Минулого місяця моя подруга оплатила «аренду» за парковку в центрі Києва. Вона просто відсканувала QR-код на стовпі. Через годину з’ясувалося: це був **фейковий код**, прикріплений поверх справжнього. Гроші зникли. Це не випадок — **QR-коди стали новим інструментом фішингу**. Раніше шахраї писали підроблені посилання в листах. Тепер вони друкують QR-коди і клеять їх поверх платіжних терміналів, паркоматів, POS-терміналів чи навіть меню в кафе. У цій статті я розкажу, чи можна довіряти QR-кодам, як вони працюють, які існують атаки та **як не втратити гроші чи дані**. Ви дізнаєтеся, як перевіряти QR перед скануванням, які сканери найбезпечніші та що робити, якщо вже потрапили. Бо сьогодні QR-код — це не просто зручність. Це **потенційна двері для шахраїв**.

Зміст статті:

Що таке QR-код і як він працює?

QR-код (від *Quick Response Code*) — це **чорно-білий квадрат**, який містить закодовану інформацію. Це може бути посилання, текст, номер телефону, SMS або дані для оплати.

Як відбувається сканування?

  1. • Ви наводите камеру на код

  2. • Сканер "читає" узор і перетворює його на текст

  3. • Якщо це посилання — відкривається сайт

  4. • Якщо це UPI/Portmone/LIQPAY — запускається платіж

⚠️ Важливо: QR-код **не має вбудованої безпеки**. Він не перевіряє, чи сайт справжній. Він просто відкриває те, що в ньому записано.

👉 Приклад:

  • • Справжній QR на паркоматі: https://parking.kyiv.ua/pay/12345

  • • Фейковий QR: https://fake-parking.net/pay/12345 — виглядає схоже, але шахрайський

⚡ Наприклад:

У Львові шахраї наклеїли свої QR-коди на POS-термінали в кафе. Клієнти платили — а гроші йшли прямо їм.

Як працюють атаки через QR-коди?

Шахраї не видумують нове. Вони **замінюють або приховують** справжні QR-коди.

Типи атак з QR-кодами

  • 1. Заміна коду (QR code swap) — шахрай друкує свій код і наклеює поверх справжнього (паркомат, термінал оплати проїзду, донат)

  • 2. Фішингові листи з QR — "Скануйте, щоб переглянути рахунок", але це веде на фейковий банк

  • 3. Підроблені меню в ресторанах — ви скануєте QR, а потрапляєте на сайт, який вимагає ваш email, телефон, навіть картку

  • 4. Атака "man-in-the-middle" — ви скануєте код, а вас редіректять через проміжний сайт, де збирають дані

  • 5. Шкідливі додатки — QR веде на сайт, який просить завантажити "офіційний додаток", а це вірус

✅ Перевага для шахраїв: люди не сумніваються в QR-кодах. Вони вважають: "Розмістили ж у кафе — значить, легально".

👉 Приклад:

QR-код на автобусній зупинці веде на сайт, який імітує "Київенерго". Ви вводите особисті дані — і вас обманено.

👉 Реальні приклади фішингу з QR у 2024–2025

Це не теорія. Такі випадки реєструють у всьому світі, включаючи Україну.

1. Київ, паркомати (2024)

На кількох паркоматах у центрі були наклеєні фейкові QR-коди. Оплата йшла на приватну карту. Збитки — понад 200 тис. грн.

2. Львів, кафе (2025)

Відвідувач сканував QR-меню, а потрапляв на сайт, який вимагав SMS-підтвердження. Після цього з’являвся рахунок на 999 грн. Багато хто платив.

3. Онлайн-подарунки

Лист: "Ваш подарунок чекає! Скануйте QR". Код веде на фейковий сайт AliExpress, де вимагають "підтвердження доставки" за допомогою карти.

4. Державні послуги

Фейкові QR-коди на оголошеннях про "оплату штрафу ДАІ" ведуть на підроблені сайти Державтоінспекції.

⚠️ Важливо: Навіть якщо код розміщено "офіційно" — це не гарантія безпеки.

⚡ Наприклад:

У Харкові знайшли QR-код на столі в поліклініці — він веде на платний сервіс запису, а не на eHealth.

Як безпечно сканувати QR-код: 5 правил

Не треба відмовлятися від QR. Достатньо дотримуватися простих правил.

5 золотих правил безпечного сканування

  1. Перевіряйте URL перед переходом — добрий сканер показує посилання і дає вам обрати: відкривати чи ні.

  2. Шукайте ознаки підробки — чи добре приклеєний код, чи він поверх іншого, чи розмитий.

  3. Не скануйте QR з листів чи соцмереж — особливо якщо від "банків", "служб підтримки", "подарунків".

  4. Для платежів використовуйте офіційні додатки — наприклад, Portmone, Google Pay, Apple Pay, а не сторонні сайти.

  5. Якщо сумніваєтеся — введіть URL вручну або знайдіть офіційний сайт через пошук.

✅ Мій лайфхак: Якщо QR веде на сайт, де вимагають пароль або картку — це 99% фішинг.

👉 Приклад:

Перед оплатою парковки відкрийте сайт parking.kyiv.ua самостійно — не через QR.

Найбезпечніші сканери QR для Android і iPhone

Не всі сканери однаково безпечні. Деякі відкривають посилання миттєво, не даючи часу на перевірку.

Безпечні сканери (з попереднім переглядом URL)

  • iPhone (вбудований) — камера або додаток "Комерційні коди" — показує посилання перед відкриттям ✅

  • Google Lens — аналізує код і дає вибрати, що робити ✅

  • Microsoft Authenticator — має вбудований безпечний сканер ✅

  • Bitwarden — якщо використовуєте для 2FA, сканує безпечно ✅

Небезпечні сканери (автоматичне відкриття)

  • • Дешеві додатки з Play Store (наприклад, "QR Scanner Pro") — можуть містити шкідливий код

  • • Сканери, які не показують URL — відразу відкривають браузер

✅ Порада: Краще використовувати вбудовані інструменти (камера iPhone, Google Lens), ніж сторонні додатки.

⚡ Наприклад:

Сканер з 50 тис. завантажень у Play Store, але без відгуків і опису — ризикований варіант.

Мій досвід: як я майже переказав 10 000 грн шахраям

Я був у кафе, сканував QR для оплати. Код відкрив сайт, який виглядав як Portmone. Ввів суму — 10 000 грн (випадково). Перед підтвердженням побачив: домен — portmone-pay.net, а не portmone.com. Відмінив платіж. Перевірив — фейк. Я повідомив адміністрацію. Виявилося, хтось наклеїв свій код поверх справжнього принтером. Я не втратив гроші — бо **перевірив URL**.

⚠️ Важливо: Одна секунда на перевірку — може зберегти тисячі.

👉 Мій чек-лист перед скануванням:

  • • Чи добре приклеєний код?

  • • Чи показує сканер повний URL?

  • • Чи схожий домен на справжній?

  • • Чи вимагає сайт паролі чи SMS?

  • • Чи можу ввести адресу вручну?

Часто задавані питання (FAQ)

Чи може QR-код заражати телефон вірусом?

Ні, сам по собі — ні. Але він може вести на сайт, який завантажує шкідливий додаток.

Чи безпечно сканувати QR з офіційних місць (метро, паркомати)?

Не завжди. Шахраї часто наклеюють фейкові коди поверх справжніх. Перевіряйте!

Як перевірити, чи справжній QR-код?

Оглядайте: чи новий, чи добре приклеєний, чи немає слідів попереднього коду. Краще порівняти з іншими аналогічними терміналами.

Чи можна використовувати WhatsApp для сканування?

Так, але лише якщо ви довіряєте джерелу. WhatsApp показує URL перед відкриттям — це добре.

Що робити, якщо вже оплатив через фейковий QR?

1) Негайно зв’яжіться з банком; 2) Подайте заяву в поліцію; 3) Повідомте службу, до якої належав термінал.

Висновки

QR-коди — це зручно, але **не безпечно за замовчуванням**. Вони не мають захисту, і шахраї активно ними користуються. Але ви можете себе захистити: перевіряйте коди, використовуйте надійні сканери, завжди дивіться URL перед переходом. Пам’ятайте: **ніколи не вірте QR-коду на 100%** — навіть якщо він на офіційному місці.

✅ Головне правило: QR-код — це посилання. А посилання може вести куди завгодно.