Quishing — кошмар для любого бизнеса

Чем крепче защита — тем креативнее атака

В сфере информационной безопасности есть закономерность, хорошо известная многим: чем серьезнее корпоративная защита, тем активнее злоумышленники ищут пути ее обхода. Периметр закрыт — они идут через подрядчика. Почта защищена — они пытаются попасть в нее через мессенджер. Сотрудники обучены распознавать фишинг — они пытаются использовать QR-коды. Корпоративный файрвол, MDM- и EDR- решения, антифишинг, обязательный VPN — все это прекрасно работает. Именно поэтому атакующие давно перестали тратить на них время. Они ищут возможности и уязвимости, которые компания не видит и не контролирует. И всегда их находят там, где никто этого не ждет.

Одним из быстро развивающимся решением для проведения кибератак являются QR-коды. Вы наверняка уже привыкли сканировать QR-код вместо того, чтобы вручную вписывать URL в строку браузера. Это быстро и удобно. Мы привыкли видеть QR-код вместо меню в ресторане, на скидочной акции в магазине, в письмах, в общественном транспорте, на онлайн-платформах, на стойке банка. Но все это уже готовая инфраструктура для атаки. Когда мы видим текст, то можем заметить несоответствие, странный домен или незнакомый адрес. Но в случае с QR-кодом невозможно понять, что скрывается на этом изображении. И это самая недооцененная угроза.

Что такое Quishing?

Quishing — от QR + phishing. Другими словами, это атака, в которой вредоносная ссылка спрятана внутри QR-кода. Визуально это обычный квадрат, а по факту — переадресация на поддельную страницу, созданную для сбора данных или загрузки вредоносного программного обеспечения на ваше устройство. Термин новый, в отличие от самого явления, но именно в 2023-2026 годах оно вышло из категории «редкий экзотический вектор» в категорию «массовая угроза».

По данным Keepnet Labs, доля QR-кодов среди всех фишинговых атак выросла с 0,8% в 2021 году до 12% в 2025 году. Рост только за 2023 год составил более 500%! Mimecast зафиксировал более 716000 уникальных вредоносных QR-кодов за один квартал 2025 года. Palo Alto Unit 42 фиксирует в среднем более 11000 вредоносных QR ежедневно в 2026 году.

Как работает Quishing атака: 5 шагов

1. Шаг 1 — Создание. Злоумышленник генерирует QR-код, ведущий на сайт, визуально идентичный ресурсу, на который вы предполагаете попасть. Например, сайт бренда, страницу входа Microsoft 365, сайт банка, сайт государственного портала и т.п.
2. Шаг 2 — Размещение. Код распечатывается в виде наклейки и крепится поверх оригинального QR-кода на афише, парковочном счетчике, меню ресторана, стойке банка или пересылается на корпоративную почту. Он выглядит так же, как и оригинал.
3. Шаг 3 — Сканирование. Человек сканирует его камерой своего смартфона.
4. Шаг 4 — Переадресация. Открывается отдельная страница (во многих случаях это точная копия оригинала), где пользователь вводит свои данные, регистрируется для участия в акции, подтверждает аккаунт, вводя свой логин и пароль, данные паспорта и т.д.
5. Шаг 5 — Кража. Имя, номер телефона, адрес электронной почты, данные банковской карты, корпоративные учетные данные, персональные данные — все уходит злоумышленнику. В некоторых случаях автоматически загружается вредоносное программное обеспечение без ввода каких-либо данных.

Статический и динамический QR-код

Многие компании используют динамические QR-коды — те, у которых можно менять конечный URL без перепечатки самого кода. Это удобно, так как позволяет редактировать содержимое в реальном времени, менять целевую ссылку, отслеживать статистику сканирований и устанавливать ограничения. Но именно эта гибкость делает динамические QR-коды опасными в руках злоумышленников. Если атакующий получает доступ к аккаунту в сервисе типа QR Tiger, Bitly или аналогичных, то он меняет конечный URL без какого-либо следа на физическом носителе. Афиша та же, код тот же, а страница уже чужая.

Статический QR-код такой атаке не подвержен: URL зашит в сам код, который нельзя изменить без его замены. Но и аналитику с него не получить.

Почему физическая наклейка — идеальный вектор

Потому что ее не проверяет ни один цифровой инструмент. Email-фильтр, антивирус, корпоративный прокси — все это работает в цифровом канале. Человек, проходящий мимо уличной афиши и достающий смартфон, — полностью за пределами любого периметра безопасности. Для изготовления такой наклейки не нужен бюджет. Не нужны и навыки программирования. Нужны 10 минут и принтер.

Реальные случаи

• Sophos, 2024 год — взломали компанию по кибербезопасности. Сотрудники Sophos получили письма о льготах с PDF-вложением. Внутри – QR-код с пометкой «документ истекает через 24 часа». Один сотрудник отсканировал его смартфоном. Атакующий получил учетные данные и MFA-токен в реальном времени и немедленно попытался войти во внутренние системы компании.
• Barracuda Networks, октябрь 2024 года — 500000 писем за один раз. Исследователи Barracuda зафиксировали более полумиллиона фишинговых писем с QR-кодами, встроенными в PDF-вложения. Цель — корпоративные аккаунты Microsoft 365. Письма прошли через большинство корпоративных фильтров, потому что вредоносного URL в тексте не было — он был спрятан в изображении.
• IRS Dirty Dozen, 2026 год — государственное предупреждение США. В 2026 году налоговая служба США включила quishing в официальный список «Dirty Dozen» — 12 наиболее опасных налоговых мошенничеств года. Схема: поддельные письма от имени IRS с QR-кодом, ведущим на страницу сбора номеров социального страхования, данных налоговой декларации и банковских реквизитов. Отдельно зафиксирован случай, когда quishing-кампания против финансового учреждения привела к потерям в размере 2,3 млн. долларов после того, как сотрудники отсканировали QR-код из поддельного внутреннего служебного письма.
• Северная Корея, APT Kimsuky, 2025-2026 гг. — государственный уровень. Группа Kimsuky рассылала письма с приглашениями на несуществующие конференции. Внутри — QR-код, ведущий на страницу регистрации, а затем — клон Google Login для кражи токенов. После сканирования инфраструктура атакующих снимала цифровой отпечаток устройства (операционная система, IP-адрес, язык интерфейса, разрешение экрана и т.д.) и выдавала мобильно-оптимизированную страницу-клон Microsoft 365 или Okta. В январе 2026 года ФБР выпустило официальный flash-alert.

Как реагируют государства: Европа vs СНГ

Угроза уже признана на государственном уровне в Европе. Например, правительство Польши опубликовало официальное предупреждение на портале gov.pl еще в 2023 году, так как QR-системы там применяются во всех государственных органах и публичном секторе. В январе 2026 года ФБР выпустило официальный flash-alert, признав quishing вектором атаки, устойчивым к MFA. IRS включил его в список 12 главных угроз года.

В СНГ и на Южном Кавказе ни один государственный орган публичного предупреждения пока не выпустил. Об угрозе заявляли только коммерческие вендоры. Мы не нашли ни одного публично задокументированного случая quishing-атаки в Азербайджане, но это не значит, что их нет. Это значит, что о них не говорят.

Почему подобные атаки обходят любую защиту?

QR — это изображение, а не ссылка

Антифишинговые системы, корпоративные email-фильтры, браузерные расширения — все они обучены распознавать вредоносные URL в тексте. Ни один стандартный фильтр не читает, что внутри изображения «зашита» ссылка. Именно поэтому письма с QR-кодом в PDF проходят туда, куда обычный фишинг не попадает.

Антифишинговые фильтры слепы к картинкам

Когда злоумышленник вставляет QR-код в PDF — он убирает вредоносную ссылку из зоны видимости любого автоматического сканера. Письмо выглядит чистым. Вложение выглядит чистым. Угроза — внутри изображения, которое размещено внутри документа. По данным Seqrite Labs, около 25% всех фишинговых атак в конце 2024 года содержали QR-коды именно в PDF-файлах.

Смартфон вне корпоративного периметра

Корпоративный ноутбук — под контролем IT-департамента: MDM, EDR, VPN, прокси и политики безопасности. Личный смартфон сотрудника, которым он сканирует QR-код на улице — нет. Он в личной сети, без MDM, без корпоративного сертификата. Именно это ФБР зафиксировало как ключевой фактор в атаках Kimsuky. Жертв намеренно переводили с корпоративного устройства на смартфон за пределы любого EDR.

MFA больше не спасает

Классическая двухфакторная аутентификация построена на том, что атакующий не может использовать украденный пароль без второго фактора. Quishing-атаки высокого уровня обходят это через перехват сессионного токена в реальном времени. Схема выглядит следующим образом: жертва вводит логин и пароль на поддельной странице -> страница передает данные на реальный сайт -> реальный сайт присылает MFA-запрос -> жертва подтверждает -> атакующий перехватывает уже авторизованную сессию. В итоге MFA сработало, но атакующий оказался внутри системы. «MFA failed» не появилось ни разу.

Цифры, которые объясняют масштаб угрозы

• 1,7 млн. уникальных вредоносных QR-кодов за 6 месяцев в 2024-2025 гг.
• Более 11000 вредоносных QR-детектов в день.
• Руководители компаний подвержены quishing-атакам в 42 раза чаще рядовых сотрудников.
• Только треть quishing-атак (36%) распознается и фиксируется.

Кто под прицелом в первую очередь?

Quishing не бьет случайно. У атакующих есть приоритеты.

• По отраслям: энергетика получает 29% всех quishing-писем с вредоносным программным обеспечением. Следом идут финансы, здравоохранение и образование. Именно там сосредоточена максимальная ценность учетных данных и наименьшая скорость реакции.
• По должностям: руководители C-level получают quishing-атаки в 42 раза чаще рядовых сотрудников. Причина проста: их учетные данные открывают доступ к большему числу систем, а их имена повышают доверие к письмам у подчиненных.
• По каналам: 68% quishing-атак целенаправленно ориентированы на мобильных пользователей. И это не случайно, так как смартфон находится вне корпоративного периметра, без EDR, без корпоративного прокси.
• По векторам размещения: наиболее распространенные точки физических атак — аэропорты, парковочные счетчики и платежные терминалы, меню ресторанов, бейджи и материалы конференций, корпоративные стенды и объявления внутри офиса, а также поддельные уведомления о доставке с QR-кодом.

Как защититься

• Динамический QR. Только с защищенного аккаунта с 2FA. Если кто-то «угонит» аккаунт в QR Tiger, Bitly или аналогах, то он изменит конечный URL без замены кода на носителе. Двухфакторная аутентификация на аккаунте сервиса обязательна.
• Регулярно проверять физические носители. Каждая точка размещения QR-кода требует периодической физической проверки. Наклейка поверх оригинала — это 10 секунд работы атакующего и рулон этикеток за копейки. Проверка — тоже 10 секунд.
• Домен посадочной страницы рядом с кодом. Люди должны видеть, куда ведет QR-код, еще до сканирования. Домен рядом с кодом — не лишний текст! Это элемент доверия и возможность верификации.
• Обучение команды — не только IT. Любой сотрудник, который использует смартфон на работе — потенциальная точка входа. Достаточно одного слайда на общем собрании или короткого инструктажа при онбординге: что такое quishing, как выглядит подмененный QR, что делать если что-то кажется подозрительным.
• Сканер с превью URL. iOS и Android показывают адрес назначения до перехода по ссылке. Введите корпоративное правило: всегда читать URL в превью перед нажатием. Если адрес незнакомый, сокращенный или вызывает сомнения — не открывать, сообщить в IT-отдел.
• MDM и корпоративные политики для мобильных устройств. Mobile Device Management позволяет применять URL-фильтрацию и политики безопасности на корпоративных телефонах.
• Настройка Microsoft Defender для анализа QR-кода в письмах. В Microsoft Defender for Office 365 есть функция декодирования QR-кодов из вложений с последующей проверкой URL.

Куда движется защита

Индустрия реагирует, но с отставанием. Вот какие инструменты уже разрабатываются в этой сфере:

• ИИ-анализ QR в реальном времени — решения нового поколения (включая то, что задокументировала 7AI) используют машинное обучение для декодирования и анализа URL внутри QR-кодов до того, как письмо попадает во входящие.
• Блокчейн-верификация — криптографически подписанные QR-коды, которые нельзя подменить без обнаружения. Пока на стадии пилотных проектов в финансовом секторе.
• Корпоративные реестры QR — верифицированные базы данных легитимных QR-кодов организации. Любой код вне реестра — подозрительный.
• OS-level защита — компании Apple и Google постепенно внедряют более строгие предупреждения при сканировании QR-кодов на уровне операционной системы. Пока эти инструменты не стали стандартом, единственная надежная защита — это осведомленность и процессы.

QR-код — это удобство. Именно поэтому ему доверяют и используют против вас. Вопрос не в том, будет ли атака. Вопрос в том, заметите ли вы ее раньше, чем она сработает.

Турал Рагимли, специалист по IТ-инфраструктуре и кибербезопасности для малого и среднего бизнеса