Et direkte HTTPS-link til et Abundera-ejet site. Ingen forkortningstjenester, ingen omdirigeringer. Bedst tænkelige resultat: Godkendt med statisk muterbarhed og et lavt destinationsservermuterbarheds-grundniveau.
https://qr.abundera.ai/
Quishing-forsvar · QR + URL + forkortingstjeneste-sikkerhed
Stol ikke på en QR, før den er godkendt.
En QR-kode er som en fremmed der rækker dig en kuvert. Det samme gælder enhver kort URL – et bit.ly, et t.co eller et link i en DM. Åbn den uden at tjekke, og du kan ende på en legitimationsphishing-side, en åben WiFi-fælde, en wallet-drainer-transaktion eller en Android-intent der sideloader malware. Vi sporer kæden, undersøger destinationen og fortæller dig hvem der kan ændre den efter QR-koden er trykt – det spørgsmål der afgør om en parkeringsautomat-mærkat, en videresendt kort URL, en restaurantmenu eller en virksomheds-MFA-flyer faktisk er sikker.
Ingen tilmelding, ingen konto Payload gemmes aldrig Kameraafkodning sker lokalt Mac, Windows, iOS, Android apps snart
Del dette værktøj · eller gem et kort link til at vende tilbage
Scan en QR-kode med dit kamera, upload et billede, indsæt et billede eller indsæt afkodet tekst.
Kamera og billedafkodning sker i din browser. Kun den afkodede tekst sendes til vores analysator.
Scannerindstillinger
Downloader forbedret afkoder… 0%
Scanningshistorik
Gemt kun på denne enhed, sendes aldrig til vores servere. De seneste 25 scanninger, ældste slettes automatisk. Skysynkroniseret scanningshistorik (på tværs af enheder, 30 dage) er på køreplanen for Personal+-niveauer.
Se det i aktion
Tryk på "Prøv denne scanning" for at køre den her, eller peg din telefons kamera mod QR-koden – den rutes igennem vores scanner og resultatet vises på din telefon. Du behøver ikke besøge noget først.
En QR-kode der rutes via vores egen forkortingstjeneste inden den når sin endelige destination. Resultatet viser hvem der kan ændre destinationen efter udskrivning – muterbarhedsaksen som ingen anden scanner viser.
https://aqr.net/demo-walmart
Et link der med garanti opløses i et andet land end dit (JS'en skifter målet efter at have registreret din region). Demonstrerer lande-chippen pr. hop – en kæde der uventet krydser landegrænser er et stærkere tillidssignal end et enkelt hop alene.
https://www.bundestag.de/
Google vedligeholder denne URL specifikt som en Safe Browsing-testfixtur. Den klassificeres som SOCIAL_ENGINEERING af Safe Browsing – nyttig til at demonstrere at omdømmeoggregator og resultateskalering faktisk virker, uden at linke til et rigtigt phishing-site.
https://testsafebrowsing.appspot.com/s/phishing.html
Sådan virker det
- 1
Afkodning
Din browser afkoder QR-koden lokalt (jsQR). Billedet forlader aldrig din enhed. Vi ser kun den tekstlige payload.
- 2
Afsendelse
Payloaden klassificeres efter URI-skema, struktureret-format-præfiks eller indholdsheuristik i én af 48 analysatorkategorier der tilsammen genkender 222 payload-varianter: HTTP URL (med dusinvis af vært-specifikke genkendere), WiFi, vCard, telefoni, mail, Android-intent, kryptovaluta, indhold-adresseret, inline-data, kalender, geo, Bluetooth-parring, Matter-onboarding, EMV-forhandlerbetaling (PIX, PayNow, PromptPay, UPI og 30+ landeordninger), WireGuard-konfiguration, Smart Health Card, eSIM-aktivering, WalletConnect-parring, FIDO-adgangsnøgle hybrid, hårdblokeret skema eller ren tekst. Hver kategori sendes til sin dedikerede analysator.
- 3
Sporing og klassificering
For HTTP URLs sporer vi omdirigeringskæden igennem videresendelsestjenester (Bitly, Linktree, QR Tiger og ~80 andre), registrerer per-hop-mellemmænd, klassificerer muterbarhed (statisk / dynamisk-enkelt / dynamisk-kædet / annonce-interstitiel / cyklisk) og attribuerer kontrol til hver operatør af videresendelsestjenesten. Parallelt undersøger vi destinationen mod Google Safe Browsing og URLhaus.
- 4
Samling
Vi sammensætter en enkelt resultatform der er invariant på tværs af payload-typer:
threat_class,mutability,chain,attribution,sub_payloads, klartekstdisclosure. Sub-payloads indlejret i en forældre (URL'er i et vCard NOTE-felt, SSID'er der indeholder et link osv.) afsendes rekursivt.
Hvad vi fanger som kun-URL-værktøjer overser
URL-klasse-trusselscannere dækker én af 48 payload-kategorier en QR-kode kan bære, og én enkelt genkender inden for URL-kategorien. Vi genkender 222 payload-varianter på tværs af alle 48. En smagsprøve nedenfor; den fulde liste og Tier 2-køreplanen er på dækningssiden.
Omdirigeringskæde og muterbarhed
Spor hvert hop. Registrer Bitly- og Linktree-kæder. Identificer operatører af videresendelsestjenester. Vis de parter, der kan ændre destinationen efter udskrivning.
WiFi-konfigurations-QR-koder
SSID og kryptering fortolkes og normaliseres. Åbne, svage WEP- og skjulte netværk markeres. Forvekslelige tegn afkodes, så SSID'er der ligner hinanden vises i resultatet.
Kryptopungs-drainere
Validering af adresseformat og kontrolsum pr. kæde. EVM-funktionsselector-registrering (approve, setApprovalForAll, permit). Chainabuse-omdømme.
Matter smart-home-idriftsættelse
Afkod MT: base-38-onboarding-payloads. Udtræk leverandør-ID og produkt-ID. Vis rammen "dette tilmelder en enhed til dit hjemmenetværk", så en udskiftet mærkat ikke lydløst kan slutte sig til et angriberfabrikat.
EMV-forhandler-QR-betalings-swap
Fortolk EMVCo MPM/CPM-payloads (SGQR, PromptPay, PayNow, DuitNow, UPI). CRC-validering og visning af forhandlernavn – fanger klistermærke-swap-angrebet, den hyppigst forekommende QR-svindel globalt.
QR-login-kontoovertagen
Genkend WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub og AWS-enhedskode-QR-login-slutpunkter. Advar om, at scanning giver den, der genererede QR-koden, adgang til din konto.
En ren QR i dag, en phishing-side i morgen
Når en QR-kode er trykt på en mærkat, et menukort eller en flyer, kan du ikke fortryde udskrivningen. Så det resultat der betyder noget er ikke blot "er linket sikkert nu" – det er "hvem kan ændre, hvad det peger på, efter blækket tørrede". Det er muterbarhed.
Statisk QR
walmart.com kodet direkte ind i QR-matricen
Destinationen ligger i prikkmønstret selv. Ingen tredjepart kan omskrive, hvor den fører hen. Det du scanner i dag, er det samme du scanner om et år.
Dynamisk QR (risikoen)
aqr.net/demo-walmart → en forkorter → walmart.com
QR-koden koder en forkorter-URL; forkorterens kontohaver vælger destinationen ved scanningstidspunktet og kan skifte den på 30 sekunder. Ren i dag, phishing i morgen – samme fysiske mærkat. Vi viser kæden, navngiver operatøren af videresendelsestjenesten og fortæller om det udskrevne aktiv er bundet til en snor.
Priser
Gratis til personlig brug, ingen tilmelding. Betalte abonnementer til enkeltpersoner, familier, teams, brands og virksomhedsimplementeringer.
GRUNDLÆGGENDE MEDLEM Din pris. Låst. For evigt. Spar 34% på betalte niveauer, årlig fakturering, tilgængeligt til og med 1. september 2026.
Native apps kommer snart
Samme motor, nativt på macOS, Windows, Linux, iOS og Android. Kamerascanning sker lokalt på enheden; klassificeringen sendes til det samme slutpunkt. abundera.app →
Spørgsmål
Hvad er quishing?
Quishing er QR-kode-phishing: en angriber udskriver, klistrer, sender via e-mail eller DM en QR-kode, der, når den scannes, åbner en side der høster legitimationsoplysninger, en wallet-drainer-transaktion, en åben WiFi-fælde eller en Android-intent der sideloader malware. QR-koden selv er bare et billede, så e-mail-link-filtre og browsere ser det aldrig – indtil offerets telefon allerede har åbnet destinationen. Forsvaret skal ske ved scanningstidspunktet, inden telefonen følger linket.
Hvordan adskiller quishing sig fra almindelig phishing?
Tre forskelle. Angrebet er fysisk eller visuelt – en mærkat over en parkeringsautomat-QR, en trykt flyer der udgiver sig for en MFA-tilmelding, en restaurantmenu-QR erstattet natten over – og det omgår e-mail-gateways fuldstændigt. Ofre har tillid til QR-koder mere end til links i e-mails; en QR føles som en destination valgt af den der har trykt den. Og dynamiske QR-koder der rutes via en forkortingstjeneste kan peges mod en phishing-destination efter det trykte materiale er distribueret – en QR der var sikker ved udskrivning kan blive fjendtlig måneder senere. Statiske link-scannere svarer på "er denne URL skadelig nu" – ikke "hvem kan ændre, hvad den peger på".
Hvordan tjekker jeg om en QR-kode er sikker inden jeg scanner?
Peg ikke din telefons native kamera mod den – det åbner destinationen med det samme. Åbn i stedet check.qr.abundera.ai på din telefon, scan QR-koden via kameraet i siden (afkodning sker lokalt; billedet forlader aldrig din enhed) og læs resultatet. Vi gennemgår hvert omdirigeringshop, klassificerer om destinationen kan kontrolleres af en tredjepart efter QR-koden er trykt, og tjekker omdømme mod Google Safe Browsing og andre aggregatorer. Godkendte resultater er sikre at åbne; Forsigtighed og Gå ikke videre-resultater forklarer hvorfor.
Hvad er virkelige quishing-eksempler?
Parkeringsautomat- og EV-lader-mærkater der dækker den legitime QR med en der peger mod en kreditkortoplysningshøstningsside – det mest rapporterede mønster i 2024-2025, observeret i Austin, San Antonio og på tværs af UK. Restaurantmenu-QR'er skiftet ud med phishing-sider natten over af en angriber der fysisk udskifter bordskiltet. Virksomheds-MFA-tilmeldings-flyers på kontorbadeværelser der ser officielle ud men tilmelder angriberens enhed. Bryllupsindbydelses-QR'er distribueret måneder før arrangementet, hvor et kompromitteret forkortingskonto lader en angriber pege tusindvis af trykte kort et nyt sted. Kryptobetaling-QR'er ved kasseterminalerne overlejret med angriberens tegnebogsadresse. Den røde tråd: den trykte QR er identisk med den sikre.
Hvad er forskellen fra Google Safe Browsing eller VirusTotal?
Eksisterende værktøjer klassificerer om en URL er skadelig aktuelt. Vi klassificerer derudover om destinationen kan kontrolleres af en tredjepart efter QR-koden er trykt – en egenskab vi kalder muterbarhed. En ren dynamisk QR rutes via en forkortingstjeneste er stadig høj-risiko for en parkeringsautomat-mærkat eller bryllupsindbydelses: forkortingskontoens indehaver kan ændre destinationen når som helst. Vi viser denne kontrol-posture som et første-klasses resultatfelt ved siden af trusselindholdsresultatet.
Gemmer I den QR-kode jeg scannede?
Nej. Den afkodede payload rejser til vores server via HTTPS, så vi kan gennemgå kæden og forespørge omdømmedatabaser – det er en funktionel nødvendighed, ikke et valg – men den gemmes aldrig. Resultater caches ved en SHA-256-hash af en payload-type-diskriminator sammensat med en serverholdt hemmelig salt. Den originale payload kan ikke rekonstrueres fra nogen cachepost.
Hvorfor et separat domæne fra qr.abundera.ai?
qr.abundera.ai er en generator der lover alt-klient-side: intet forlader din enhed. Denne sikkerhedstjekker sender det afkodede payload til serveren af nødvendighed. Vi adskiller de to overflader, så løftet om kun klient-siden forbliver rent på generatordomænet, og overfladen med den omvendte privatlivsmodel er klart mærket her.
Hvad er mutationsalert-funktionen?
Pro-niveau. Indsend en QR til sporing, og vi gennemgår kæden periodisk. E-mail når omdireringsmål, slutdestination eller mængden af videresendelsestjenesteoperatører ændres. Dette fanger det mest almindelige quishing-i-naturen-mønster: udskriv en ren QR, skift destinationen til phishing måneder senere, høst scanninger fra det trykte materiale.
Kan jeg integrere dette i mit sikkerhedsprodukt?
Ja, på Pro-niveauet. API'en er RESTful og returnerer et struktureret JSON-resultat med payload-type, trusselklasse, muterbarhed, omdirigeringskæde, per-hop-kontrolattribuering og sub-payload-fund. Designet til indlejring i tegnebogs-apps, mobilsikkerhedspakker, virksomheds-URL-filtrering og virksomheds Slack/Teams-linkforhåndsvisnings-beriggere.
Open source?
Ikke på nuværende tidspunkt. Klassifikatoren er closed-source mens det underliggende patentarbejde er under behandling. Vi offentliggør muligvis referenceimplementeringer af afslørede algoritmer efter udstedelse. API-kontrakten er offentlig og stabil.