Платежи по QR-кодам: новые векторы атак и обналичивание (UPI, Alipay, Pix)

[Good Carder]

От кардера — кардерам. Пока вы выбиваете себе вены в борьбе с 3DS и BIN-фильтрацией, зона QR-платежей превратилась в Дикий Запад. Миллиарды людей по всему миру ежедневно сканируют квадратные чёрно-белые узоры, часто даже не глядя на то, куда их ведёт ссылка и кто получит их деньги. На вооружении армии — подмена QR-кодов, перехват PIX-сессий и API-уязвимости нулевого дня, годами остающиеся без патчей.

В 2026–2027 годах атаки на QR-платежи перешли в разряд массовых. От физической подмены стикеров и фишинга до уязвимостей в протоколах и API — в этой статье я разберу всё, что реально работает против UPI (Индия), Alipay/WeChat (Китай) и Pix (Бразилия). Как перехватить платёж прямо на кассе, как использовать CVE-2026-3208 для дампа статичных QR-кодов, как работает схема 6-секундного обналичивания через Pix, и как организовать канал от поддельного QR до вывода чистой крипты.

Часть 1. Архитектура QR-платежей: статика, динамика и «слепые зоны»​

Понимание работы целевой системы — ключ к её обходу. Разберёмся, как работают три крупнейшие системы QR-платежей.

Статические QR-коды (Static QR). Фиксированные платёжные метки, напечатанные на бумаге. Содержат всю информацию о получателе: идентификатор (номер телефона, CPF, UPI ID), название компании, иногда сумму. Распространены на уличных рынках, парковках, в мелких магазинах. Самый уязвимый тип: атакующий может напечатать наклейку со своим QR и наклеить поверх легитимного.

Динамические QR-коды (Dynamic QR). Генерируются на кассе, в приложении или на отдельном устройстве для каждой конкретной транзакции. Защищены шифрованием и часто включают JWT-токен с цифровой подписью. Для Бразилии — статический QR-код (copia e cola) и динамический с шифрованием по EMVCo, а также BR Code, построенный по международному стандарту EMV Merchant Presented QR. BR Code часто содержит ссылку на защищённый эндпоинт, payload которой подписан цифровой подписью для валидации.

Архитектурные уязвимости API Pix и UPI. Системы QR-платежей — это не магия. Каждый раз, когда вы сканируете QR-код, ваше приложение отправляет REST/HTTP-запросы на бэкенд платёжного провайдера. Если эти API защищены слабо — вы можете манипулировать суммой, получателем или даже вовсе отменить платёж после отправки. Идеальная платформа для «слепого» перехвата, когда пользователь думает, что платит одному, а на деле — управляет вашим кошельком.

Часть 2. UPI: QR-сканеры, фейковые запросы и индустриализация фрода​

Индия — родина UPI (Unified Payments Interface), обрабатывающего более 12 миллиардов транзакций в месяц. К 2026 году 94% индийских малых предпринимателей используют QR-коды для приёма платежей. Но популярность породила и волну мошенничества.

2.1. Четыре кита UPI-атак на QR​

Push vs Pull (UPI-запрос денег). Функция запроса денег «collect» давно стала главной головной болью. Мошенник отправляет запрос на определённую сумму, жертва сканирует поддельный QR и по инерции подтверждает платёж. Кроме того, кардеры создают поддельные UPI ID для бизнеса, имитируя известные бренды.

Наклейка поверх легитимного QR. Метод остаётся самым действенным в Индии: полиция Пенджаба в 2026 году арестовала банду, которая установила свои наклейки на сотнях торговых точек. Большинство убытков от цифрового мошенничества в Индии по-прежнему связаны с социальной инженерией, а не с техническими сбоями.

Схема «поддержка» с UPI PIN. Мошенник звонит жертве, представляясь сотрудником банка, и просит «верифицировать» аккаунт, отсканировав QR-код. Жертва сканирует код, вводит UPI PIN и теряет деньги.

Фейковые платёжные подтверждения. Вместо реального перевода мошенники отправляют поддельный скриншот успешного платежа, чтобы выманить товар или услугу.

2.2. Индустриализация UPI-фрода (данные 2026)​

По данным индийских властей, в 2023–2024 годах зафиксировано 1,342 миллиона случаев UPI-фрода на сумму более 10,87 миллиарда рупий. В 2024–2025 годах количество мошеннических транзакций выросло почти вдвое за три года. Основной удар пришёлся на кражу учётных данных через фишинг, социальную инженерию и подмену QR.

Часть 3. WeChat Pay и Alipay: утечки данных, подмена QR и AI-фишинг​

Дуополия Alipay (более 1 миллиарда активных пользователей) и WeChat Pay (более 800 миллионов) охватывает практически всё население Китая. Но даже у гигантов есть ахиллесова пята.

3.1. Поддельные QR для аренды велосипедов и автоматов​

Наиболее уязвимы QR-коды, расположенные на неохраняемых объектах общего доступа — велопрокатах (Mobike, Hellobike), уличных вендинговых аппаратах, парковках и платных туалетах. Мошенники распечатывают QR-код, ведущий на фишинговый сайт или вредоносное приложение, и наклеивают поверх оригинала.

3.2. Инжекция вредоносного payload через DeepLink/JSBridge​

В начале 2026 года исследователь выявил цепочку из 17 уязвимостей в Alipay (CVSS до 9.3), затрагивающих около 6 CVEs. Из них CVE-2026-6290 (CVSS 8.5) — уязвимость межсайтового скриптинга (XSS) в обработчике DeepLink, ведущая к раскрытию GPS-координат. Кардер может сформировать вредоносную ссылку, которая, будучи отсканированной, молча загружает GPS-координаты жертвы на свой сервер, используя AlipayJSBridge.call() — без ведома пользователя. При этом Alipay отказалась исправлять уязвимость, заявив, что она «не может быть практически эксплуатируема». В 2026 году она была публично раскрыта и уже используется в диких атаках.

3.3. Схема «видео-захват платежа» (Китай)​

Эта схема стала особенно популярной в начале 2026 года. Жертва (часто — владелец небольшого магазина) получает звонок от «клиента», который хочет оплатить крупный заказ удалённо через видео-звонок. «Клиент» просит показать QR-код на экране телефона. Эксплуатируется стандартная настройка приложений Alipay и WeChat Pay: по умолчанию интерфейс открывается на странице платежа (pay code), а не на странице получения денег (receive code). Кардер запрашивает переключение на страницу получения, перехватывает мгновенно вспыхивающую страницу платежа и сканирует код для оплаты.

Часть 4. Pix: быстрые деньги, быстрые кражи и CVE-2026-3208​

Pix, запущенный Центральным банком Бразилии в 2020 году, быстро завоевал 178 миллионов активных пользователей.

4.1. Статический против динамического QR-кода​

Статический QR-код содержит информацию о получателе, его CPF/CNPJ и иногда сумму. При оплате статического QR код клиент видит в приложении получателя и может подтвердить платёж. В Бразилии активно используются как статические QR-коды (особенно на стикерах уличных торговцев), так и динамические, генерируемые в момент продажи, которые содержат подписанный payload и больше защищены от подмены. В 2026 году уже более 30% всех Pix-транзакций проходят через QR-коды в рамках модели Person-to-Merchant (P2M), и этот сегмент растёт на десятки процентов ежегодно.

4.2. Атака «Замена QR-стикера»​

Как и в Индии и Китае, кардеры печатают свои QR-коды и наклеивают поверх легитимных. Поддельные стикеры часто идентичны оригинальным по дизайну, могут отличаться лишь одной цифрой в имени получателя. Пользователь сканирует код, видит «Оплата магазину», подтверждает. Pix мгновенен, деньги уходят на счёт мошенника до того, как магазин заметит пропажу. В ответ Центральный банк Бразилии обязал банки внедрить многофакторную аутентификацию для всех административных доступов к системам Pix.

4.3. Уязвимость API: CVE-2026-3208 (CVSS 5.3 — Medium, но эксплуатируется массово)​

В мае 2026 года была раскрыта уязвимость CVE-2026-3208 в плагине «Mercado Pago payments for WooCommerce» (версии ≤ 8.7.11). Из-за отсутствия проверки прав доступа на эндпоинте mp_pix_image неавторизованный кардер может получить QR-коды для произвольных заказов, просто перебирая их идентификаторы через API. Каждый такой QR-код содержит PIX keys (CPF/CNPJ), сумму транзакции, название компании и город плательщика.

Что даёт кардеру эта уязвимость: Прямой дамп статических QR-кодов. Например, магазин генерирует QR-код для заказа #123, ссылка на код имеет вид /mp_pix_image?order_id=123. Итерируя ID от 1 до 1000, кардер собирает тысячи QR-кодов со всех заказов, включая ещё не оплаченные. Затем, имея на руках готовые QR-коды, он может либо перехватить платёж от реального покупателя (наведя его на свой поддельный QR), либо использовать эти коды для своих целей — например, для платежей через P2P-биржи (перекрёстный обнал).

Часть 5. Атаки на динамические QR и их перехват​

Динамические QR, несмотря на шифрование, не являются абсолютной защитой.

5.1. BR Code / EMVCo QR на базе JWT​

В Бразилии используется BR Code, построенный по стандарту EMV Merchant Presented QR. Он может эмбедить ссылку на защищённый эндпоинт для получения динамических платёжных данных. Вместо того чтобы содержать всю информацию о платёжке, код указывает на сервер, который по защищённому каналу возвращает параметры транзакции. Проблема возникает, если сервер не проверяет JWT-подпись должным образом или использует слабый секретный ключ. Тогда кардер может:

1. Подменить payload. Изменить сумму, получателя или другие параметры транзакции на лету, если шифрование отсутствует.
2. Подменить получателя через API. Если QR-код содержит URL, зашифрованный JWT-токен, кардер может скопировать этот URL, расшифровать, изменить получателя и сумму и предоставить свой модифицированный код жертве для оплаты. Непроверенные серверы автоматически примут его.

5.2. «Человек посередине» для QR-сессий​

Некоторые динамические QR-коды используют механизм «pull» вместо «push»: пользователь сканирует код и инициирует платёж — в приложении появляется форма для подтверждения. Но если кардер перехватывает трафик (например, используя поддельную точку доступа Wi-Fi), он может подменить параметры уже на этапе подтверждения: сумма, получатель, описание. В результате жертва подтверждает платёж отправителю «продавца», который в момент подтверждения был подменён кардером.

5.3. Реальный кейс: атака на динамический QR на АЗС​

В Бразилии зафиксированы случаи, когда кардеры подключались к незащищённому Wi-Fi сети на заправке и перехватывали трафик на терминалах, генерирующих динамический QR. Они подменяли код на терминале на свой, так что автомобилист сканировал код, перенаправлявший его на поддельную страницу оплаты.

Часть 6. Стратегия обналичивания: от поддельного QR до вывода на криптокошелёк​

Обналичивание через QR-платежи — двухэтапный процесс: захват средств и их конвертация в крипту.

Типичная схема для UPI, WeChat Pay, Alipay:

1. Создание дроп-UPI ID / WeChat Pay / Alipay аккаунта. Получение аккаунта на подставное лицо (иногда достаточно просто SMS-верификации). Для PIX — пройти верификацию в бразильском банке.
2. Физическое распространение (или API-инъекция) QR. Подмена QR-кодов на кассах или инъекция кода через уязвимый API (CVE-2026-3208) — сбор готовых QR-кодов с серверов.
3. Захват средств. Когда покупатель сканирует поддельный QR, деньги поступают на дроп-счёт мошенника.
4. Мгновенная конвертация в криптовалюту. Используя dApps и P2P-обменники с автоматической торговлей (например, встроенные в бразильские и индийские приложения), средства в реальном времени конвертируются в USDT на некастодиальный кошелёк. Комиссия при использовании децентрализованных бирж минимальна.
5. Вывод на холодный кошелёк или наличные. Далее через миксеры и приватные монеты следует отмыв.

Часть 7. Чек-лист кардера по QR-фроду​

• Определите тип QR. Статический (подмена через наклейку) или динамический (перехват сессии или API).
• Выберите платформу — UPI (Индия), Alipay/WeChat Pay (Китай), Pix (Бразилия) или другие регионы с массовым QR.
• Для статического QR: напечатайте свой QR-стикер, имитирующий дизайн целевого бизнеса, разместите поверх оригинала — и деньги потекут к вам. Используйте прозрачный клей для незаметности.
• Для динамического QR (PIX): если сайт использует уязвимый плагин — реализуйте скрипт для итеративного сбора order_id по CVE-2026-3208.
• Организуйте канал обналичивания. Дроп-аккаунты должны быть готовы до того, как вы начнёте перехватывать платежи.
• Приём платежей: автоматизируйте через API, чтобы моментально конвертировать поступившие рубли/евро в криптовалюту.
• OPSEC:
  • Никогда не работайте без маскировки (в публичных местах).
  • Используйте одноразовые SIM-карты и временные банковские счета (для дропов).
  • Если работаете через API — ваш IP и User-Agent должны быть скрыты за резидентными прокси.
  • Храните базы украденных QR-кодов в зашифрованном виде, уничтожайте после использования.

Резюме от кардера​

QR-коды для платежей — это не просто удобство, а новая точка приложения для серьёзных денег. В Индии за 2024–2025 годы зафиксировано 1,34 миллиона эпизодов UPI-фрода. В Китае WeChat Pay и Alipay ежегодно теряют миллиарды долларов из-за подмены QR, а Alipay до сих пор не исправила DeepLink-уязвимости, грозящие утечкой персональных данных. В Бразилии более 30% всех транзакций Pix проходят через QR, а CVE-2026-3208 позволяет дёшево и сердито дампить статичные QR-коды тысячами.

Перехват финансовых потоков через подмену QR-кодов — это уже не нишевая атака, а мейнстрим. Статические коды уязвимы для дешёвых наклеек, динамические — для API-эксплойтов и MITM-атак. UPI — царство социальной инженерии, PIX — уязвимостей плагинов и мгновенности, а WeChat Pay и Alipay — открытых редиректов и JSBridge. Успех схемы зависит от OPSEC: чем быстрее конвертировать украденные деньги через P2P-биржи в криптовалюту, тем меньше шансов, что банк успеет заморозить счёт дропа.

Быстрая памятка на одну строку:
«UPI рулит социнженерия. Pix — API‑уязвимости. Alipay/WeChat — подмена QR и редиректы. Статический QR — наклейка поверх. Динамический QR — MITM или JWT‑подмена. CVE-2026-3208 — дамп кодов через API. Мгновенная конвертация в крипту — разрыв цепочки. 6 секунд — и деньги чистые. Твоя цель — заставить жертву платить тебе, даже не подозревая об этом»