Кардинг, как форма финансового мошенничества, включает кражу и использование данных платежных карт (номер, CVV, срок действия, имя владельца) для несанкционированных операций. Поддельные QR-коды стали мощным инструментом в этой схеме, поскольку они маскируют вредоносные ссылки под удобный способ оплаты, эксплуатируя доверие пользователей к технологиям быстрых платежей, таким как СБП (Система быстрых платежей) в России или аналогичные системы вроде FedNow в США. Этот подход известен как "quishing" (сочетание QR и phishing), и он позволяет кардерам собирать данные в реальном времени, обходя традиционные барьеры безопасности, такие как двухфакторная аутентификация или визуальная проверка URL.
По данным на 2025 год, quishing вырос на 51% по сравнению с 2022 годом, а 26% всех фишинговых кампаний используют QR-коды для распространения вредоносных ссылок. В первом квартале 2025 года было зафиксировано более 1 миллиона фишинговых атак, многие из которых включали QR-коды в email-рассылках. В России мошенники активно эксплуатируют рост СБП: с 2019 года объем платежей по QR вырос в десятки раз, что привело к новой волне атак, включая подмену кодов в общественных местах и фальшивые акции на маркетплейсах. Эти методы не требуют сложного оборудования — достаточно генератора QR-кодов и базовых навыков фишинга, — но они эффективны из-за человеческого фактора: urgency (срочность) и удобство сканирования.
В образовательных целях важно понимать, как эти методы эволюционируют, чтобы развивать осведомленность о рисках. Ниже я разберу ключевые подходы на high-level, без технических инструкций по реализации, опираясь на отчеты о тенденциях 2025 года.
Осознание этих методов помогает не только защищаться, но и понимать шире экосистему кибербезопасности. В 2025 году quishing остается топ-угрозой, но с ростом осведомленности (кампании от Proton Mail и других) случаи снижаются. Рекомендую изучать отчеты от APWG или NCSC для актуальных тенденций.
По данным на 2025 год, quishing вырос на 51% по сравнению с 2022 годом, а 26% всех фишинговых кампаний используют QR-коды для распространения вредоносных ссылок. В первом квартале 2025 года было зафиксировано более 1 миллиона фишинговых атак, многие из которых включали QR-коды в email-рассылках. В России мошенники активно эксплуатируют рост СБП: с 2019 года объем платежей по QR вырос в десятки раз, что привело к новой волне атак, включая подмену кодов в общественных местах и фальшивые акции на маркетплейсах. Эти методы не требуют сложного оборудования — достаточно генератора QR-кодов и базовых навыков фишинга, — но они эффективны из-за человеческого фактора: urgency (срочность) и удобство сканирования.
В образовательных целях важно понимать, как эти методы эволюционируют, чтобы развивать осведомленность о рисках. Ниже я разберу ключевые подходы на high-level, без технических инструкций по реализации, опираясь на отчеты о тенденциях 2025 года.
Основные методы кардинга с поддельными QR-кодами
Я расширю предыдущую таблицу, добавив подметоды, примеры из 2025 года и связанные риски. Методы классифицированы по векторам атаки: цифровые (онлайн), физические (оффлайн) и гибридные.| Категория | Метод | Описание | Примеры из практики (2025) | Риски и последствия |
|---|---|---|---|---|
| Цифровые (онлайн) | QR-фишинг через email/SMS (quishing в рассылках) | Мошенники рассылают фальшивые уведомления о "проблемах с оплатой", "возвратах" или "акциях" с QR-кодом, ведущим на поддельный сайт. Жертва вводит данные карты для "подтверждения", которые сразу используются для тестовых транзакций или вывода средств. | В 2025 году миллионы email с QR от "банков" или "магазинов" (например, фейковые от Сбербанка или Amazon) привели к краже данных; в России — SMS о "СБП-ошибке". | Кража полных данных карты; немедленные списания до 1000–5000 USD; данные продаются на dark web за 5–50 USD за карту. |
| Цифровые (онлайн) | QR в unsolicited-пакетах (brushing scams с QR) | Кардеры отправляют ненужные посылки с QR для "возврата" или "активации бонуса". Сканирование устанавливает malware или перенаправляет на фишинг-сайт для ввода данных. | В 2025 году рост в США и Европе: посылки без отправителя с QR, ведущими к malware; в России — комбо с фейковыми "возвратами" от маркетплейсов. | Установка вредоносного ПО (keyloggers); кража не только карт, но и доступа к устройству; долгосрочный мониторинг аккаунтов. |
| Цифровые (онлайн) | QR-redirect в P2P-платежах и мессенджерах | Фальшивые QR генерируются для "быстрого перевода" в Telegram, WhatsApp или соцсетях. Жертва сканирует для "оплаты" или "получения", но вводит данные на фейковом портале. | Telegram-боты для "обмена криптой" или "возвратов"; в 2025 году — bootcamps по кардингу обучают этому; в России — через СБП для анонимных переводов. | Быстрый вывод средств (до 100% баланса); комбо с voice phishing (deepfake звонки от "банка"). |
| Физические (оффлайн) | Физическая подмена QR-кодов | Мошенники наклеивают фальшивые стикеры с QR на паркоматы, банкоматы, меню в кафе, зарядные станции или киоски. Скан ведет на фейковый платежный портал. | В 2025 году: поддельные QR на парковках в Лос-Анджелесе (150+ случаев), ресторанах и зарядках в Финляндии; в России — на АЗС, кафе и маркетплейсах. | Финансовые потери (от 100 до тысяч USD); в общественных местах — массовая сборка данных; риски через СБП в России. |
| Физические (оффлайн) | QR в публичных объявлениях или постерах | Фальшивые QR на уличных плакатах, флаерах или даже в транспорте, маскирующиеся под "оплату услуг" или "акции". | В 2025 году: подмена в парковках и ресторанах; предупреждения о "quishing" в Великобритании и США, где жертвы теряют тысячи. | Массовый сбор данных; установка malware; жертвы часто не замечают до уведомлений о списаниях. |
| Гибридные | Динамический QR-jacking с AI-элементами | Перехват легитимных QR в приложениях (например, Venmo или банковских apps) и подмена на фейковые с помощью malware или AI-генерации. Жертва подтверждает "платеж" на поддельном сайте. | В 2025 году: интеграция с deepfake для верификации; рост в мобильных банках; в России — комбо с фейковыми "отменами" операций. | Полный захват аккаунта; комбо с ransomware; потери до миллионов в глобальном масштабе. |
| Гибридные | QR в комбо с voice/social engineering | QR сочетается с звонками (vishing) или сообщениями, где "сотрудник банка" просит сканировать для "отмены подозрительной транзакции". | В 2025 году: AI-deepfake аудио в звонках; фейковые "KYC" (know your customer) с QR; в России — под видом "банковских сотрудников". | Кража данных + психологическое давление; высокая конверсия (до 73% американцев сканируют без проверки). |
Как работают эти методы в контексте кардинга (high-level обзор)
- Подготовка: Кардеры генерируют QR с помощью общедоступных инструментов, ведущий на spoof-сайт (копия реального платежного портала, например, PayPal или СБП). Сайт запрашивает данные под предлогом "оплаты" или "верификации".
- Распространение: Через email, SMS, физическую подмену или соцсети. В 2025 году добавляются AI-элементы: персонализированные deepfake-уведомления для повышения доверия.
- Сбор и проверка: Жертва вводит данные — они проверяются малыми тестовыми транзакциями (1–5 USD). Валидные карты используются для покупок (goods flipping: покупка товаров для перепродажи) или вывода в крипту.
- Монетизация и лаундеринг: Деньги routed через "mules" (подставные счета) или криптообменники. Цикл завершается за 24–48 часов, до реакции банка. В России часто используется СБП для быстрых переводов без ввода данных.
- Эволюция в 2025: Рост AI для создания реалистичных фейковых сайтов и deepfake-звука; интеграция с malware для кражи геолокации или биометрии. Статистика: 73% американцев сканируют QR без проверки, что усиливает эффективность. В глобальном масштабе потери от quishing достигают миллионов долларов ежегодно.
Защита от этих методов: образовательные рекомендации
Чтобы минимизировать риски, фокусируйтесь на профилактике и осведомленности:- Проверка перед сканированием: Всегда предпросматривайте URL после сканирования (в iOS/Android это опция). Вручную вводите адрес сайта в браузере, если возможно.
- Использование официальных инструментов: Сканируйте только через банковские приложения (Сбер, Т-Банк, Venmo). Избегайте сторонних сканеров.
- Избегание urgency: Не сканируйте в спешке (парковка, "срочный возврат"). Проверьте источник: email от неизвестного? Посылка без заказа? Игнорируйте.
- Технические меры: Включите уведомления о транзакциях в банке; используйте виртуальные карты (одноразовые номера) для онлайн-платежей. Установите антивирус с защитой от фишинга (например, с блокировкой подозрительных URL).
- Для бизнеса и общественных мест: Генерируйте динамические QR (меняющиеся каждый раз); мониторьте подмены; информируйте клиентов о рисках.
- Если стали жертвой: Немедленно блокируйте карту через app/звонок в банк; сообщите в полицию (в России — в МВД или на горячую линию ЦБ); проверьте устройство на malware.
Осознание этих методов помогает не только защищаться, но и понимать шире экосистему кибербезопасности. В 2025 году quishing остается топ-угрозой, но с ростом осведомленности (кампании от Proton Mail и других) случаи снижаются. Рекомендую изучать отчеты от APWG или NCSC для актуальных тенденций.