QR-код мошенничество: как работает и как защититься в Казахстане
QR-коды давно вышли за рамки меню ресторанов — ими оплачивают покупки, подтверждают личность, получают госуслуги. В Казахстане Kaspi QR стал стандартом оплаты в сотнях тысяч точек. Параллельно развивается QRishing (QR-phishing) — новый вектор мошенничества, при котором поддельный QR-код ведёт жертву на фишинговый сайт или инициирует несанкционированный платёж. По данным МВД РК, за 2023 год зафиксировано более 1 200 заявлений, связанных с QR-мошенничеством.
Как работают QR-атаки
Подмена QR-кода в офлайн-точках
Мошенник наклеивает поддельный QR-код поверх оригинального в кафе, магазине, на парковочном автомате или банкомате. Покупатель сканирует его, думая, что оплачивает товар или услугу, — но деньги уходят злоумышленнику. Особенно распространено на рынках и небольших торговых точках, где нет персонала, проверяющего получение платежей.
QR в фишинговых письмах и листовках
Листовка в подъезде: «Получите субсидию на ЖКХ — отсканируйте QR-код». Электронное письмо с «счётом на оплату» в PDF с QR. Код ведёт на поддельный сайт, где просят ввести ИИН, данные карты или ЭЦП.
QR-коды в мошеннических объявлениях
На OLX или в WhatsApp продавец просит покупателя отсканировать QR для «подтверждения личности» или «резервирования товара». Код инициирует платёж или даёт злоумышленнику доступ к аккаунту.
Атаки на Kaspi QR
Схема: мошенник перехватывает чужой Kaspi-аккаунт и генерирует QR на получение крупной суммы. Отправляет жертве с просьбой «подтвердить сделку». Жертва сканирует — и переводит деньги злоумышленнику, думая, что «получает» платёж.
«По данным Kaspi Bank, в 2023 году число инцидентов с поддельными QR-кодами в сети Kaspi QR выросло на 67% по сравнению с 2022 годом. Банк ввёл дополнительные алгоритмы верификации получателя платежа.»
Как защититься от QR-мошенничества
- Проверяйте URL после сканирования. Прежде чем нажать «Перейти», внимательно прочитайте адрес: официальный Kaspi всегда kaspi.kz, egov — egov.kz. Любое отклонение — стоп.
- Проверяйте получателя перед оплатой Kaspi QR. В приложении Kaspi перед подтверждением всегда отображается название компании или имя получателя. Убедитесь, что оно соответствует продавцу.
- Осматривайте QR на физических носителях. Наклейка поверх поверхности, сдвинутый код, следы скотча — признаки подмены.
- Не сканируйте QR из ненадёжных источников. QR на листовках в подъезде, в SMS от незнакомцев, в спам-письмах — не доверяйте.
- Используйте встроенный сканер. Камера iPhone и Google Camera показывают URL до перехода — всегда читайте адрес.
Для бизнеса: защита QR-терминалов
- Регулярно проверяйте физические QR-коды на кассах и стойках — не подменены ли они.
- Используйте QR-стенды с защитой от подмены (ламинирование, антивандальное крепление).
- Настройте уведомления о каждом входящем платеже — отклонения сразу заметны.
О безопасности Kaspi и QR-платежей подробнее — в статье Kaspi и QR-мошенничество: разбор. О фишинговых сайтах, на которые ведут QR-коды, — в материале Как распознать фишинговый сайт.
QR-код — удобный инструмент, который стал новым оружием мошенников. Главное правило: всегда проверяйте URL и получателя до подтверждения платежа. Секунда внимания — надёжная защита от потери денег.
Столкнулись с блокировкой по антифроду?
Если ваша карта или счёт заблокированы, оставьте заявку — мы поможем разобраться.
Оставить заявкуПохожие статьи
Защита корпоративной почты: спуфинг, фишинг и настройка DMARC
7 апреля 2026 г.
Безопасность корпоративных мессенджеров: защита бизнес-переписки от мошенников
17 ноября 2025 г.
3D Secure: как защита карточных транзакций работает против мошенников
3 июля 2025 г.
Социальная инженерия в бизнесе: корпоративные угрозы и защита персонала
30 июня 2025 г.