Přímý HTTPS odkaz na vlastní stránku Abundera. Žádné zkracovače, žádná přesměrování. Nejlepší výsledek: Schválen se statickou mutabilitou a nízkým minimem mutability cílového serveru.
https://qr.abundera.ai/
Obránce před quishingem · Bezpečnost QR + URL + zkracovačů
Nedůvěřujte QR kódu, dokud nebyl schválen.
QR kód je cizinec, který vám podává obálku. Totéž platí pro jakoukoliv krátkou URL — bit.ly, t.co nebo odkaz v DM. Otevřete ji bez kontroly a můžete přistát na phishingové stránce kradoucí přihlašovací údaje, otevřené WiFi pasti, transakci drainující peněženku nebo Android intentu instalujícím malware. Stopujeme řetězec, prověřujeme cíl a říkáme vám, kdo ho může změnit poté, co byl QR vytištěn — otázka, která rozhoduje o tom, zda je nálepka parkovacího automatu, přeposlané krátké URL, jídelní lístek restaurace nebo firemní leták MFA skutečně bezpečný.
Bez registrace, bez účtu Payload se neukládá Dekódování kamerou zůstává lokální Aplikace pro Mac, Windows, iOS, Android připravujeme
Sdílet tento nástroj · nebo uložit krátký odkaz pro návrat
Naskenujte QR kód kamerou, nahrajte obrázek, vložte obrázek nebo vložte dekódovaný text.
Kamera a dekódování obrázků probíhají ve vašem prohlížeči. Na náš analyzátor je odesílán pouze dekódovaný text.
Nastavení skeneru
Stahování rozšířeného dekodéru… 0 %
Historie skenování
Uloženo pouze na tomto zařízení, nikdy neodesíláno na naše servery. Posledních 25 skenování, nejstarší jsou automaticky odstraněna. Cloudová synchronizace historie skenování (napříč zařízeními, 30 dní) je v plánu pro tiery Personal+.
Podívejte se, jak to funguje
Klepněte na „Vyzkoušet skenování“ pro spuštění zde, nebo namiřte kameru telefonu na QR — přesměruje přes náš skener a výsledek se zobrazí na vašem telefonu. Není třeba nic nejdříve navštívit.
QR kód směrovaný přes náš vlastní zkracovač, než dosáhne konečného cíle. Výsledek zobrazí kdo může změnit cíl po vytištění — osa mutability, kterou žádný jiný skener nezobrazuje.
https://aqr.net/demo-walmart
Odkaz, který se zaručeně vyřeší v jiné zemi, než je vaše (JS po detekci regionu změní cíl). Demonstruje čip země pro každý skok — řetězec překračující hranice nečekaně je silnější signál důvěry než jakýkoli jednotlivý skok sám o sobě.
https://www.bundestag.de/
Google udržuje tuto URL specificky jako testovací přípravek Safe Browsing. Je klasifikována jako SOCIAL_ENGINEERING Safe Browsing — užitečné pro demonstraci, že agregátor reputace a eskalace výsledku skutečně fungují, bez odkazování na skutečný phishingový web.
https://testsafebrowsing.appspot.com/s/phishing.html
Jak to funguje
- 1
Dekódování
Váš prohlížeč QR dekóduje lokálně (jsQR). Snímek nikdy neopustí vaše zařízení. Vidíme pouze textový payload.
- 2
Odeslání
Payload je klasifikován dle URI schématu, prefixu strukturovaného formátu nebo heuristiky obsahu do jedné z 48 kategorií analyzátorů, které dohromady rozpoznávají 222 variant payloadů: HTTP URL (s desítkami rozpoznávačů specifických pro hostitele), WiFi, vCard, telefonie, mail, Android intent, kryptoměny, adresování obsahem, inline data, kalendář, geo, Bluetooth párování, Matter onboarding, EMV platba obchodníka (PIX, PayNow, PromptPay, UPI a 30+ schémat zemí), konfigurace WireGuard, Smart Health Card, aktivace eSIM, párování WalletConnect, hybrid FIDO passkey, blokované schéma nebo prostý text. Každá kategorie jde ke svému vyhrazenému analyzátoru.
- 3
Stopování + klasifikace
Pro HTTP URL stopujeme řetězec přesměrování přes přesměrovací služby (Bitly, Linktree, QR Tiger a přibližně 80 dalších), zaznamenáváme zprostředkovatele pro každý skok, klasifikujeme mutabilitu (statická / dynamická-jednoduchá / dynamická-řetězená / mezistránka reklamy / cyklická) a přiřazujeme kontrolu každému provozovateli přesměrovací služby. Paralelně prověřujeme cíl vůči Google Safe Browsing a URLhaus.
- 4
Sjednocení
Sestavujeme jednotný tvar výsledku invariantní napříč typy payloadů:
threat_class,mutability,chain,attribution,sub_payloads,disclosurev přirozeném jazyce. Sub-payloady vložené v rodiči (URL v poli NOTE vCard, SSID obsahující odkaz atd.) jsou rekurzivně odesílány.
Co zachytíme, co nástroje pouze pro URL přehlédnou
Skenery hrozeb třídy URL pokrývají jednu z 48 kategorií payloadů, které QR může nést, a jediný rozpoznávač uvnitř kategorie URL. My rozpoznáváme 222 variant payloadů napříč všemi 48. Ochutnávka níže; úplný seznam a plán Tier 2 jsou na stránce pokrytí.
Řetězec přesměrování a mutabilita
Stopujeme každý skok. Detekujeme řetězce Bitly a Linktree. Identifikujeme provozovatele přesměrovacích služeb. Zobrazujeme strany, které mohou změnit cíl po vytištění.
QR kódy konfigurace WiFi
SSID a šifrování analyzovány a normalizovány. Označeny otevřené, slabě-WEP a skryté sítě. Dekódovány homoglyfy, takže podobně vypadající SSID jsou vidět ve výsledku.
Drainers krypto peněženek
Validace formátu adresy a kontrolního součtu pro každý řetězec. Detekce selektoru EVM funkcí (approve, setApprovalForAll, permit). Reputace Chainabuse.
Matter zprovoznění chytré domácnosti
Dekódování onboardingových payloadů MT: v base-38. Extrakce ID výrobce a ID produktu. Zobrazení kontextu „toto zaregistruje zařízení do vaší domácí sítě“ — aby vyměněná nálepka nemohla tiše vstoupit do sítě útočníka.
Záměna platebního QR kódu obchodníka EMV
Analýza EMVCo MPM / CPM payloadů (SGQR, PromptPay, PayNow, DuitNow, UPI). Validace CRC a zobrazení názvu obchodníka, zachycení útoku s přelepením nálepky — celosvětově nejrozšířenější QR podvod.
Únos účtu přes QR přihlášení
Rozpoznání QR-login endpointů WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub a AWS. Upozornění, že skenování udělí tomu, kdo QR vygeneroval, přístup k vašemu účtu.
Dnes čistý QR, zítra phishingová stránka
Jakmile je QR vytištěn na nálepce, jídelním lístku nebo letáku, nelze tisk vrátit. Důležitý výsledek tedy není jen „je odkaz nyní bezpečný“, ale „kdo může změnit, kam toto vede, poté co inkoust uschnul“. To je mutabilita.
Statický QR
walmart.com zakódováno přímo do QR matice
Cíl je zakódován přímo v tečkovém vzoru. Žádná třetí strana ho nemůže přepsat. Co dnes naskenujete, to naskenujete i za rok.
Dynamický QR (riziko)
aqr.net/demo-walmart → nějaký zkracovač → walmart.com
QR kóduje URL zkracovače; majitel účtu zkracovače volí cíl v okamžiku skenování a může ho změnit za 30 sekund. Dnes čistý, zítra phishing, stejná fyzická nálepka. Zobrazujeme řetězec, pojmenujeme provozovatele přesměrovací služby a řekneme vám, zda je vytištěný materiál na vodítku.
Ceník
Zdarma pro osobní použití, bez registrace. Placené plány pro jednotlivce, rodiny, týmy, značky a firemní nasazení.
ZAKLÁDAJÍCÍ ČLEN Vaše sazba. Zafixovaná. Navždy. Ušetřete 34 % oproti placeným tierům, roční fakturace, dostupné do 1. září 2026.
Nativní aplikace připravujeme
Stejný engine, nativně na macOS, Windows, Linux, iOS a Android. Dekódování kamerou probíhá na zařízení; klasifikace jde na stejný endpoint. abundera.app →
Otázky
Co je quishing?
Quishing je phishing přes QR kód: útočník vytiskne, nalepí, pošle e-mailem nebo DM QR kód, který po skenování otevře stránku kradoucí přihlašovací údaje, transakci drainující peněženku, otevřenou WiFi past nebo Android intent, který bokem nainstaluje malware. Samotný QR je jen obrázek, takže filtry e-mailových odkazů a varování prohlížeče ho nikdy neuvidí, dokud telefon oběti cíl již neotevřel. Obrana musí proběhnout v okamžiku skenování, před tím, než telefon odkaz otevře.
Jak se quishing liší od běžného phishingu?
Tři rozdíly. Vektor útoku je fyzický nebo vizuální — nálepka přes QR parkovacího automatu, tištěný leták napodobující zápis MFA, QR jídelního lístku restaurace vyměněný přes noc — takže zcela obchází e-mailové brány. Oběti důvěřují QR kódům více než odkazům v e-mailech; QR kód působí jako cíl zvolený tím, kdo povrch vytiskl. A dynamické QR kódy směrované přes zkracovač lze přesměrovat na phishingový cíl poté, co byl vytištěný materiál distribuován — takže QR, který byl při tisku bezpečný, se může o měsíce později stát nebezpečným. Statické skenery odkazů odpovídají na otázku „je tato URL nyní škodlivá?“, nikoli „kdo může změnit, kam tato URL vede“.
Jak zkontrolovat, zda je QR kód bezpečný, než ho naskenuju?
Nemiřte kamerou nativního telefonu přímo na QR — to otevře cíl okamžitě. Místo toho otevřete check.qr.abundera.ai na svém telefonu, naskenujte QR přes kameru na stránce (dekódování probíhá lokálně; snímek nikdy neopustí zařízení) a přečtěte si výsledek. Stopujeme každý skok přesměrování, klasifikujeme, zda je cíl kontrolovatelný třetí stranou po vytištění QR, a kontrolujeme reputaci vůči Google Safe Browsing a dalším agregátorům. Výsledky Schválen jsou bezpečné k otevření; výsledky Pozor a Nepokračujte vysvětlují proč.
Jaké jsou příklady quishingu v reálném světě?
Nálepky na parkovacích automatech a nabíječkách EV překrývající legitimní QR s odkazem na stránku kradoucí údaje platební karty — nejčastěji hlášený vzor 2024–2025, pozorovaný v Austinu, San Antoniu a po celé Británii. QR jídelních lístků restaurací vyměněné za phishingové stránky přes noc fyzickým nahrazením stolního stojánku. Firemní letáky pro zápis MFA na záchodech kanceláří, které vypadají oficiálně, ale zaregistrují útočníkovo zařízení. QR kódy na svatebních pozvánkách distribuované měsíce před událostí, kde kompromitace účtu zkracovače umožní útočníkovi přesměrovat tisíce vytištěných karet. QR kódy pro kryptoplby na pokladních terminálech překryté adresou peněženky útočníka. Společný jmenovatel: vytištěný QR vypadá identicky jako ten bezpečný.
Jak se to liší od Google Safe Browsing nebo VirusTotal?
Stávající nástroje klasifikují, zda je URL aktuálně škodlivá. My navíc klasifikujeme, zda je cíl kontrolovatelný třetí stranou po vytištění QR — vlastnost, kterou nazýváme mutabilita. Čistý dynamický QR směrovaný přes zkracovač je stále vysoce rizikový pro nálepku parkovacího automatu nebo svatební pozvánku: majitel účtu zkracovače může kdykoli změnit cíl. Tuto kontrolní pozici zobrazujeme jako výsledkové pole první třídy vedle výsledku obsahu hrozby.
Ukládáte QR kód, který jsem skenoval?
Ne. Dekódovaný payload cestuje na náš server přes HTTPS, abychom mohli projít řetězec a dotázat se reputačních databází — to je funkční nutnost, ne volba — ale nikdy není uložen. Výsledky jsou uloženy do mezipaměti pomocí SHA-256 hashe diskriminátoru specifického pro typ payloadu spojeného s tajnou solí drženou na serveru. Původní payload nelze z žádné položky mezipaměti zrekonstruovat.
Proč samostatná doména od qr.abundera.ai?
qr.abundera.ai je generátor, který slibuje vše na straně klienta: nic neopouští vaše zařízení. Tento bezpečnostní skener přenáší dekódovaný payload na server z nutnosti. Oddělujeme tyto dvě plochy, aby slib „pouze klient“ zůstal čistý na doméně generátoru, a plocha s obráceným modelem soukromí byla jasně označena zde.
Co je funkce upozornění na mutaci?
Pro tier. Odešlete QR ke sledování a my pravidelně znovu projdeme řetězec. E-mail, když se změní cíle přesměrování, konečný cíl nebo sada provozovatelů přesměrovacích služeb. Zachycuje nejběžnější vzor quishingu ve volné přírodě: vytisknout čistý QR, měsíce poté přepnout cíl na phishing a sklízet skenování z vytištěného materiálu.
Mohu to integrovat do svého bezpečnostního produktu?
Ano, na Pro tieru. API je RESTful a vrací strukturovaný JSON výsledek s typem payloadu, třídou hrozby, mutabilitou, řetězcem přesměrování, přiřazením kontroly k hopu a nálezy sub-payloadů. Navrženo pro integraci do peněženkových aplikací, mobilních bezpečnostních sad, podnikového filtrování URL a obohacovačů náhledů odkazů pro firemní Slack / Teams.
Open source?
V tuto chvíli ne. Klasifikátor je uzavřený zdrojový kód, dokud probíhá udělování patentu. Referenční implementace zveřejněných algoritmů možná vydáme po udělení patentu. Kontrakt API je veřejný a stabilní.