Опасности QR‑трекеров: как они выдают вашу сеть и устройство

Опасности QR‑трекеров: как они выдают вашу сеть и устройство

QR-коды давно перестали быть просто «черно-белыми квадратиками». За ними прячутся маркетинговые платформы, редиректы, счетчики, а иногда — откровенный фишинг. Хорошая новость: понимание механики снимает половину рисков. Плохая — «динамические» QR-коды действительно способны собрать вокруг вас больше данных, чем хотелось бы. Разбираем без паники, но с деталями: что именно утекает, при каких сценариях и что можно сделать прямо сейчас.

Как работают QR-трекеры: магии нет, есть редирект

Статический QR шифрует конечный адрес прямо в картинку — это как наклейка с URL. Динамический QR ведет сначала на сервис-прокладку (Bitly, Uniqode/Beaconstac, Scanova и т. п.), где запрос логируется, а уже оттуда вас перенаправляют на финальный сайт. На этом промежуточном шаге платформа получает «телеметрию сканирования»: время, с какого IP пришли, примерную геолокацию по IP, тип браузера/устройства, иногда — откуда вы пришли и какой именно код отработал.

  • Сервисы прямо пишут об этом в документации и блогах: об IP-геолокации и статистике сканов рассказывают QR Code Generator и Bitly Analytics , а в справке Uniqode есть режим с более точной геолокацией по GPS с вашего разрешения — подробно .
  • Типичный сбор — «лепестки» HTTP: User-Agent Client Hints , Accept-Language и др. Они позволяют примерно понять платформу (Android/iOS/Windows), браузер и предпочтительный язык интерфейса.
  • Геолокация через IP — не GPS, но для города/региона часто хватает. См. описания провайдеров типа IPinfo .

Вывод: если QR ведет через «динамический» редирект, вас уже «посчитали» — еще до того, как вы добрались до конечного сайта. Именно поэтому маркетологи так любят QR-трекеры.

Что именно «видит» владелец QR-кода про вашу сеть и устройство

Собирается не какой-то «секретный IMEI», а стандартная веб-телеметрия. Тем не менее, по совокупности она неплохо профилирует.

  • IP-адрес и примерная геолокация — как минимум страна/город, иногда — провайдер/организация. Если вы на корпоративном VPN, наружу уйдет egress-IP VPN, а не домашний адрес.
  • Клиентские подсказки (Client Hints) — например, Sec-CH-UA-Platform и Sec-CH-UA-Mobile дают платформу и факт «мобильности» клиента.
  • Язык интерфейса по Accept-Language , что иногда «сдает» региональные настройки.
  • Время сканирования, тип кода и параметрическая аналитика (какой плакат/стенд «отстрелялся»).
  • После клика страница может запросить дополнительные разрешения — GPS, камеру, уведомления. Тут вы уже решаете сами, нажимать «Allow» или нет.

Мифы сразу отсекаем: без ваших разрешений страница не узнает IMEI/MAC, не прочитает список приложений и не «взломает» телефон одним фактом сканирования. Но фингерпринтинг по совокупности сигналов реально существует — протестировать собственную «отпечаточность» можно на Cover Your Tracks .

Где здесь настоящая опасность: четыре проблемных сценария

Сам QR-трекинг — это маркетинг. Опасность начинается, когда к нему добавляются социальная инженерия и подмена контента.

  1. Quishing — фишинг через QR. Коды в письмах, на парковках и в кафе ведут на подменные формы входа/оплаты. Предупреждают даже регуляторы: FBI IC3 , FTC . Общее правило: QR — это просто ссылка. Проверяйте домен, ищите «подставы» с IDN-гомографами (например, латинская «a» vs кириллическая «а»).
  2. QRLJacking — угон сессии через «вход по QR». Если приложение поддерживает логин по QR (веб-WhatsApp и аналоги), злоумышленник может подсунуть поддельный код и забрать вашу сессию. См. страницу OWASP — QRLJacking .
  3. Wi-Fi по QR. Коды формата WIFI:T:WPA;S:SSID;P:пароль;; удобны, но в публичном месте легко заменить наклейку на «злой двойник». Риск — подключение к фальшивой точке с перехватом трафика. Минимум — сверяйте SSID и спрашивайте персонал, лучше — избегайте автоматического подключения по неизвестным QR.
  4. Пакетные/почтовые «сюрпризы». Рассылки с QR внутри «подарков», фальшивых опросов и возвратов — свежий тренд, которому посвящены отдельные предупреждения ( IC3, 31 июля 2025 ).

Как безопасно проверять QR до клика: практический алгоритм

Ниже — схема, которая снимает 90% бытовых рисков. Да, звучит педантично, но через пару раз станет привычкой.

  1. Сканируйте «в холостую», без автоперехода. На Android используйте офлайн-читалки, которые показывают содержимое без открытия браузера: Binary Eye (F-Droid) / GitHub или SecScanQR . На iOS баннер показывает домен — спешить некуда: официальная инструкция .
  2. Разверните «коротыш». Если видите bit.ly/tinyurl/qr.page.link — разверните редирект до финального домена с помощью WhereGoes или ExpandURL .
  3. Посмотрите репутацию и поведение. Прогоните URL через urlscan.io (видно цепочку запросов/поддомены) и/или VirusTotal . Это «рентген» перед посещением.
  4. Проверьте домен на гомографы. Подозрительные точки над буквами? Не ленитесь сверить punycode или в спорных случаях откройте в браузере, который показывает Punycode в адресной строке (настройки есть у Firefox).
  5. Открывайте «в песочнице». Для сомнительных ссылок используйте изолированный браузер: Firefox Focus (iOS/Android) с автоочисткой. На iOS помогает iCloud Private Relay (скрывает реальный IP в Safari).
  6. Никаких логинов/оплат «с порога». Если после скана сразу требуют авторизацию/верификацию/оплату — найдите путь вручную: зайдите на сайт организации с нуля или спросите персонал.

Атака через домен: на что смотреть в адресной строке

Многие «QR-мошенничества» держатся на подмене домена. Важные признаки:

  • Чужая зона и странный поддомен. Вместо bank.example видите bank.example.support-team.help? Не ваш сайт.
  • Символы-двойники (гомографы IDN). Одинаковые на вид буквы из разных алфавитов — классика. Подробности — у Malwarebytes и в энциклопедии .
  • «Почти бренд». Любимые: pay-secure-brand.com, brand-support-id.com.

Организациям: как не превратить QR-маркетинг в утечку

Динамический QR удобен для аналитики, но по умолчанию раскрывает лишнее.

  • Минимизируйте третьи стороны. Если можете, ведите QR на свой домен и обрабатывайте статистику у себя. Чем короче цепочка редиректов — тем меньше сторонних логов.
  • Отключайте избыточный сбор. На платформах посмотрите настройки аналитики (IP-гео в агрегированном виде, без GPS; хранение без персональных данных; сокращенные логи).
  • Разделяйте кампании без UTM-«простыней». UTM-метки — хорошо, но не надо нашивать в QR лишнюю персональную информацию.
  • Гигиена носителей. Плакаты/наклейки регулярно проверяйте на подмену. После мероприятий не оставляйте «висящие» коды с действующими промо.

Частые вопросы и короткие ответы

  • Может ли QR «заразить» телефон без клика? Нет, сам по себе код — данные. Опасность начинается после открытия ссылки и ваших действий/разрешений.
  • Видит ли владелец QR мой номер телефона/IMEI? Нет. Но видит IP (или IP VPN/оператора), язык, тип устройства/браузера и время.
  • Чем опасны QR для «входа по коду»? Подмена кода (QRLJacking) крадет сессию — детали у OWASP . Всегда проверяйте домен приложения и включайте подтверждения входа.

Мини-чек-лист перед тем, как сканировать

  • Сканер без автоперехода (Binary Eye / SecScanQR / системный баннер на iOS).
  • Развернуть короткую ссылку (WhereGoes/ExpandURL).
  • Проверка urlscan.io/VirusTotal при малейшем сомнении.
  • Сверить домен и исключить гомографы.
  • Открывать в изолированном браузере (Firefox Focus) или под Private Relay/VPN.
  • Не логиниться и не платить «с ходу» — найти путь вручную.

Итог

QR-трекеры — это не «шпионское стекло», а обычная веб-аналитика на этапе редиректа. Но в связке с социальной инженерией они превращаются в мощный крючок: удобство + безымянность кода = идеальное прикрытие для фишинга и кражи сессий. Спасают простые привычки: не спешить открывать, проверять домен и разворачивать редиректы, изолировать «сомнительные» переходы и не вводить пароли там, куда попали «по картинке». Остальное — дело техники.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь
article-title

Юрий Кочетов

Здесь я делюсь своими не самыми полезными, но крайне забавными мыслями о том, как устроен этот мир. Если вы устали от скучных советов и правильных решений, то вам точно сюда.