What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

ফিল্ড গাইড

2026 সালে সতর্ক থাকতে QR কোড স্ক্যাম

একটি QR কোড শুধু একটি এনকোড করা স্ট্রিং। বিপদ ফরম্যাটে নয়, স্ট্রিংটি আপনার ফোনকে কী করতে বলে তাতে — এবং আপনি সাধারণত না পড়েই স্ক্যান করেন। এখানে এই মুহূর্তে ঘটছে এমন দশটি আক্রমণ, বাস্তবে প্রতিটি কেমন দেখায়, এবং ট্যাপ করার আগে কীভাবে চিহ্নিত করবেন।

এখনই একটি QR চেক করুন → আমরা যে QR স্ট্যান্ডার্ড ডিকোড করি →

1. পার্কিং মিটার, মেনু এবং EV চার্জারে স্টিকার সোয়াপ

কেমন দেখায়: একটি পার্কিং মিটার, রেস্তোরাঁর মেনু, EV চার্জিং স্টেশন, বা সেলফ-চেকআউট টার্মিনালের বৈধ QR-এর উপর সুন্দরভাবে লাগানো একটি ছোট আঠালো স্টিকার। স্টিকার QR আসলটির মতো দেখতে। স্ক্যান করুন এবং আপনি একটি পেমেন্ট পেজে পৌঁছান যা শহরের বা রেস্তোরাঁর মতো দেখায়। পেমেন্ট করুন, আর অর্থ আক্রমণকারীর কাছে যায়। 2023-2024 সালে বেশ কয়েকটি বড় মার্কিন শহরে এটি হয়েছিল (San Antonio, Austin, Houston); EV-চার্জার স্টিকার 2024-2025 সালে বিস্ফোরিত হয়েছে।

কীভাবে চিহ্নিত করবেন: QR দেখুন। এটি কি সরাসরি পৃষ্ঠে মুদ্রিত (খোদাই, রঙ করা, ল্যামিনেটের নিচে এমবেড করা)? নাকি স্টিকার? একটি প্রান্তে নখ চালান, উঠে গেলে স্টিকার। আসল পার্কিং-মিটার এবং EV-চার্জার QR প্রায় সবসময় স্থায়ী। মেনুর জন্য, সার্ভারকে জিজ্ঞাসা করুন কোন পেমেন্ট পেজ আসল; বৈধ অপারেটররা নিশ্চিত করতে খুশি। এবং ট্যাপ করার আগে QR আমাদের স্ক্যানারে দিন, ডিকোড করা ডেস্টিনেশনই প্রমাণ।

আরও পড়ুন: EMVCo মার্চেন্ট পেমেন্ট QR →

2. বিমানবন্দর, হোটেল এবং কনফারেন্স সেন্টারে ইভিল-টুইন Wi-Fi

কেমন দেখায়: ফ্রি Wi-Fi বিজ্ঞাপন দেওয়া একটি প্রিন্টেড কার্ড বা স্টিকার: "Airport_Free_WiFi", "Starbucks_Guest_2", "ConferenceGuest"। QR স্ক্যান করুন, আপনার ফোন নেটওয়ার্কে যোগ দেয়, আপনার ইন্টারনেট আছে। কিন্তু নেটওয়ার্কটি একই ঘরে চলা আক্রমণকারীর ফোন হটস্পট। তারা আপনার ট্র্যাফিক আসল ইন্টারনেটে প্রক্সি করে যাতে কিছুই ভাঙা মনে না হয়, কিন্তু তারা DNS কোয়েরি, SNI হোস্টনেম, যেকোনো HTTP-ফলব্যাক ট্র্যাফিক দেখে, এবং ক্রেডেনশিয়াল চাওয়া নকল ক্যাপ্টিভ পোর্টাল পরিবেশন করতে পারে।

কীভাবে চিহ্নিত করবেন: SSID ভেন্যু অফিসিয়ালি যা পোস্ট করে তার সাথে মেলে কিনা যাচাই করুন। বিমানবন্দর অফিসিয়াল ওয়েবসাইটে তাদের গেস্ট Wi-Fi নাম তালিকা করে; হোটেল ফ্রন্ট ডেস্কে তালিকা করে। লুকঅ্যালাইক নাম (অতিরিক্ত অক্ষর, বদলানো অক্ষর, "Free" যোগ করা) আক্রমণের সিগনেচার। আমাদের স্ক্যানার উচ্চ-মিমিক্রি ব্র্যান্ড নামের তালিকার বিরুদ্ধে লুকঅ্যালাইক SSID ফ্ল্যাগ করে। সন্দেহ হলে, মোবাইল ডেটা ব্যবহার করুন।

আরও পড়ুন: Wi-Fi ক্রেডেনশিয়াল QR →

3. Passkey-QR ফিশিং

কেমন দেখায়: আপনি ডেস্কটপে একটি সাইটে সাইন ইন করছেন। সাইটটি আপনার ফোনের passkey পেয়ার করতে একটি QR দেখায়। একজন আক্রমণকারী যে আপনাকে ভুল সাইটে নিয়ে গেছে তারা তাদের QR দেখায়, আপনার passkey তাদের আসল সাইটে সক্রিয় লগইনে পেয়ার করে। তারা এখন আপনার অ্যাকাউন্টে সাইন ইন করা। CTAP 2.2 হাইব্রিড ট্রান্সপোর্ট (passkey QR-এর পিছনের স্ট্যান্ডার্ড) ক্রিপ্টোগ্রাফিক্যালি সঠিক; আক্রমণটি সম্পূর্ণ মানব দিকে — আপনাকে এমন স্ক্রিন থেকে QR স্ক্যান করাতে যা আপনার মনে হওয়া সাইট নয়।

কীভাবে চিহ্নিত করবেন: passkey QR স্ক্যান করার আগে ব্রাউজার অ্যাড্রেস বারে পেজের URL নিশ্চিত করুন। ফিশিং সাইট প্রায়ই টাইপোস্কোয়াট ব্যবহার করে (অতিরিক্ত হাইফেন, বদলানো অক্ষর, .com-এর বদলে .co)। passkey QR নিজেই ঠিক আছে; প্রশ্ন হলো এটি দেখানো পেজটি আসল কিনা। এছাড়া: passkey QR স্বল্পকালীন (সাধারণত এক মিনিটের কম), একটি স্থির হেল্প-ডেস্ক পেজে ঘণ্টার পর ঘণ্টা বসে থাকা QR সন্দেহজনক।

আরও পড়ুন: FIDO2 passkey QR →

4. Authenticator এক্সপোর্ট চুরি

কেমন দেখায়: কেউ "একটু ছবির জন্য" আপনার আনলক করা ফোন ধার নেয়। তারা Google Authenticator খোলে, Transfer Accounts → Export ট্যাপ করে, একটি QR তৈরি করে এবং তাদের ফোন দিয়ে ফটো তোলে। তারপর আপনারটা ফেরত দেয়। সেই QR-এ protobuf-এ base64-এনকোড করা প্রতিটি authenticator সিড আছে (Google, AWS, GitHub, আপনার ব্যাংক, আপনার ক্রিপ্টো এক্সচেঞ্জ)। তারা এখন প্রতিটি অ্যাকাউন্টের জন্য আপনার 6-সংখ্যার কোড তৈরি করতে পারে, চিরতরে, যতক্ষণ না আপনি প্রতিটি রিসেট করেন।

কীভাবে চিহ্নিত করবেন: প্রতিরক্ষা QR চিহ্নিত করা নয়, এটি তৈরি না হতে দেওয়া। আনলক করা ফোন দেবেন না। কিছু শেয়ার করতে হলে নিজে করুন। এছাড়া: বেশিরভাগ authenticator অ্যাপ এখন export ফ্লোতে বায়োমেট্রিক আনলক প্রয়োজন করে, কিন্তু Google-এর 2023 সালের শেষের আগে ছিল না এবং পুরনো ফোন এখনো এড়িয়ে যেতে পারে। আপনার সন্দেহ হলে, এটিকে সম্পূর্ণ লঙ্ঘন হিসেবে গণ্য করুন, authenticator-এ থাকা প্রতিটি অ্যাকাউন্টে 2FA রিসেট করুন।

আরও পড়ুন: otpauth-migration QR →

5. বোর্ডিং-পাস ছবি পোস্টিং

কেমন দেখায়: একজন যাত্রী Instagram বা LinkedIn-এ বোর্ডিং পাসের ছবি পোস্ট করেন, "টোকিও যাচ্ছি!" পাসে PDF417 বারকোড (বা QR) এয়ারলাইন বুকিং রেফারেন্স (PNR) এবং টিকিট নম্বর প্লেইনটেক্সটে এনকোড করে। ছবি স্ক্রিনশট করা আক্রমণকারী বারকোড ডিকোড করে, এয়ারলাইনের সাইটে বুকিং লুকআপ করে (PNR + পদবি সাধারণত যথেষ্ট), এবং ট্রিপ বাতিল করতে, সিট পরিবর্তন করতে, পূর্ণ যাত্রাপথ দেখতে, বা রিফান্ড ফ্লো ট্রিগার করতে পারে।

কীভাবে চিহ্নিত করবেন: বোর্ডিং পাসের ছবি পোস্ট করবেন না। করতে হলে, বারকোড এবং বুকিং রেফারেন্স (সাধারণত 6-অক্ষরের আলফানিউমেরিক কোড হিসেবে কোথাও মুদ্রিত) ব্লার বা ক্রপ করুন। QR/বারকোড নিখুঁত আক্রমণের লক্ষ্য কারণ এটি যেকোনো ফোনের স্ক্রিনশট থেকে মেশিন-রিডেবল।

আরও পড়ুন: IATA BCBP বোর্ডিং পাস QR →

6. ড্রাইভার-লাইসেন্স বারকোড হার্ভেস্টিং

কেমন দেখায়: একটি বার, ক্লাব, ভেপ শপ, ডিসপেন্সারি, বা বয়স-সীমাবদ্ধ খুচরা বিক্রেতা "বয়স যাচাই করতে" আপনার ড্রাইভার লাইসেন্সের পিছনের PDF417 বারকোড স্ক্যান করে। সেই বারকোড লাইসেন্সের প্রতিটি অ্যাট্রিবিউট প্লেইনটেক্সটে এনকোড করে: নাম, ঠিকানা, DOB, লাইসেন্স নম্বর, উচ্চতা, ওজন, চোখের রঙ। কিছু অপারেটর সেই ডেটা ধরে রাখে, মার্কেটিং অ্যাগ্রিগেটরদের কাছে বিক্রি করে, বা লঙ্ঘনে চুরি হয়ে যায়। একজন আসল বাউন্সারকে একটি জিনিস জানতে হয়: আপনি কি আইনি বয়সে? আপনার ঠিকানা তাদের দরকার নেই।

কীভাবে চিহ্নিত করবেন: কী স্ক্যান হচ্ছে এবং কেন জিজ্ঞাসা করুন। কিছু ভেন্যু শুধু বয়স নিশ্চিত করতে হয়; অন্যরা (কিছু জুরিসডিকশনে বড় ক্লাব) আইনত ডেটা ধরে রাখতে বাধ্য। ভেন্যু ছোট এবং অনানুষ্ঠানিক হলে পুশব্যাক করুন। আপনার কাছে মোবাইল ড্রাইভার লাইসেন্স থাকলে, ব্যবহার করুন, mDL সিলেক্টিভ ডিসক্লোজার সমর্থন করে (বার আপনার DOB না দেখে শুধু "21 বছরের বেশি? হ্যাঁ/না" জিজ্ঞাসা করতে পারে)।

আরও পড়ুন: AAMVA ড্রাইভার লাইসেন্স PDF417 →

7. NFT ইভেন্ট এবং ফিজিক্যাল আর্টে ক্রিপ্টো ড্রেইনার QR

কেমন দেখায়: একটি NFT মিটআপ, গ্যালারি ওপেনিং, কনফারেন্স বুথ, বা ফিজিক্যাল আর্টের ভেতরে প্রিন্ট করা QR দাবি করে যে আপনাকে বিনামূল্যে NFT মিন্ট বা এয়ারড্রপ ক্লেম করাবে। স্ক্যান করুন, QR একটি WalletConnect সেশন বা আপনার ওয়ালেট অ্যাপে একটি ডিপ-লিংক খোলে, এবং আপনাকে একটি ট্রানজ্যাকশন সাইন করতে বলা হয়। ট্রানজ্যাকশন আপনার ওয়ালেটের প্রতিটি টোকেন ড্রেইন করতে একটি ক্ষতিকর কন্ট্র্যাক্টকে অনুমোদন দেয়। ড্রেইনার কিট কমোডিটি সফটওয়্যার; QR শুধু ডেলিভারি মেকানিজম।

কীভাবে চিহ্নিত করবেন: সাইন করার আগে আপনার ওয়ালেটে ট্রানজ্যাকশন প্রম্পট পড়ুন। যদি এটি টোকেন অ্যাপ্রুভাল চায় (বিশেষ করে setApprovalForAll বা আনলিমিটেড approve স্পেন্ড) এমন কন্ট্র্যাক্টের জন্য যা আপনি চেনেন না, প্রত্যাখ্যান করুন। যেকোনো বুথে ফ্রি-NFT-ক্লেম QR ঝুঁকির মূল্য নয়। যেকোনো ইন-পার্সন ইন্টারেকশনের জন্য ন্যূনতম ব্যালেন্স সহ একটি আলাদা "হট" ওয়ালেট ব্যবহার করুন; আপনার আসল সম্পদ এমন ওয়ালেটে রাখুন যা আপনি কখনো QR সেশনে সংযুক্ত করেন না।

8. দাতব্য / ডোনেশন QR-এর উপর স্টিকার

কেমন দেখায়: একটি আসল দাতব্য সংস্থার ফ্লায়ার পাবলিক স্পেসে পোস্ট করা আছে। আক্রমণকারী ডোনেশন QR-এর উপর তাদের নিজস্ব স্টিকার লাগায় যা তাদের নিয়ন্ত্রিত ওয়ালেট বা একটি নকল ডোনেশন পেজে নির্দেশ করে। দান আক্রমণকারীর কাছে যায়। এটি প্রাকৃতিক দুর্যোগ এবং বড় সংবাদ ঘটনার সময় সবচেয়ে সাধারণ, বৈধ দাতব্য সংস্থা কঠিনভাবে প্রচার করছে, আক্রমণকারী তার সুযোগ নিচ্ছে।

কীভাবে চিহ্নিত করবেন: #1-এর মতোই, QR কি প্রিন্টেড সংস্করণের উপর একটি স্টিকার, নাকি আসল প্রিন্টের অংশ? এছাড়া, নিজে ব্রাউজারে দাতব্য URL টাইপ করে দান করুন, বা দাতব্য সংস্থার অফিসিয়াল অ্যাপ ব্যবহার করুন। QR কোড সুবিধাজনক কিন্তু তারা বিশ্বাসের চেইন নয়।

9. জাল প্রোডাক্ট-পাসপোর্ট QR

কেমন দেখায়: একটি টেক্সটাইল, ব্যাটারি, ইলেকট্রনিক ডিভাইস, বা আসবাবপত্রে QR দাবি করে এটি পণ্যের EU ডিজিটাল প্রোডাক্ট পাসপোর্ট (ESPR প্রয়োজনীয়তা, 2027-2030 সালে ধাপে আসছে)। স্ক্যান করুন এবং একটি চকচকে ওয়েব পেজ পণ্যের উৎস, পুনর্ব্যবহৃত কন্টেন্ট, সাসটেইনেবিলিটি দাবি দেখায়। এর কিছুই আসল নয়, জাল পণ্যের নির্মাতা শুধু একটি জেনেরিক DPP-স্টাইলড ল্যান্ডিং পেজের জন্য অর্থ দিয়েছে। DPP চালু হওয়ার সাথে সাথে, এটি স্কেল হওয়ার প্রত্যাশা করুন: নিয়ন্ত্রকরা এখনো EU রেজিস্ট্রি তৈরি করছে যা সত্যতা নোঙর করে।

কীভাবে চিহ্নিত করবেন: DPP-এর ইস্যুয়ার ফিল্ড একটি নিবন্ধিত EU অর্থনৈতিক অপারেটরে সমাধান হয় কিনা যাচাই করুন। EU কমিশন 2026 সালের মাঝামাঝি পর্যন্ত একত্রিত রেজিস্ট্রি প্রকাশ করেনি; তখন পর্যন্ত DPP দাবিকে যাচাইকৃত নয় উপদেশমূলক হিসেবে গণ্য করুন। আমাদের স্ক্যানার ইস্যুয়ার ফিল্ড এবং DPP সার্ভার URL বের করে যাতে আপনি সেই লুকআপ করতে পারেন।

আরও পড়ুন: EU ডিজিটাল প্রোডাক্ট পাসপোর্ট →

10. শত্রুতামূলক mDL ভেরিফায়ার অতিরিক্ত তথ্য চাইছে

কেমন দেখায়: আপনি একটি বার বা রিটেইল কাউন্টারে আপনার মোবাইল ড্রাইভার লাইসেন্স (mDL) উপস্থাপন করছেন। তাদের ভেরিফায়ার অ্যাপ সম্পূর্ণ নাম, সম্পূর্ণ DOB, লাইসেন্স নম্বর, ঠিকানা এবং ফটো চাইছে যখন লেনদেনের শুধু বয়স যাচাইয়ের প্রয়োজন। আপনি অভ্যাসবশত অনুমোদন করেন। এখন একটি ছোট ব্যবসার কাছে আপনার সম্পূর্ণ পরিচয় রেকর্ড আছে, অজানা সময়ের জন্য সংরক্ষিত, অজানা ব্যক্তিদের কাছে বিক্রয়। স্ট্যান্ডার্ড আপনাকে রিকোয়েস্ট তালিকা দেখাতে ওয়ালেট প্রয়োজন, কিন্তু এটি আপনাকে ব্লাঙ্কেট ডিসক্লোজার অনুমোদন করা থেকে থামায় না।

কীভাবে চিহ্নিত করবেন: রিকোয়েস্ট প্রম্পট পড়ুন। ভেরিফায়ার লেনদেনের চেয়ে বেশি চাইলে (বার যদি ঠিকানা চায়, রিটেইল ক্লার্ক লাইসেন্স নম্বর চায়), প্রত্যাখ্যান করুন এবং ন্যূনতম সংস্করণ চান (শুধু age_over_21)। তারা অস্বীকার করলে, আপনার কাছে একটি নীতিগত সিদ্ধান্ত আছে: প্রয়োজনের বেশি দিন, বা চলে যান। স্ট্যান্ডার্ড আপনার পক্ষে; ভেরিফায়ার-সাইড ইকোসিস্টেম এখনো নিয়ন্ত্রিত নয়।

আরও পড়ুন: মোবাইল ড্রাইভার লাইসেন্স (ISO 18013-5) →

ইতিমধ্যে কিছু খারাপ স্ক্যান করলে কী করবেন

পেমেন্ট সাইট: কার্ডের বিবরণ দিয়ে থাকলে এখনই ব্যাংকের সাথে যোগাযোগ করুন লেনদেন ফ্ল্যাগ করতে এবং কার্ড পুনরায় ইস্যু করতে। চার্জ ক্লিয়ার হওয়ার অপেক্ষা করবেন না।
Wi-Fi: আপনার ফোনে নেটওয়ার্ক ভুলে যান। সম্প্রতি ব্যবহৃত অ্যাপে ক্রেডেনশিয়াল চাওয়া প্রম্পটের জন্য দ্রুত চেক করুন। সংযুক্ত থাকাকালীন ব্যবহার করা সব কিছুর পাসওয়ার্ড পরিবর্তন করুন, বিশেষ করে HTTP-তে ফলব্যাক করা সব কিছু।
Passkey: প্রভাবিত অ্যাকাউন্টে সাইন ইন করুন, সিকিউরিটি সেটিংসে যান, সক্রিয় passkey তালিকা করুন, অচেনা কিছু সরান। সাইট অফার করলে পাসওয়ার্ডও রিসেট করুন।
অথেনটিকেটর এক্সপোর্ট: এটিকে সম্পূর্ণ লঙ্ঘন হিসেবে গণ্য করুন। অথেনটিকেটরে থাকা প্রতিটি অ্যাকাউন্টে 2FA রিসেট করুন। উচ্চ-মূল্য (ব্যাংক, ইমেইল, ক্রিপ্টো এক্সচেঞ্জ, GitHub, AWS) দিয়ে শুরু করুন।
বোর্ডিং পাস পোস্ট করা হয়েছে: এয়ারলাইনের সাথে যোগাযোগ করুন, সম্ভব হলে বুকিং রেফারেন্স পরিবর্তন করুন, ফ্লাইট-স্ট্যাটাস অ্যালার্ট সেট আপ করুন যাতে কেউ বুকিং পরিবর্তন করলে জানতে পারেন।
ক্রিপ্টো ড্রেইনার সাইন করা হয়েছে: অবিলম্বে একটি নতুন ওয়ালেটে বাকি সম্পদ সরান। আপনি ব্যবহার করা প্রতিটি চেইনে কন্ট্র্যাক্ট অ্যাপ্রুভাল বাতিল করুন (revoke.cash এবং অনুরূপ টুল বেশিরভাগ চেইন হ্যান্ডেল করে)। ড্রেইন করা টোকেন সাধারণত অপুনরুদ্ধারযোগ্য।

স্ক্যান করার আগে চেক করুন

যেকোনো QR (ইমেজ, পেস্ট, বা ক্যামেরা) আমাদের স্ক্যানারে দিন। আপনি দেখতে পাবেন ডিকোড করা পেলোড, URL হলে রিডাইরেক্ট চেইন, ভবিষ্যতে কে ডেস্টিনেশন পরিবর্তন করতে পারে, এবং রেপুটেশন ফ্ল্যাগ। সিদ্ধান্ত আপনার; অ্যাক্ট করার আগেই তথ্য স্ক্রিনে।

স্ক্যানার খুলুন →