What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

دليل ميداني

عمليات احتيال QR يجب الانتباه إليها في 2026

رمز QR مجرد سلسلة مشفّرة. الخطر ليس في التنسيق، بل في ما يشير إليه الرمز وما يفعله الموقع بعد ذلك.

افحص رمز QR الآن ← معايير QR التي ندعمها ←

1. تبديل الملصق على عدادات مواقف السيارات والقوائم وشواحن السيارات الكهربائية

كيف يبدو: ملصق لاصق صغير يُوضع فوق رمز QR أصلي في محطة دفع. الملصق يبدو شرعياً من الوهلة الأولى.

كيف تكتشفه: انظر إلى الرمز. هل هو مطبوع مباشرة على السطح أم ملصق فوقه؟ حاول تقشير الحافة. تحقق من أن الوجهة تطابق التاجر الفعلي قبل الدفع.

اقرأ المزيد: رموز QR لمدفوعات EMVCo ←

2. شبكة Wi-Fi مزدوجة خبيثة في المطارات والفنادق ومراكز المؤتمرات

كيف يبدو: بطاقة مطبوعة أو ملصق يُعلن عن Wi-Fi مجاني مع رمز QR. الاتصال يبدو طبيعياً لكن حركة البيانات تمر عبر جهاز المهاجم.

كيف تكتشفه: تحقق من أن اسم الشبكة (SSID) يطابق ما تنشره الجهة رسمياً. إذا شككت، اسأل موظفاً. تجنب الشبكات المفتوحة للمعاملات الحساسة.

3. تصيّد مفتاح المرور عبر QR

كيف يبدو: أنت تسجل الدخول إلى موقع على سطح المكتب. تظهر رسالة تطلب منك مسح رمز QR لإكمال المصادقة. الصفحة تبدو حقيقية.

كيف تكتشفه: قبل مسح رمز QR لمفتاح المرور، تأكد أن عنوان URL في المتصفح هو النطاق المتوقع تماماً. مفاتيح المرور تُقيَّد بالنطاق، لكن جهازك المحمول لن يتحقق منك.

اقرأ المزيد: رموز QR لـ FIDO2 passkey ←

4. سرقة تصدير تطبيق المصادقة

كيف يبدو: شخص يستعير هاتفك المفتوح «للحظة». يفتح تطبيق المصادقة وينتقل إلى خيار النسخ الاحتياطي أو النقل لالتقاط رمز QR للتصدير.

كيف تكتشفه: الدفاع ليس في اكتشاف الرمز، بل في عدم تسليم هاتفك أبداً في الحالات التي تستدعي فتح تطبيق المصادقة.

5. نشر صورة بطاقة الصعود

كيف يبدو: مسافر ينشر صورة بطاقة الصعود على وسائل التواصل. الرمز الشريطي يتضمن اسمه والرحلة ورقم المقعد والمرجع — وهي معلومات تكفي لتغيير الحجز.

كيف تكتشفه: لا تنشر صور بطاقات الصعود. إذا اضطررت، غطّ الرمز الشريطي بالكامل.

اقرأ المزيد: رموز QR لـ IATA BCBP ←

6. جمع بيانات باركود رخصة القيادة

كيف يبدو: حانة أو ملهى أو متجر يطلب مسح الرمز الشريطي في رخصة القيادة للتحقق من العمر. الرمز يتضمن بيانات شخصية كثيرة تتخطى التحقق من العمر.

كيف تكتشفه: اسأل ما الذي يُمسح وما الغرض منه. بعض الأماكن تحتاج فقط إلى تأكيد السن؛ وأخرى (كالنوادي الكبيرة في بعض الولايات القضائية) مُلزَمة قانونيًا بالاحتفاظ بالبيانات. اعترض إذا كان المكان صغيرًا وغير رسمي. إذا كان لديك رخصة قيادة على الهاتف، استخدمها، فـ mDL يدعم الإفصاح الانتقائي (يمكن للحانة أن تسأل فقط “هل أنت فوق 21؟ نعم/لا” دون الاطلاع على تاريخ ميلادك).

7. رموز QR لاستنزاف العملات الرقمية في فعاليات NFT والفن المادي

كيف يبدو: رمز QR في فعالية NFT أو معرض أو مؤتمر. المسح يفتح طلب معاملة في محفظتك. يبدو الطلب وكأنه لشراء قطعة فنية.

كيف تكتشفه: اقرأ موجه المعاملة في محفظتك قبل التوقيع. إذا طلب موافقات على رموز (خاصة setApprovalForAll أو إنفاق approve غير محدود) لعقد لا تعرفه، ارفض. رموز QR الخاصة بالمطالبة بـ NFT مجاني في أكشاك عشوائية لا تستحق المخاطرة. استخدم محفظة «ساخنة» منفصلة برصيد ضئيل لأي تفاعلات شخصية؛ واحتفظ بأصولك الحقيقية في محفظة لا تربطها أبدًا بجلسات QR.

8. ملصق فوق رمز QR خيري

كيف يبدو: نشرة لجمعية خيرية حقيقية مُعلَّقة في مكان عام، لكن رمز QR الخاص بالتبرع مُستبدَل بملصق يقود إلى حساب احتيالي.

كيف تكتشفه: كما في #1، هل الرمز ملصق فوق النشرة المطبوعة؟ تحقق من موقع الجمعية الرسمي للعثور على طريقة تبرع موثوقة.

9. رمز QR لجواز المنتج المزوّر

كيف يبدو: رمز QR على منسوج أو بطارية أو جهاز إلكتروني أو قطعة أثاث يدّعي أنه جواز مرور المنتج الرقمي الأوروبي للمنتج (متطلب ESPR، يُطبَّق تدريجيًا 2027-2030). امسحه وستظهر لك صفحة ويب أنيقة تعرض مصدر المنتج ومحتوى إعادة التدوير وادعاءات الاستدامة. لا شيء من هذا حقيقي، بل دفع صانع المنتج المقلّد ثمن صفحة هبوط عامة بأسلوب DPP. مع انتشار DPP، توقع تصاعد هذا النوع: لا يزال المنظمون يبنون سجل الاتحاد الأوروبي الذي يُرسّخ الأصالة.

كيف تكتشفه: تحقق مما إذا كان حقل المُصدِر في DPP يُحيل إلى نطاق الشركة المصنّعة الرسمي. لا يطلب DPP الشرعي منك إنشاء حساب.

10. محقق mDL خصومي يطلب صلاحيات زائدة

كيف يبدو: تُقدّم رخصة قيادتك الرقمية (mDL) عبر المسح لمحل أو جهة تحقق. الطلب يتجاوز التحقق من العمر ليشمل اسمك الكامل وعنوانك ورقم الرخصة.

كيف تكتشفه: اقرأ نافذة الطلب. إذا كانت الجهة تطلب حقولاً تتخطى الغرض المُعلن، ارفض وأبلغ عنها.

ماذا تفعل إذا مسحت شيئاً ضاراً بالفعل

موقع دفع: إذا أدخلت بيانات البطاقة، اتصل بمصرفك الآن. اطلب إيقاف البطاقة وفتح نزاع.
Wi-Fi: انسَ الشبكة من هاتفك. افحص سجل جهاز التوجيه إذا أمكن للتحقق من اتصالات غير متوقعة.
مفتاح المرور: سجّل الدخول إلى الحساب المتأثر وانتقل إلى إعدادات الأمان. أزل أي مفاتيح مرور غير معروفة.
تصدير تطبيق المصادقة: تعامل معه كاختراق كامل. أعد ضبط المصادقة الثنائية على كل الحسابات المرتبطة بهذا التطبيق فوراً.
نشر بطاقة الصعود: تواصل مع شركة الطيران وغيّر رقم المرجع. أخبر المسافرين معك إذا كانت بياناتهم مرئية.
توقيع مُستنزِف للعملات الرقمية: انقل الأصول المتبقية إلى محفظة جديدة فوراً. الأصول المُحوَّلة لا يمكن استردادها في الغالب.

تحقق قبل المسح

أسقط أي رمز QR (صورة، لصق، أو كاميرا) في الماسح. سترى الحمولة المفككة والحكم ومسار إعادة التوجيه بالكامل.

افتح الماسح ←