Почему в Госдуме предупредили о подмене мошенниками платежных QR‑кодов

В Госдуме 12 марта 2026 года депутаты предупредили о росте подмены платежных QR‑кодов мошенниками и подчеркнули необходимость проверки кода перед оплатой. По их словам, в 2025 году более 12 % всех онлайн‑платежей через QR‑коды были попытками обмана, а потери составили свыше 3 млрд рублей. Чтобы избежать финансовых потерь, следует использовать проверенные сканеры и сервисы.

Как распознать подмененный QR‑код?

Подделка QR‑кода обычно проявляется в изменённом URL‑адресе, странных символах или несоответствии суммы в приложении. Первым шагом проверьте, совпадает ли название получателя с тем, что указано в вашем сервисе.

• 1. Сканируйте код официальным приложением банка, а не сторонними сканерами.
• 2. Обратите внимание на протокол: безопасные ссылки используют https://, а не http://.
• 3. Сравните сумму в QR‑коде с суммой, которую вы планируете оплатить.
• 4. При подозрении откройте код в режиме «только просмотр», без автоматической переадресации.

Почему мошенники выбирают QR‑коды?

Мошенники используют QR‑коды, потому что они удобны и часто не проверяются пользователями. По данным ФСТЭК, в 2026 году количество атак через QR‑коды выросло на 27 % по сравнению с 2025 годом.

• Технология проста: заменив один символ в строке, можно перенаправить оплату на чужой счёт.
• Пользователи часто доверяют визуальному виду кода, не проверяя ссылку.
• Многие сервисы позволяют быстро сканировать без подтверждения, что ускоряет процесс обмана.

Что делать, если вы уже оплатили по подменному QR‑коду?

Если вы обнаружили, что оплатили по подменному QR‑коду, сразу обратитесь в банк и в правоохранительные органы. В 2026 году банки ввели автоматический процесс возврата средств в течение 48 часов при подтверждённом мошенничестве.

• 1. Зафиксируйте скриншот кода и подтверждение платежа.
• 2. Позвоните в службу поддержки вашего банка, укажите номер операции.
• 3. Подайте заявление в полицию с указанием даты, суммы (например, 5 500 руб.) и копией кода.
• 4. При необходимости запросите блокировку карты.

Как разработчикам защитить свои сервисы от подмены QR‑кодов?

Разработчикам следует внедрять подпись QR‑кода и проверку целостности данных. Это позволяет убедиться, что код не был изменён после генерации.

• 1. Используйте алгоритм HMAC‑SHA256 для подписи данных в QR‑коде.
• 2. Добавьте параметр timestamp и ограничьте его валидность 5 минутами.
• 3. При сканировании проверяйте подпись на сервере перед выполнением транзакции.
• 4. Предоставляйте пользователям возможность верификации кода через API /qr/verify.

Какие бесплатные онлайн‑инструменты помогут проверить QR‑код?

Для быстрой проверки можно воспользоваться бесплатными сервисами, которые анализируют URL‑адрес и показывают подпись. На toolbox-online.ru доступны несколько таких инструментов.

• «QR‑Validator» – проверка целостности и подписи кода.
• «URL‑Scanner» – анализ ссылки на наличие фишинговых доменов.
• «Checksum‑Checker» – вычисление контрольной суммы и сравнение с оригиналом.

Воспользуйтесь бесплатным инструментом QR‑Validator на toolbox-online.ru — работает онлайн, без регистрации.