QR-коды под прицелом — какие данные они собирают и чем это грозит

QR-коды давно стали частью повседневности: меню в кафе, плакаты со скидками, билеты на концерт. Мы сканируем их автоматически, даже не задумываясь. Но за простыми чёрно-белыми квадратиками часто скрывается больше, чем ссылка на сайт.

Каждый скан оставляет цифровой след: время, IP-адрес, данные об устройстве и даже примерное местоположение. Для бизнеса это инструмент аналитики, для мошенников — способ замаскировать атаку. И пока одни радуются

удобству, другие используют QR-трекинг как источник информации о нас.

Как устроены QR-коды — статический и динамический

QR-код сам по себе — это просто картинка, зашифрованная в виде квадратов. Но важно, какой именно код вы сканируете.

Статический QR. В нём зашит конечный адрес. Это как наклейка с URL: что закодировали, то и получите. Такие коды чаще всего используют для меню в кафе, визиток или разовых акций. Минус простоты в том, что изменить ссылку после печати невозможно — нужно печатать новый код.

Динамический QR. Здесь всё хитрее. При сканировании вы сначала попадаете на промежуточный сервис (Bitly, Uniqode, Scanova и десятки других). Он фиксирует факт сканирования: время, IP-адрес, устройство, язык системы. А уже потом перенаправляет вас на конечный сайт. Для владельца это удобно — статистика в реальном времени, плюс возможность менять ссылку «на лету».

Именно на этом промежуточном шаге и начинается сбор телеметрии. Для маркетинга — кладезь данных, для пользователя — ещё один источник цифровых следов.

Какие данные реально собирают QR-трекеры

Когда я впервые копнул глубже, удивился: никакой тайной «шпионской магии» там нет. Всё работает на стандартных веб-механизмах, которые знакомы каждому сайту. Но в сумме получается весьма любопытный портрет пользователя.

• IP-адрес и геолокация. Первое, что фиксируется, — это ваш IP. По нему легко определить страну, город и иногда даже провайдера. Если вы сидите за корпоративным VPN, наружу уйдёт IP сервера, а не ваш домашний, но сам факт перехода всё равно будет записан.

• Информация об устройстве. Современные браузеры честно «сдают» детали через заголовки вроде User-Agent и Client Hints. Из них можно вытащить платформу (Android, iOS, Windows), модель устройства и даже, мобильный это браузер или настольный.

• Язык системы и настройки. По заголовку Accept-Language сервис понимает, какой язык стоит у вас по умолчанию. Это вроде мелочи, но иногда выдаёт регион или страну проживания.

• Время и частота сканирования. Каждый переход логируется с точным временем. Если один и тот же код отсканировали несколько раз — владелец получает картину активности, вплоть до часов пик.

• GPS-координаты. Здесь без вашего согласия ничего не выйдет. Но если вы дали приложению доступ к геолокации, то точка на карте может прилететь вместе со сканом. В маркетинге такие данные ценятся особенно.

Получается, что в момент сканирования QR-кода вы «разговариваете» с сервером чуть больше, чем планировали: не словами, а техническими подсказками.

Когда QR-код превращается в ловушку — четыре сценария

Пока QR ведёт на сайт кофейни — всё невинно. Но стоит подключить социальную инженерию или подмену, и квадрат превращается в инструмент атаки. Вот четыре ситуации, которые встречаются чаще всего.

1. Фишинг через QR (quishing). На парковке или в почтовой рассылке наклеивают код, ведущий на поддельную страницу банка или доставки. Дизайн копия настоящего сайта, а цель — выудить логины или данные карты. Регуляторы вроде FBI IC3 и европейских CERT давно предупреждают: проверяйте домен, даже если он пришёл «в виде квадратика».
2. Подмена при входе (QRLJacking). Некоторые сервисы позволяют авторизоваться через QR-код (например, веб-версии мессенджеров). Злоумышленник может подсунуть фальшивый код, вы его сканируете — и сессия уходит к нему. На OWASP этому посвящена целая страница.
3. Wi-Fi по QR. Формат WIFI:T:WPA;S:SSID;P:пароль; позволяет подключаться без ввода руками. Удобно? Да. Но в кафе или торговом центре злоумышленник может наклеить код, который ведёт на поддельную сеть. В итоге весь трафик окажется под его контролем.
4. Почтовые и подарочные «сюрпризы». QR-коды в «подарках», «опросах» или «возвратах» — свежая мода. Они маскируются под бонусы, но ведут на малварь или липовые формы. В июле 2025-го даже IC3 выпустил отдельный бюллетень на эту тему.

Сам код по сути безвреден — это картинка. Но сценарии вокруг него превращают его в дверь, за которой может стоять кто угодно.

Распространённые мифы о QR-кодах и что на самом деле происходит

Чтобы было нагляднее, разложу популярные страхи и реальность в таблицу.

Таким образом, опасность не в самом квадратике, а в том, куда он ведёт и что вы решите сделать дальше.

Что делать бизнесу чтобы QR-коды не стали утечкой данных

QR-коды — удобный инструмент для маркетинга: можно считать переходы, понимать, какие кампании работают, и корректировать ссылки на лету. Но вместе с этим легко скатиться в сбор лишних данных или создать почву для злоупотреблений. Вот несколько принципов, которые помогают компаниям держать баланс.

• Вести трафик на свой домен. Чем короче цепочка редиректов, тем меньше сторонних сервисов получают логи. Если QR ведёт сразу на ваш сайт, вы контролируете, какие данные собираются.

• Ограничивать аналитику. Владельцам QR-кодов часто хочется «видеть всё». Но безопаснее собирать агрегированные данные: количество сканов, города, устройство в общих категориях. Без GPS и без привязки к личности.

• Проверять физические носители. Плакаты, визитки и наклейки — уязвимые точки. Подменить стикер с QR на фальшивый можно за пару секунд. Поэтому компании должны регулярно осматривать материалы и заменять повреждённые.

• Убирать просроченные коды. После окончания акции лучше отключать старые QR и удалять их с публичных мест. Иначе код продолжит работать, но уже не под вашим контролем.

• Честно объяснять пользователю. Если вы собираете статистику, лучше сразу упомянуть об этом: «QR ведёт на наш сайт, данные используются для аналитики посещений». Такая прозрачность снижает недоверие и повышает лояльность.

QR-код — это не просто удобный вход для клиента, но и точка доверия. Чем аккуратнее вы обращаетесь с данными, тем меньше шанс попасть в неприятные новости о «сливе».