What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Feltguide

QR-kodesvindel at holde øje med i 2026

En QR-kode er blot en kodet streng. Faren er ikke formatet — det er, hvad strengen fortæller din telefon at gøre, og at du normalt scanner uden at læse. Her er de ti angreb, der sker lige nu, hvordan hvert ser ud i det virkelige liv, og hvordan man opdager det, inden man trykker.

Tjek en QR nu → QR-standarder vi dekoder →

1. Klistermærkebytning på parkometre, menuer og EV-ladere

Hvad det ligner: En lille klistermærke placeret pænt over den legitime QR på en parkometre, restaurantmenu, EV-ladestation eller selvbetjeningskasse. Klistermærke-QR'en ser identisk ud med den ægte. Scan den, og du lander på en betalingsside, der ligner byens eller restaurantens. Betal, og pengene går til angriberen. Flere store amerikanske byer oplevede dette i 2023-2024 (San Antonio, Austin, Houston); EV-laderstationsklistermærker eksploderede i 2024-2025.

Sådan spotter du det: Se på QR'en. Er den trykt direkte på overfladen (graveret, malet, indlejret under laminat)? Eller er det et klistermærke? Kør en negl langs en kant — hvis den løfter sig, er det et klistermærke. Ægte parkerings- og EV-lader-QRs er næsten altid permanente. For menuer, spørg tjeneren, hvilken betalingsside der er reel; legitime operatører bekræfter gerne. Og slip QR'en ind i vores scanner, inden du trykker på betal — den dekodede destination afslører det.

Læs mere: EMVCo-handelsbetalings-QRs →

2. Evil-twin Wi-Fi på lufthavne, hoteller og konferencecentre

Hvad det ligner: Et trykt kort eller klistermærke, der reklamerer for gratis Wi-Fi: "Airport_Free_WiFi", "Starbucks_Guest_2", "ConferenceGuest". Scan QR'en, din telefon forbinder til netværket, og du har internet. Men netværket er en angribers telefonhotspot, der kører i samme rum. De proxyer din trafik til det rigtige internet, så intet føles forkert, men de ser DNS-forespørgsler, SNI-værtsnavne, al HTTP-fallback-trafik, og de kan servere falske captive portals, der beder om legitimationsoplysninger.

Sådan spotter du det: Kontroller, at SSID matcher det, stedet officielt offentliggør. Lufthavne angiver deres gæste-Wi-Fi-navn på det officielle lufthavnswebsted; hoteller angiver det i receptionen. Lookalike-navne (ekstra tegn, byttede bogstaver, "Free" tilføjet) er angrebssignaturen. Vores scanner markerer lookalike-SSID'er mod en liste med høj-mimetiske brandnavne. Brug blot mobildata, hvis du er i tvivl.

Læs mere: Wi-Fi-legitimationsoplysnings-QRs →

3. Passkey-QR-phishing

Hvad det ligner: Du logger ind på et site på en stationær computer. Sitet viser en QR til at parre din telefons passkey. En angriber, der har narret dig til det forkerte site, viser dig sin QR, der parrer din passkey med DERES aktive login på det rigtige site. De er nu logget ind på din konto. CTAP 2.2-hybridtransporten (standarden bag passkey-QRs) er kryptografisk sund; angrebet er rent på den menneskelige side — at få dig til at scanne en QR fra en skærm, der ikke er det site, du tror.

Sådan spotter du det: Inden du scanner en passkey-QR, skal du bekræfte sidens URL i din browsers adresselinje. Phishing-sites bruger ofte et tastefejlssquat (ekstra bindestreg, byttede bogstaver, .co i stedet for .com). Passkey-QR'en i sig selv er fin — spørgsmålet er, om siden, der viser den, er reel. Desuden: passkey-QRs er kortvarige (typisk under et minut) — en QR, der sidder på en statisk hjælpeside i timer, er mistænkelig.

Læs mere: FIDO2 passkey-QRs →

4. Authenticator-eksporttyveri

Hvad det ligner: Nogen låner din ulåste telefon til "et hurtigt foto". De åbner Google Authenticator, trykker på Overfør konti → Eksporter, genererer en QR og fotograferer den med deres telefon. Derefter giver de din tilbage. Den QR indeholder alle authenticator-frø (Google, AWS, GitHub, din bank, din kryptobørs) base64-kodet i en protobuf. De kan nu generere dine 6-cifrede koder for hver konto — for evigt — indtil du nulstiller hver enkelt.

Sådan spotter du det: Forsvaret er ikke at spotte QR'en — det er aldrig at lade den blive genereret. Overdriv ikke en ulåst telefon. Hvis du skal dele noget, gør det selv. Desuden: de fleste authenticator-apps kræver nu biometrisk lås på eksportflowet, men Googles gjorde det ikke før sent i 2023, og gamle telefoner springer det muligvis stadig over. Hvis du mistænker, at dette er sket, skal du behandle det som et fuldt brud og nulstille 2FA på alle konti, du har i authenticatoren.

Læs mere: otpauth-migrations-QRs →

5. Boardingpas-fotoopslag

Hvad det ligner: En rejsende opslår et foto af sit boardingpas på Instagram eller LinkedIn — "off to Tokyo!" PDF417-stregkoden (eller QR'en) på passet koder flyselskabets bookingreference (PNR) og billetnummer i klartekst. En angriber, der screenshotter fotoet, dekoder stregkoden, slår bookingen op på flyselskabets site (PNR + efternavn er normalt nok) og kan annullere turen, ændre sædet, se hele rejseplanen eller udløse refusionsflows.

Sådan spotter du det: Opslå ikke fotos af boardingpas. Hvis du skal, så slør eller beskær stregkoden OG bookingreferencen (normalt trykt et sted som en 6-tegns alfanumerisk kode). QR/stregkoden er et perfekt angrebsmål, fordi den er maskinlæselig fra ethvert telefonskærmbillede.

Læs mere: IATA BCBP-boardingpas-QRs →

6. Kørekort-stregkodehøstning

Hvad det ligner: En bar, klub, vapebutik, dispensary eller aldersrestrikteret forhandler scanner PDF417-stregkoden på bagsiden af dit kørekort for at "tjekke din alder". Stregkoden koder ALLE attributter på kørekortet i klartekst: navn, adresse, fødselsdato, kørekortnummer, højde, vægt, øjenfarve. Nogle operatører beholder disse data, sælger dem til marketingaggregationsvirksomheder eller har dem stjålet i brud. En rigtig dørmand skal vide én ting: er du af lovlig alder. De behøver ikke din adresse.

Sådan spotter du det: Spørg, hvad der scannes, og hvorfor. Nogle steder skal kun bekræfte alder; andre (store klubber i visse jurisdiktioner) er juridisk forpligtet til at beholde data. Sæt foden ned, hvis stedet er lille og uformelt. Hvis du har et mobilt kørekort, skal du bruge det — mDL'er understøtter selektiv afsløring (baren kan bede om blot "over 21? ja/nej" uden at se din fødselsdato).

Læs mere: AAMVA-kørekort-PDF417 →

7. Kryptodrainer-QRs ved NFT-begivenheder og fysisk kunst

Hvad det ligner: En QR ved en NFT-begivenhed, galleriåbning, konferencebod eller trykt inde i fysisk kunst hævder at udmønte en gratis NFT eller kræve et airdrop. Scan den — QR'en åbner en WalletConnect-session eller et deep-link til din wallet-app, og du bliver bedt om at underskrive en transaktion. Transaktionen godkender en ondsindet kontrakt til at tappe alle tokens i din pung. Drainer-kits er commodity-software; QR'en er blot leveringsmekanismen.

Sådan spotter du det: Læs transaktionsprompten i din pung, inden du underskriver. Hvis den beder om tokengodkendelser (især setApprovalForAll eller ubegrænset approve-forbrug) for en kontrakt, du ikke genkender, afvis. Gratis-NFT-kræve-QRs ved tilfældige boder er ikke risikoen værd. Brug en separat "hot" pung med minimal saldo til in-person-interaktioner; hold dine rigtige aktiver i en pung, du aldrig forbinder til QR-sessioner.

8. Klistermærke over en velgørende organisations/donations-QR

Hvad det ligner: En flyer til en rigtig velgørende organisation er opslået på et offentligt sted. En angriber dækker donations-QR'en med sit eget klistermærke, der peger på en pung, de kontrollerer, eller en falsk donationsside. Donationerne går til angriberen. Dette er mest almindeligt i forbindelse med naturkatastrofer og store nyhedsbegivenheder — den legitime velgørende organisation reklamerer intenst, og angriberen klistrer sig på.

Sådan spotter du det: Samme som #1 — er QR'en et klistermærke over den trykte version, eller er den en del af det originale tryk? Desuden, donér ved at skrive velgørende organisations-URL'en i din browser selv, eller brug velgørende organisations officielle app. QR-koder er praktiske, men de er ikke en tillids-kæde.

9. Forfalsket produktpas-QR

Hvad det ligner: En QR på et tekstil, batteri, elektronisk enhed eller møbel hævder at være produktets EU's Digitale Produktpas (ESPR-krav, indfases 2027-2030). Scan den, og en stilfuld webside viser dig produktets oprindelse, genbrugt indhold, bæredygtighedspåstande. Intet af det er reelt — producenten af forfalskningen har blot betalt for en generisk DPP-stylet landingsside. Efterhånden som DPP implementeres, forventes dette at skalere: regulatorer er stadig ved at opbygge det EU-register, der forankrer ægthed.

Sådan spotter du det: Kontroller, om udstederfeltet i DPP'en løses til en registreret EU-økonomioperatør. EU-Kommissionen har endnu ikke offentliggjort det konsoliderede register pr. medio 2026; indtil da skal DPP-påstande behandles som vejledende snarere end verificerede. Vores scanner udtrækker udstederfeltet og DPP-server-URL'en, så du kan foretage det opslag.

Læs mere: EU's digitale produktpas →

10. Fjendtlig mDL-verifikator, der beder om for meget

Hvad det ligner: Du præsenterer dit mobile kørekort (mDL) på en bar eller i en butik. Deres verifikationsapp beder om fulde navn, fuld fødselsdato, kørekortnummer, adresse OG foto, selvom transaktionen kun kræver aldersverifikation. Du godkender af vane. Nu har en lille virksomhed din fulde identitet på fil, opbevaret ved ingen ved hvem-ved-hvem-lang tid, solgt til ingen ved hvem. Standarden kræver, at pungen viser dig anmodningslisten, men det stopper dig ikke i at godkende blanke oplysninger.

Sådan spotter du det: Læs anmodningsprompten. Hvis verifikatoren ønsker mere end transaktionen kræver (en bar, der beder om din adresse; en butikekspeditør, der beder om dit kørekortnummer), afvis og bed om den minimale version (kun age_over_21). Hvis de nægter, har du en politisk beslutning: overdriv mere end nødvendigt, eller gå. Standarden er på din side; verifikator-side-økosystemet er endnu ikke reguleret.

Læs mere: Mobilt kørekort (ISO 18013-5) →

Hvad skal du gøre, hvis du allerede har scannet noget dårligt

Betalingsside: Hvis du har indtastet kortoplysninger, skal du kontakte din bank nu for at markere transaktionen og genudstede kortet. Vent ikke på, at gebyret behandles.
Wi-Fi: Glem netværket på din telefon. Kør en hurtig kontrol af nyligt brugte apps for prompter, der beder om legitimationsoplysninger. Skift adgangskoder på alt, du brugte, mens du var forbundet, især alt, der faldt tilbage til HTTP.
Passkey: Log ind på den berørte konto, gå til sikkerhedsindstillinger, list aktive passkeys, fjern alt, du ikke genkender. Nulstil også din adgangskode, hvis sitet tilbyder det.
Authenticator-eksport: Behandl dette som et fuldt brud. Nulstil 2FA på hver konto, der var i authenticatoren. Start med høje værdier (bank, e-mail, kryptobørs, GitHub, AWS).
Boardingpas opslået: Kontakt flyselskabet, skift bookingreferencen, hvis det er muligt, og opsæt en flystatus-advarsel, så du bemærker, hvis nogen ændrer bookingen.
Kryptodrainer underskrevet: Flyt resterende aktiver til en ny pung med det samme. Tilbagekald kontraktgodkendelser på alle chains, du brugte (revoke.cash og lignende værktøjer håndterer de fleste chains). De tappede tokens er normalt uoprettelige.

Tjek inden du scanner

Slip en QR (billede, indsæt eller kamera) ind i vores scanner. Du ser den dekodede nyttelast, omdirigeringskæden, hvis det er en URL, hvem der kan ændre destinationen fremover, og omdømmeflag. Beslutningen er din; informationen er på skærmen, inden du handler.

Åbn scanner →