24 марта 2026

10 минут чтения

Обновлено: 24 марта 2026

Автор: Анастасия Черникова

QR-код ведёт на поддельный сайт банка? Как распознать ловушку и защитить деньги

Q: Могут ли мошенники подделать QR-код на банкомате?

Да. Они приклеивают бумажные наклейки поверх оригинальных кодов. Прежде чем сканировать код на банкомате, потрогайте его пальцем — оригинальный код нанесён на поверхность устройства, а не наклеен сверху.

Мы привыкли, что QR-код — это быстро и удобно. Навести камеру и получить меню в кафе, оплату парковки, ссылку на скидку. Именно это удобство и стало оружием в руках злоумышленников.По оценкам аналитиков в области кибербезопасности, каждый пятый случай кражи платёжных данных в России сегодня связан с поддельными QR-кодами. Разбираем, как работает схема, где вас поджидает ловушка и как защитить свои деньги.

Содержание:

Как мошенники используют QR-коды Где чаще всего прячут ловушку Как избежать QR-фишинга: пошаговая инструкция Памятка: что можно и нельзя делать Как защитить свои деньги: профилактика Что говорит закон Частые вопросы

Как мошенники используют QR-коды

Механика QR-фишинга проще, чем кажется. Злоумышленники создают точную копию сайта банка, Госуслуг, налоговой или популярного маркетплейса. Те же цвета, логотип, структура страницы. Единственное отличие — адрес в строке браузера. Затем генерируется QR-код, который ведёт на этот фишинговый сайт. Его размещают там, где людям удобно его сканировать.

Жертва наводит камеру на код, попадает на поддельную страницу и вводит данные — номер карты, cvv, логин, пароль. Всё это мгновенно уходит к преступникам. Сам процесс занимает меньше минуты, и жертва долго не подозревает, что произошло.

Где чаще всего прячут ловушку

Поддельные наклейки в городе

Это самый распространённый сценарий офлайн-мошенничества с QR-кодами. Злоумышленники печатают собственные коды на обычной бумаге и приклеивают их поверх настоящих — на паркоматах, терминалах оплаты, стойках аренды самокатов и велосипедов, в общественном транспорте.

Отдельная схема — объявления на дверях подъездов. «Уважаемые жители! В связи с перерасчётом ЖКХ просим оплатить задолженность по QR-коду до 25 числа». Стиль официальный, печать солидная, QR-код прилагается. Люди сканируют — и попадают на поддельный сайт управляющей компании или банка.

Электронные письма от имени госорганов

Мошенники активно рассылают письма якобы от ФНС, Социального фонда России, Росреестра и других ведомств. Содержание стандартное: «Обнаружена задолженность по налогу», «Вам полагается налоговый вычет», «Требуется уточнение данных». В письме — официальный логотип, грамотный текст и QR-код для «мгновенной оплаты» или «получения выплаты».

Особая деталь, которая усыпляет бдительность: если позвонить по телефону, указанному в письме, трубку снимет «специалист» и убедительно подтвердит подлинность обращения. На самом деле это тоже часть схемы.

Письма от маркетплейсов и сервисов

Ещё один распространённый сценарий — письмо о проблемах с оплатой. «Ваш платёж не прошёл», «Изменилась стоимость доставки, доплатите разницу», «Для подтверждения заказа отсканируйте код». Такие письма имитируют стиль Wildberries, Ozon, Яндекс Маркета или крупных банков. Расчёт на то, что человек ждёт заказ и не задумываясь сканирует код.

ОТКРЫТЬ СЕЙВ

Получайте доход по накопительному счёту или вкладу каждый день

Открыть сейв

Как избежать QR-фишинга: пошаговая инструкция

Шаг 1. Осмотрите код до сканирования

Наклейка на наклейке — главный признак подмены. Оригинальные коды на официальных объектах наносятся типографским способом, гравировкой или встраиваются в конструкцию терминала. Бумажный стикер, приклеенный сверху, — это почти всегда поддельный QR-код.

Следы повреждений. Потёртости, задранные края, следы того, что наклейку пытались снять и переклеить — всё это поводы насторожиться.

Нестандартный материал. Бумажный скотч на металлическом корпусе банкомата, обычная принтерная бумага на пластиковом паркомате — несоответствие материалов говорит о подмене.

Если что-то выглядит не так — не сканируйте. Оплатите парковку в официальном приложении или через браузер.

Шаг 2. Проверьте ссылку до перехода — самый важный шаг

Это действие, которое спасает деньги в большинстве ситуаций. Современные смартфоны показывают ссылку из QR-кода до того, как вы куда-либо перешли. Используйте это.

На iPhone: камера выводит уведомление с адресом — внимательно прочитайте URL до того, как подтвердить переход.

На Android: большинство камер и QR-сканеров показывают ссылку в нижней части экрана — не торопитесь нажимать «Открыть». Google Объектив также всегда показывает адрес ссылки, прежде чем её открыть. Он интегрирован в поиск от Google, его можно использовать в том числе на iOS.

Онлайн-декодеры: сделайте скриншот кода, и загрузите на сайты типа code-qr.ru или webqr.com. Они отобразят текстовое содержание кода без перехода по нему.

Что проверять в адресе:

Сокращённые ссылки bit.ly, clck.ru, tinyurl и подобные — это риск. Вы не видите, куда в итоге попадёте. Официальные банки и госорганы не используют сокращатели ссылок для платёжных страниц.
Ошибки в домене. Например, вместо sberbank.ru — sberbank-online.ru или sberbank-oplata.com. Вместо gosuslugi.ru — g0suslugi.ru, буква «о» заменена нулём. Официальный сайт ВТБ — vtb.ru, а не vtb-pay.ru или vtb.com.ru.
Бессмысленный набор символов. Адрес из случайных букв и цифр — верный признак мошеннической ссылки.

Если адрес вызывает хотя бы малейшее сомнение, закройте его и найдите официальный сайт вручную через поисковик.

Шаг 3. Проверьте сайт, если всё же перешли

Предположим, вы перешли по ссылке. Теперь внимательно осмотрите страницу, прежде чем что-либо вводить.

Красные флаги:

Сайт просит ввести номер карты, срок действия и cvv-код. Официальные сервисы никогда не запрашивают cvv для верификации.
Запрос логина и пароля от почты, соцсетей или «Госуслуг» — на платёжной странице это не нужно.
Предложение отправить смс на короткий номер.
Кнопка «Скачать приложение» с загрузкой APK-файла напрямую с сайта, а не из Google Play, App Store или RuStore.

Проверьте адресную строку браузера после загрузки страницы. Фишинговые сайты иногда делают редирект: код ведёт на один адрес, а страница открывается уже на другом.

Шаг 4. Если вы ввели данные карты — экстренные действия

Это критическая ситуация.

Немедленно заблокируйте карту. Откройте приложение банка или Яндекс Пэй и заблокируйте карту прямо там — это занимает несколько секунд. Не ждите, пока дозвонитесь на горячую линию или ответит техподдержка.

Позвоните в банк. Наберите номер с официального сайта или с обратной стороны карты. Сообщите: «Я ввёл данные карты на подозрительном сайте, карта скомпрометирована».

Закажите перевыпуск. Даже если деньги не успели списать — старыми реквизитами пользоваться нельзя. Банк выпустит новую карту с новым номером и cvv.

Если вводили пароль от важного аккаунта — «Госуслуг», почты, банка — немедленно зайдите в этот сервис и смените пароль. Включите двухфакторную аутентификацию, если ещё не сделали этого.

БЕСПЛАТНАЯ 
КАРТА ПЭЙ

Платите полностью с кешбэком баллами Плюса или сплитуйте оплату на части

Открыть за минуту

Памятка: что можно и нельзя делать

Нельзя

Сканировать коды без визуального осмотра носителя
Сразу переходить по ссылке из QR-кода
Переходить по сокращённым ссылкам из QR-кодов
Вводить сcv и пароли на незнакомых сайтах
Скачивать APK-файлы со сторонних сайтов
Игнорировать ситуацию, если данные уже введены

Можно и нужно

Проверить, нет ли наклейки на наклейке
Прочитать адрес в предпросмотре
Сверить домен с официальным адресом сервиса
Проверить адресную строку после перехода
Устанавливать приложения только из официальных магазинов
Немедленно заблокировать карту и позвонить в банк

Как защитить свои деньги: профилактика

Грамотная профилактика снимает большинство рисков ещё до того, как вы встретите мошеннический QR-код.

Заведите виртуальную карту для онлайн-платежей. В приложении Яндекс Пэй можно выпустить отдельную виртуальную карту специально для интернет-покупок и оплат по QR-кодам. Держите на ней ровно столько денег, сколько нужно для конкретного платежа. Если данные такой карты окажутся у мошенников — основной счёт останется нетронутым, а скомпрометированную карту можно мгновенно заблокировать и выпустить новую прямо в приложении.

Подключите push-уведомление о каждой операции. Если деньги списались без вашего ведома, вы узнаете об этом в ту же секунду и успеете заблокировать карту до следующего списания.

Проверяйте информацию в официальных источниках. Получили письмо от налоговой с QR-кодом для оплаты задолженности? Не сканируйте. Зайдите в личный кабинет налогоплательщика на официальном сайте ФНС — там отображаются все реальные задолженности. Если долга там нет — письмо поддельное.

Относитесь к неожиданным QR-кодам с подозрением. Внезапный подарок, непрошеная скидка, срочный долг, перерасчёт ЖКХ — если это пришло через QR-код в письме или на случайной листовке, вероятность обмана очень высока.

Что говорит закон

Действия мошенников, которые создают поддельные QR-коды и фишинговые сайты, квалифицируются по российскому законодательству как кража с банковского счёта по ст. 158 УК РФ или мошенничество с использованием электронных средств платежа по ст. 159.3 УК РФ. Накащание — вплоть до лишения свободы на срок до 6 лет. Это не мелкое хулиганство, а серьёзное уголовное преступление.

Если вы стали жертвой — обязательно подайте заявление в полицию — лично или через mvd.ru). Каждое такое обращение помогает следователям отследить и пресечь мошеннические схемы.

Частые вопросы

Могут ли мошенники подделать QR-код на банкомате?

Я отсканировал код, но ничего не вводил. Теперь я в безопасности?

В большинстве случаев — да. Простой переход по ссылке редко приводит к краже данных без ваших дальнейших действий. Однако на всякий случай запустите антивирусную проверку: некоторые вредоносные страницы пытаются автоматически скачать файлы.

Как Яндекс Пэй защищает от таких мошенников?

Сразу тремя способами. Во-первых, вы можете выпускать виртуальные карты для разных целей и держать на них минимальную сумму. Во-вторых, любую карту можно заблокировать в несколько кликов прямо в приложении. В-третьих, мгновенные push-уведомления о каждой операции позволяют отреагировать до того, как деньги окончательно выведены.

Куда жаловаться на мошеннический QR-код?

Сразу в несколько мест: в службу безопасности банка, выпустившего карту; в полицию — лично или через mvd.ru; в организацию, от имени которой было отправлено поддельное письмо, например, в ФНС — через официальный сайт. Если вы обнаружили физическую наклейку с поддельным кодом — сфотографируйте её и также передайте фото в полицию.

Могут ли украсть деньги, если я просто отсканировал код?

Нет. Само по себе сканирование QR-кода не даёт мошенникам доступа к вашим данным или деньгам. Кража происходит только тогда, когда вы вводите свои данные на поддельном сайте или скачиваете вредоносное приложение. Именно поэтому проверка ссылки в предпросмотре — это действие, которое обрывает цепочку мошенничества в самом начале.

ОТКРЫТЬ СЕЙВ

Получайте доход по накопительному счёту или вкладу каждый день

Открыть сейв

Анастасия Черникова

Автор Яндекс Пэй