Правда о мошенничестве с QR-кодами: как «бесплатные» генераторы выманивают деньги

Где-то между 2015 годом и сегодняшним днём QR-коды превратились из японской диковинки в глобальную инфраструктуру. Они напечатаны на ресторанных столах, стенах музеев, упаковке товаров и налоговых формах. Практически любой телефон на Земле умеет их читать.

И вокруг этого тихо выросла целая индустрия, построенная на одной нечестной предпосылке: будто у QR-кода должен быть посредник.

Эта статья объясняет механизм вымогательства через QR-коды: почему схема работает, кто на ней зарабатывает и как не оказаться одной из её миллионов жертв.

Типичный сценарий

Вы вбиваете «free QR code generator» в Google. Первый результат — сайт с симпатичным интерфейсом. Вставляете URL, настраиваете цвета, видите красивый QR-код. Жмёте «скачать».

Дальше возможно одно из трёх:

1. Вас просят создать аккаунт — «просто чтобы скачать»
2. Говорят, что бесплатная версия — это низкое разрешение или с водяным знаком, а «премиум»-загрузка платная
3. Вы получаете чистый файл — и ничто не предупреждает вас, что этот QR-код идёт через серверы генератора

Третий случай — самый коварный. Пользователь уходит с сайта, думая, что у него на руках рабочий QR-код. Печатает его на визитках, ресторанных меню, вывесках, этикетках товаров. Тысячи копий уходят в мир. И недели, месяцы, иногда годы коды работают нормально.

А потом — однажды тихо — они перестают работать. Потому что компания решила, что пора монетизироваться.

Что на самом деле находится внутри QR-кода

QR-код — это узор из чёрных и белых квадратов, кодирующий бинарные данные. Сканеры декодируют узор и передают результат операционной системе, которая интерпретирует его как URL, текст, учётные данные Wi-Fi или другие форматы.

Ключевой момент: QR-код — это и есть данные. Никакого сервера. Никакого запроса. Как только QR-код напечатан, никто не может изменить то, что внутри него.

Статичный URL QR-код для https://example.com/menu содержит буквально ASCII-байты этого URL. Когда кто угодно сканирует его — где угодно, навсегда — он попадает именно на этот URL. Никто не может его отключить. Никто не может его изменить. Никто не может отследить, кто сканирует.

Именно так QR-коды были задуманы и почему стали универсальной инфраструктурой.

Обходной путь

Динамические QR-коды ломают этот замысел. Вместо самого URL они кодируют короткий URL-редирект на сервере провайдера QR — что-то вроде https://short.qr-co/abc123.

При сканировании сканер запрашивает short.qr-co/abc123. Сервер провайдера ищет abc123 в базе данных, находит реальный адрес и отдаёт HTTP-редирект. Сканер следует за редиректом и попадает на настоящую страницу.

С точки зрения пользователя — всё идентично. С точки зрения провайдера QR — это золотая жила:

• Каждое сканирование создаёт запись в логе сервера: время, IP, user-agent, иногда геолокация
• URL назначения можно изменить в любой момент без перепечатки
• Код можно отключить, удалить или взять в заложники
• Данные о сканированиях можно перепродавать
• Самое главное: провайдер может брать арендную плату

Механику мы подробнее разбираем в статье Перехват через редирект в QR-коде.

Как именно с вас берут деньги

Модель динамических QR позволяет применять четыре отдельные стратегии извлечения денег:

Подписка

QR-код работает, пока вы платите ежемесячный взнос. Перестали платить — провайдер отключает редирект, и все напечатанные копии превращаются в мёртвый груз. Это явно продаётся как фича («отслеживайте сканы! редактируйте QR-код в любой момент!»), но бизнес здесь — именно в механизме блокировки. Подробный разбор в Ловушка подписки для QR.

Пробный период и западня

Бесплатные пользователи получают «пробный» динамический QR-код. Он работает 14 дней, 30 дней, иногда дольше. К моменту, когда срок истекает, код уже в обороте. Чтобы сохранить его живым, теперь надо платить. Тихо бесплатный инструмент превращается в постоянный расход.

Пэйволл на скачивание

Сгенерируйте код бесплатно. Заплатите, чтобы скачать в высоком разрешении. Доплатите за удаление водяного знака. Ещё доплатите за SVG. Ещё — за «премиум»-узор. Ничто из этого не отражает реальных затрат — QR-код это 100-байтный расчёт — но каждая точка трения превращает долю пользователей в платящих клиентов.

Принудительная регистрация

QR бесплатный и статичный, но чтобы скачать, нужно создать аккаунт. Теперь у них есть ваша почта, и продукт перестраивается на апсейл-рассылки, прогрев лидов и смежные услуги.

Все четыре стратегии держатся на одном трюке: пользователь не знает, что QR-коды почти бесплатны в производстве. Большинство предполагает, что раз деньги берут — значит, должна быть причина. Её нет.

Реальный ущерб

Это не гипотеза. У схемы есть зримые последствия:

• Рестораны, у которых QR-коды на печатных меню вдруг перестали работать после смены политики провайдера
• Организаторы событий, оставшиеся с горой промо-материалов, указывающих на мёртвый редирект
• Малый бизнес, у которого визитки становятся недействительными посреди кампании
• Некоммерческие организации с донатными QR, ломающимися при потере подписки
• Церкви, музеи, школы — все, у кого нет выделенного IT-отдела — остаются с бесполезными печатными материалами

В большинстве случаев жертва так и не понимает, что произошло. Люди думают, что QR-коды всегда хрупкие, или что они сами сделали что-то не так. Бизнес-модель провайдера держится на этой путанице. Если ваш код перестал работать, прочтите Почему ваш QR-код перестал работать.

Почему это продолжает работать

Несколько факторов делают QR-вымогательство особенно эффективным:

Слово «QR» для большинства — чёрный ящик. Для среднего пользователя QR-код — это магический чёрно-белый квадратик, который открывает ссылки. Они не знают, что есть разница между статичным и динамическим — интерфейс генератора им об этом не рассказывает. Мы написали полное сравнение, чтобы это исправить.

Ущерб отложен. К моменту, когда динамический QR сломается, жертва обычно уже забыла, какой сервис его создал. Заново скачать, перепечатать или восстановить непросто.

Ущерб молчалив. Сломанный QR-код не падает с ошибкой. Он просто не работает — выглядит как обычная проблема сканирования. Большинство пользователей обвинят свой телефон.

Поисковая выдача играет за хищников. Компании с выручкой тратят её на SEO, рекламу и контент-фермы. Честные инструменты со статичными QR редко обгоняют их в ранжировании. Результат: запросы вроде «free QR code generator» ведут в основном на продукты, где по умолчанию динамика.

Как распознать хищный QR-сервис

Прежде чем пользоваться любым генератором QR, проверьте эти сигналы:

1. Требуется аккаунт? Статичному генератору QR аккаунт не нужен — кодирование URL в узор это чистая клиентская математика. Любое требование регистрации — схема вытягивания.
2. Предлагается «трекинг» или «аналитика»? Функции подсчёта сканов — доказательство, что код динамический. Статичный QR ничего отследить не может.
3. Есть «план» или «подписка»? Кодирование QR стоит практически ничего. Подписочная цена имеет смысл, только если сервис держит ваш код в заложниках.
4. На странице цен упоминаются «срок действия», «лимит сканирований» или «редактируемые QR-коды»? Всё это подразумевает динамические коды на серверах провайдера.
5. Превью URL выглядит как `qrco.de/xyz`? Это URL-редирект — вы создаёте динамический код.
6. На сайте много рекламы или трекинговых скриптов? Бесплатные сервисы с слежкой извлекают ценность другим способом.

Полный список мы собрали в 5 красных флагов, что ваш генератор QR — ловушка.

Как выглядят честные статичные QR-коды

Статичный генератор QR принимает ваш контент, кодирует его прямо в узор QR и отдаёт файл. Всё. Никаких редиректов, отслеживания, аккаунтов, подписок, сроков.

Этот сайт — один из таких. Всё происходит в вашем браузере — наш сервер никогда не получает то, что вы кодируете. Можете убедиться во вкладке «Сеть» в браузере: при генерации QR здесь никакие данные не уходят с вашего устройства.

Можно также проверить, что внутри QR-кода. Отсканируйте любой сгенерированный здесь QR нашим сканером и убедитесь, что декодированное содержимое ровно такое, как вы ввели — никаких оболочек, коротких ссылок, редиректов.

Почему мы это создали

Мы устали смотреть, как добросовестные люди — владельцы малого бизнеса, волонтёры, художники, учителя — попадают в QR-аферы. Инструменты, которые заявляли о помощи, тихо собирали их данные, их бюджет на печать и их будущие подписочные платежи.

Поэтому мы построили противоположное.

Этот генератор бесплатен, потому что генерация QR бесплатна. Мы ничего не берём, потому что брать не за что. Мы ничего не собираем, потому что собирать нечего — ваш QR-контент не покидает браузер. Мы не предлагаем трекинг, потому что трекинг означает превратить ваш QR в чью-то ещё собственность.

Наши QR-коды статичные. Они принадлежат вам. Они никогда не истекают. Их нельзя отключить. Если наш сайт завтра исчезнет, каждый QR-код, когда-либо сгенерированный здесь, продолжит работать.

Что делать

1. Никогда не используйте динамические QR для печатных материалов. Если перепечатка дорогая, статичные — единственный безопасный вариант.
2. Если вы уже напечатали динамические коды, считайте их временными. Планируйте, что они сломаются. Держите исходный URL назначения под рукой, чтобы потом сгенерировать статичный.
3. Рассказывайте об этом другим. Большинство нетехнических пользователей понятия не имеет, что такая схема существует. Короткое объяснение про статичные и динамические экономит людям годы подписок.
4. Ваш следующий QR-код делайте статичным. Начните с наших генераторов: URL, Wi-Fi, vCard, email, телефон или текст.

QR-коды — это базовая инфраструктура. Они и должны вести себя как базовая инфраструктура: предсказуемо, постоянно и принадлежать тому, кто их создал.

Мы сделали этот сайт, чтобы хотя бы в одном месте интернета они всё ещё так и работали.