний плакат. Звіти накопичуються. Третій працівник, що позначає квішинг-лист, часто рятує сьомого від падіння.

Аудитуйте фізичні вивіски та друковані матеріали. Призначте офіс-менеджерам щоквартальний обхід для інспекції плакатів, лобі-вивісок та конференційних роздаткових матеріалів на предмет підроблених QR-кодів. Маленьку наклейку, прикріплену поверх легітимного коду, дивовижно легко помітити, коли хтось дивиться.

Вимагайте phishing-resistant MFA. Апаратні ключі безпеки та платформні автентифікатори не можуть бути ретрансльовані adversary-in-the-middle проксі, що є тим, що більшість квішинг-наборів тепер включають. Одноразові коди можуть. Якщо ваш ідентифікаційний провайдер підтримує passkeys або FIDO2, це найефективніша зміна, яку ви можете зробити.

Обмежте зовнішню згоду OAuth. Багато квішинг-кампаній закінчуються в OAuth-додатку, контрольованому зловмисником, а не на клонованій сторінці входу. Microsoft 365 і Google Workspace дозволяють вимагати схвалення адміністратора для згоди стороннього додатку. Увімкніть для всього, що запитує сфери поштової скриньки, диска або календаря.

Три діляться метою і розходяться у каналі доставки. Традиційний фішинг приходить як email з клікабельною URL, а класичний захист полягає в тому, щоб навести на посилання, інспектувати домен і перевірити відправника. Смішинг приходить як текстове повідомлення і покладається на обрізання маленького екрану плюс довіру до персонального пристрою, щоб обійти корпоративні фільтри повністю.

Квішинг поєднує найгірші властивості обох. Повідомлення приходить у корпоративну пошту, але дія відбувається на персональному телефоні. Захищені email-шлюзи втрачають URL у зображенні, а мобільні браузери втрачають її в банері попереднього перегляду. Кожен канал потребує власного рефлексу виявлення, тому навчання, що покриває лише “наведіть на посилання”, залишає реальну прогалину.

Звички, специфічні для квішингу, достатньо вузькі, щоб навчити в одній короткій сесії, і достатньо цінні, щоб практикувати щоквартально. Сфокусуйте сесію на чотирикроковій перевірці вище, потім підкріпіть практичними вправами з каталогу кібербезпекової обізнаності.

Наша вправа з QR-код фішингу ставить учнів перед реалістичним корпоративним квішинг-листом, дозволяє їм попередньо переглянути призначення та проводить через рішення сканувати чи ні. Для ширшого охоплення безкоштовна навчальна бібліотека RansomLeak включає повʼязані вправи з callback-фішингу, смішингу та компрометації бізнес-пошти, бо квішинг рідко приходить сам.

Квішинг це варіант фішингу, що доставляє шкідливу URL через QR-код замість клікабельного посилання. Мета ідентична, але сигнали виявлення відрізняються, бо QR-код обходить фільтри на основі посилань і переносить атаку на телефон жертви.

Найкращі платформи безпеки електронної пошти декодують QR-коди всередині зображень та інспектують вбудовану URL, але показники виявлення непослідовні. Зловмисники використовують ланцюги переадресацій, репутаційні скорочувачі URL та розщеплення на кілька зображень, щоб заплутати сканери. Ставтесь до фільтрування шлюзу як до корисного шару, а не до повного захисту.

Жоден QR-код не безпечний за замовчуванням, включно з кодами, надрукованими брендами, яким ви довіряєте. Фізичні коди можуть бути перекриті наклейкою, а цифрові коди можуть бути підмінені у скомпрометованих email-тредах. Попередньо переглядайте призначення перед натисканням, щоразу.

Рідні додатки камери на iOS і Android обидва показують URL призначення як банер перед відкриттям браузера. Не встановлюйте сторонній додаток “QR-сканер” від невідомого видавця. Багато з цих додатків запитують широкі дозволи і самі можуть діяти як канал шкідливого ПЗ.

Сканування саме по собі не оголює облікові дані. Ризик починається, коли сторінка завантажується і запитує логін. Менеджер паролів, що блокує автозаповнення доменом, відмовиться заповнювати на схожому домені, що є корисною вторинною перевіркою, але первинне рішення полягає в тому, щоб не завантажувати сторінку взагалі.

Традиційне MFA з одноразовим кодом не зупиняє. Більшість квішинг-наборів передають код через проксі в реальному часі. Phishing-resistant MFA на кшталт апаратних ключів безпеки, passkeys або платформних автентифікаторів не можуть бути ретрансльовані і зупиняють атаку.

Принаймні раз на рік як частина навчання з фішингової обізнаності, плюс одна симуляція на квартал. Приводи QR-кодів еволюціонують швидше, ніж щорічні нагадування, тож коротка реалістична практика важливіша за довгі сесії.

Якщо ви ввели облікові дані, негайно змініть пароль на тому сервісі та відкличте активні сесії. Повідомте свою команду безпеки, збережіть оригінальний лист та перевірте на предмет неочікуваних OAuth-надань або правил пересилання поштової скриньки. Швидка дія часто є різницею між близьким викликом і повним захопленням акаунту.

Квішинг це не нова атака. Це трюк доставки, що конвертує добре зрозумілий ланцюг фішингу в той, що обходить email-фільтри і переносить крадіжку облікових даних на пристрій, який ви не можете моніторити. Виправлення це не один контроль. Це краще декодування електронної пошти, мобільні політики, phishing-resistant MFA і конкретний набір рефлексів для людей, що сканують коди.

Якщо ви хочете, щоб ваша команда зустріла реалістичний квішинг-лист у навчанні до того, як зустрінеться з ним у продакшені, почніть з безкоштовної вправи з QR-код фішингу і поєднайте її з ширшим каталогом кібербезпекової обізнаності.

• Abnormal Security, H2 2023 Email Threat Report
• Cofense, 2024 Annual State of Email Security Report
• HP Wolf Security Threat Insights
• FBI IC3 Public Service Announcement on QR Code Scams, January 2022
• Swiss NCSC Advisory, QR Code Phishing by Post, November 2023
• Verizon 2024 Data Breach Investigations Report