Посылка доставлена! Но вы её не заказывали: «Лаборатория Касперского» предупреждает о новых угрозах – брашинге и квишинге

2025-11-28 551 комментарии
Киберпреступники начали использовать реальные посылки и QR-коды для атак на пользователей и компании. «Лаборатория Касперского» предупреждает: схемы брашинга и квишинга становятся всё более массовыми и способны привести к утечкам данных, установке вредоносных приложений и целевым атакам на бизнес

Онлайн-доставка стала неотъемлемой частью современной жизни: курьеры привозят продукты, технику, одежду, документы и бесконечные заказы с маркетплейсов. В условиях, когда несколько посылок в день — уже норма, всё чаще люди даже не вспоминают, что именно и откуда они заказывали. Опция «оставить у двери» сделала процесс максимально удобным — и одновременно более уязвимым.

Этой особенностью логистики всё активнее пользуются киберпреступники. Специалисты «Лаборатории Касперского» предупреждают о росте двух опасных схем: брашинга и квишинга.

Что такое брашинг и квишинг?

Брашинг — это мошенническая схема, в рамках которой злоумышленники отправляют человеку реальную посылку: дешёвый товар или даже пустую коробку. Главная цель — создать доверие.

Квишинг — разновидность фишинга, основанная на использовании QR-кодов. Мошенники размещают код на упаковке и убеждают получателя отсканировать его, чтобы «узнать отправителя», «получить подарок» или «подтвердить доставку».

Выглядит убедительно, особенно на фоне привычки получать множество доставок ежедневно. Именно на этом и строится манипуляция.

Как работает схема?

1. Отправка посылки. На адрес жертвы приходит реальная коробка. Это может быть товар за 50 рублей или просто упаковка без содержимого.

2. Легенда. На коробку наклеивается QR-код или указывается телефон с якобы полезной просьбой:

  • «Оставьте отзыв — получите бонус!»
  • «Подарок от друга! Узнайте отправителя по QR-коду»
  • «Подтвердите получение для бесплатной доставки»

3. Фишинг. После сканирования QR-кода пользователь попадает на фальшивый сайт, где у него могут запросить:

  • данные карт «для активации подарка»;
  • одноразовые коды «для отмены заказа»;
  • установку вредоносного приложения «для отслеживания посылки»;
  • авторизацию в корпоративных сервисах.

Если сотрудник компании сканирует код в корпоративной сети, последствия могут быть куда опаснее, чем потеря личных данных.

Чем это опасно для бизнеса?

Компрометация корпоративных данных. Мошенники могут внедрить вредоносный код или получить доступ к рабочим аккаунтам.

Атаки на руководителей. Посылки могут отправляться целево — топ-менеджерам и сотрудникам, имеющим доступ к критичной информации.

Расширение атаки. Один скомпрометированный сотрудник позволяет злоумышленникам развернуть дальнейшие атаки внутри компании.

Признак утечки данных. Если в офис приходят странные посылки — возможно, адреса сотрудников уже находятся в базах злоумышленников.

Как защититься?

  • Не сканировать QR-коды с неожиданных посылок.
  • Не вводить коды подтверждения, если действие не инициировано сотрудником.
  • Проводить обучение сотрудников и информировать их о новых схемах.
  • Создать внутренний протокол для обработки подозрительных доставок.
  • Использовать двухфакторную аутентификацию и защищённую корпоративную почту.
  • Контролировать установку приложений и мониторить аномальную активность.

Реальная история: «киберпреступники вышли на физический уровень»

«Я сталкивалась с несколькими случаями мошенничества с посылками. Один раз мне позвонили из “курьерской службы” и попросили продиктовать код из Госуслуг для переноса доставки — и это совпало с тем, что я действительно ждала заказ.

В другой раз я нашла под дверью чужую коробку. Позвонила по номеру, чтобы вернуть посылку владельцу — тогда всё оказалось честно, но теперь, зная масштабы брашинга и квишинга, понимаю: доверчивость и совпадение контекста — главный инструмент злоумышленников.

Перед праздниками, когда компании активно отправляют подарки клиентам и партнёрам, риск столкнуться с такими атаками резко возрастает. Поэтому важно проверять отправителя и не взаимодействовать с QR-кодами на неожиданных посылках. Пусть к вам приходят только «сюрпрайзинг» и «радостинг» — а не брашинг и квишинг!»

Виктория Букреева, редактор рассылки Kaspersky Russia

Киберпреступники активно используют доверие, сформированное массовой логистикой. И чем выше поток доставок, тем проще замаскировать атаку под обычный заказ. Поэтому внимательность к каждому QR-коду в буквальном смысле может защитить бизнес от серьёзных последствий.

Угрозы безопасности

Вредоносные ИИ нового поколения: WormGPT 4 и KawaiiGPT уже генерируют рабочие скрипты для кибератак
Посылка доставлена! Но вы её не заказывали: «Лаборатория Касперского» предупреждает о новых угрозах – брашинге и квишинге
ASUS предупреждает о новой критической уязвимости обхода аутентификации в роутерах с AiCloud
В атаках ClickFix используется фальшивый экран обновления Windows для установки вредоносного ПО
Sturnus: новый Android-троян читает сообщения из Telegram, WhatsApp и Signal, обходя сквозное шифрование
ASUS: в роутерах серии DSL обнаружена критическая уязвимость обхода аутентификации

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×