Ein direkter HTTPS-Link zu einer Abundera-eigenen Seite. Keine Shortener, keine Weiterleitungen. Bestmögliches Urteil: Freigegeben mit statischer Veränderbarkeit und einem niedrigen Veränderbarkeits-Score des Zielservers.
https://qr.abundera.ai/
Quishing-Schutz · QR + URL + Shortener-Sicherheit
Einem QR nicht vertrauen, bis er freigegeben ist.
Ein QR-Code ist wie ein Fremder, der Ihnen einen Umschlag reicht. Dasselbe gilt für jede Kurz-URL, ein bit.ly, ein t.co oder einen Link in einer DM. Öffnen Sie ihn ohne Prüfung, können Sie auf einer Seite zum Abgreifen von Zugangsdaten, einer offenen WLAN-Falle, einer Wallet-Drainer-Transaktion oder einem Android-Intent landen, der Malware nachlädt. Wir verfolgen die Kette, prüfen das Ziel und sagen Ihnen, wer es nach dem Druck des QR ändern kann, die Frage, die entscheidet, ob ein Parkautomaten-Aufkleber, eine weitergeleitete Kurz-URL, ein Restaurantmenü oder ein Unternehmens-MFA-Flyer wirklich sicher ist.
Keine Registrierung, kein Konto Payload wird nie gespeichert Kamera-Dekodierung bleibt lokal Mac, Windows, iOS, Android Apps demnächst
Dieses Tool teilen · oder einen Kurzlink speichern
QR-Code per Kamera scannen, ein Bild hochladen, ein Bild einfügen oder dekodierten Text einfügen.
Kamera und Bilddekodierung laufen in Ihrem Browser. Nur der dekodierte Text wird an unseren Analyzer gesendet.
Scanner-Einstellungen
Erweiterter Decoder wird heruntergeladen… 0%
Scanverlauf
Nur auf diesem Gerät gespeichert, nie an unsere Server übermittelt. Die letzten 25 Scans, ältere werden automatisch entfernt. Cloud-synchronisierter Scanverlauf (geräteübergreifend, 30 Tage) ist für Personal+-Tarife geplant.
In Aktion
Tippen Sie auf „Disesen Scan testen“, um ihn hier auszuführen, oder halten Sie die Handykamera an den QR. Er wird durch unseren Scanner geleitet, und das Ergebnis erscheint auf Ihrem Telefon. Kein vorheriger Seitenaufruf nötig.
Ein QR, der über unseren eigenen Shortener zum Endziel führt. Das Ergebnis zeigt wer das Ziel nach dem Druck ändern kann, die Veränderbarkeits-Dimension, die kein anderer Scanner anzeigt.
https://aqr.net/demo-walmart
Ein Link, der garantiert in einem anderen Land aufgelöst wird als Ihrem (das JS tauscht das Ziel nach der Regionsermittlung). Zeigt den länderspezifischen Hop-Chip: Eine Kette, die unerwartet Grenzen überschreitet, ist ein stärkeres Vertrauenssignal als ein einzelner Hop allein.
https://www.bundestag.de/
Google pflegt diese URL eigens als Safe-Browsing-Testfixture. Sie wird von Safe Browsing als SOCIAL_ENGINEERING eingestuft und eignet sich, um zu zeigen, dass der Reputationsaggregator und die Urteilseskalation tatsächlich funktionieren, ohne auf eine echte Phishing-Seite zu verlinken.
https://testsafebrowsing.appspot.com/s/phishing.html
So funktioniert es
- 1
Dekodieren
Ihr Browser dekodiert den QR lokal (jsQR). Das Bild verlässt Ihr Gerät nie. Wir sehen nur den textuellen Payload.
- 2
Weiterleiten
Der Payload wird anhand von URI-Schema, strukturiertem Format-Präfix oder Inhalts-Heuristik einer von 48 Analyzer-Kategorien zugeordnet, die zusammen 222 Payload-Varianten erkennen: HTTP URL (mit Dutzenden hostspezifischen Erkennern), WiFi, vCard, Telefonie, Mail, Android-Intent, Kryptowährung, inhaltsadressierte Daten, Inline-Daten, Kalender, Geo, Bluetooth-Pairing, Matter-Onboarding, EMV-Händlerzahlung (PIX, PayNow, PromptPay, UPI und 30+ Länderschemata), WireGuard-Konfiguration, Smart Health Card, eSIM-Aktivierung, WalletConnect-Pairing, FIDO-Passkey-Hybrid, gesperrtes Schema oder Klartext. Jede Kategorie wird an ihren eigenen Analyzer weitergeleitet.
- 3
Verfolgen + klassifizieren
Bei HTTP-URLs verfolgen wir die Weiterleitungskette durch Weiterleitungsdienste (Bitly, Linktree, QR Tiger und ca. 80 weitere), erfassen Zwischenstationen je Hop, klassifizieren die Veränderbarkeit (statisch / dynamisch-einfach / dynamisch-verkettet / Werbe-Interstitial / zyklisch) und ordnen jedem Weiterleitungsdienstbetreiber die Kontrolle zu. Parallel prüfen wir das Ziel gegen Google Safe Browsing und URLhaus.
- 4
Vereinheitlichen
Wir erstellen eine einheitliche Urteilsstruktur, die über alle Payload-Typen invariant ist:
threat_class,mutability,chain,attribution,sub_payloads, verständlichedisclosure. Teilpayloads, die in einem übergeordneten Payload eingebettet sind (URLs in einem vCard-NOTE-Feld, SSIDs mit Link usw.), werden rekursiv weitergeleitet.
Was wir erkennen, das reine URL-Tools verpassen
URL-Bedrohungsscanner decken eine von 48 Payload-Kategorien ab, die ein QR tragen kann, und das nur mit einem einzigen Erkenner innerhalb der URL-Kategorie. Wir erkennen 222 Payload-Varianten über alle 48. Eine Auswahl unten; die vollständige Liste und der Tier-2-Fahrplan sind auf der Coverage-Seite.
Weiterleitungskette & Veränderbarkeit
Jeden Hop zurückverfolgen. Bitly- und Linktree-Ketten erkennen. Betreiber von Weiterleitungsdiensten identifizieren. Die Parteien sichtbar machen, die das Ziel nach dem Druck ändern können.
WiFi-Konfigurations-QRs
SSID und Verschlüsselung geparst und normalisiert. Offene, schwache WEP- und versteckte Netzwerke werden markiert. Verwechslbare SSIDs werden dekodiert und im Ergebnis angezeigt.
Krypto-Wallet-Drainer
Adressformat und Prüfsumme je Kette validiert. EVM-Funktionsselektor-Erkennung (approve, setApprovalForAll, permit). Chainabuse-Reputation.
Matter Smart-Home-Inbetriebnahme
Dekodiert MT:-Base-38-Onboarding-Payloads. Hersteller-ID und Produkt-ID extrahiert. Das Framing „dieses Gerät wird in Ihr Heimnetzwerk eingebunden“ wird angezeigt, damit ein ausgetauschter Aufkleber nicht unbemerkt einem Angreifernetz beitritt.
EMV-Händler-QR-Zahlungsangriff
EMVCo MPM/CPM-Payloads geparst (SGQR, PromptPay, PayNow, DuitNow, UPI). CRC-Validierung und Händlername sichtbar gemacht, erkennt den Aufkleber-Tausch-Angriff, den weltweit häufigsten QR-Betrug.
QR-Login-Kontoübernahme
Erkennt WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub und AWS Device-Code-QR-Login-Endpunkte. Warnt, dass das Scannen dem QR-Ersteller Zugriff auf Ihr Konto gewährt.
Heute ein sauberer QR, morgen eine Phishing-Seite
Sobald ein QR auf einen Aufkleber, ein Menü oder einen Flyer gedruckt ist, lässt er sich nicht undrucken. Das entscheidende Urteil lautet daher nicht nur „Ist der Link gerade sicher?“, sondern „Wer kann das Ziel ändern, nachdem die Tinte getrocknet ist?“ Das ist Veränderbarkeit.
Statischer QR
walmart.com direkt in die QR-Matrix kodiert
Das Ziel steckt im Punktmuster selbst. Kein Dritter kann ändern, wohin es führt. Was Sie heute scannen, scannen Sie auch in einem Jahr.
Dynamischer QR (das Risiko)
aqr.net/demo-walmart → Shortener → walmart.com
Der QR kodiert eine Shortener-URL; der Inhaber des Shortener-Kontos wählt das Ziel beim Scan und kann es in 30 Sekunden tauschen. Heute sauber, morgen Phishing, derselbe physische Aufkleber. Wir zeigen die Kette, nennen den Betreiber des Weiterleitungsdienstes und sagen, ob das gedruckte Asset an der Leine liegt.
Preise
Kostenlos für den privaten Gebrauch, keine Registrierung. Bezahlpläne für Einzelpersonen, Familien, Teams, Marken und Unternehmens-Rollouts.
GRÜNDUNGSMITGLIED Ihr Preis. Festgeschrieben. Für immer. 34 % Rabatt auf bezahlte Tarife, Jahresabrechnung, verfügbar bis 1. September 2026.
Native Apps kommen bald
Dieselbe Engine, nativ auf macOS, Windows, Linux, iOS und Android. Kamera-Scan bleibt auf dem Gerät; die Klassifizierung geht an denselben Endpunkt. abundera.app →
Fragen
Was ist Quishing?
Quishing ist QR-Code-Phishing: Ein Angreifer druckt, klebt, verschickt per E-Mail oder DM einen QR-Code, der beim Scannen eine Seite zum Abgreifen von Zugangsdaten, eine Wallet-Drainer-Transaktion, eine offene WLAN-Falle oder einen Android-Intent öffnet, der Malware nachlädt. Der QR selbst ist nur ein Bild, deshalb greifen E-Mail-Linkfilter und Browser-Warnungen erst an, wenn das Telefon des Opfers das Ziel bereits geöffnet hat. Die Abwehr muss beim Scan erfolgen, bevor das Telefon dem Link folgt.
Wie unterscheidet sich Quishing von herkömmlichem Phishing?
Drei Unterschiede. Der Angriffsvektor ist physisch oder visuell, ein Aufkleber über dem QR eines Parkautomaten, ein gedruckter Flyer, der eine MFA-Registrierung imitiert, ein über Nacht ausgetauschter Restaurant-Menü-QR, sodass E-Mail-Gateways ihn nicht sehen. Opfer vertrauen QR-Codes mehr als E-Mail-Links; ein QR wirkt wie ein Ziel, das der Drucker des Mediums festgelegt hat. Und dynamische QRs über einen Shortener können nach der Verteilung auf ein Phishing-Ziel umgeleitet werden, sodass ein beim Druck sicherer QR Monate später gefährlich werden kann. Statische Link-Scanner beantworten „Ist diese URL gerade bösartig?“, nicht „Wer kann das Ziel nach dem Druck ändern?“.
Wie prüfe ich, ob ein QR-Code sicher ist, bevor ich ihn scanne?
Öffnen Sie die native Kamera Ihres Telefons nicht darauf, sie öffnet das Ziel sofort. Öffnen Sie stattdessen check.qr.abundera.ai auf Ihrem Telefon, scannen Sie den QR über die integrierte Kamera (die Dekodierung erfolgt lokal; das Bild verlässt Ihr Gerät nie), und lesen Sie das Ergebnis. Wir verfolgen jeden Weiterleitungs-Hop, klassifizieren, ob das Ziel nach dem Druck von einem Dritten kontrollierbar ist, und prüfen die Reputation gegen Google Safe Browsing und andere Aggregatoren. Urteile mit Freigegeben sind sicher zu öffnen; Urteile mit Vorsicht und Nicht fortfahren erklären, warum.
Welche realen Quishing-Beispiele gibt es?
Aufkleber an Parkautomaten und Ladestationen, die den legitimen QR mit einem überdecken, der auf eine Seite zum Abgreifen von Kreditkartendaten führt, das meistgemeldete Muster 2024–2025, beobachtet in Austin, San Antonio und im gesamten Vereinigten Königreich. Restaurant-Menü-QRs, die über Nacht von einem Angreifer ausgetauscht wurden. Unternehmensflyer zur MFA-Registrierung in Bürogebäuden, die offiziell wirken, aber das Gerät des Angreifers anmelden. Hochzeitseinladungs-QRs, die Monate vor dem Ereignis verschickt wurden, bei denen eine kompromittierte Shortener-Konto-Übernahme einem Angreifer ermöglicht, Tausende gedruckter Karten umzuleiten. Krypto-Zahlungs-QRs an Kassensystemen, die mit der Wallet-Adresse des Angreifers überklebt wurden. Der gemeinsame Nenner: Der gedruckte QR sieht identisch aus wie der echte.
Worin unterscheidet sich das von Google Safe Browsing oder VirusTotal?
Bestehende Tools klassifizieren, ob eine URL aktuell bösartig ist. Wir klassifizieren zusätzlich, ob das Ziel nach dem Druck von einem Dritten kontrollierbar ist, eine Eigenschaft, die wir Veränderbarkeit nennen. Ein sauberer dynamischer QR über einen Shortener ist für einen Parkautomaten-Aufkleber oder eine Hochzeitseinladung trotzdem hochriskant: Der Shortener-Kontoinhaber kann das Ziel jederzeit ändern. Diesen Kontrollstatus zeigen wir als eigenes Urteilsfeld neben dem Bedrohungsinhalt-Urteil.
Speichert ihr den von mir gescannten QR?
Nein. Der dekodierte Payload wird über HTTPS an unseren Server übermittelt, damit wir die Kette verfolgen und Reputationsdatenbanken abfragen können. Das ist eine funktionale Notwendigkeit, keine Wahl, aber er wird nie gespeichert. Urteile werden per SHA-256-Hash eines payload-typspezifischen Diskriminators, konkateniert mit einem serverseitig gespeicherten geheimen Salt, gecacht. Der ursprüngliche Payload kann aus keinem Cache-Eintrag rekonstruiert werden.
Warum eine eigene Domain statt qr.abundera.ai?
qr.abundera.ai ist ein Generator mit dem Versprechen, alles clientseitig abzuwickeln: nichts verlässt Ihr Gerät. Dieser Safety-Checker übermittelt den dekodierten Payload aus funktionalen Gründen an den Server. Wir trennen die beiden Oberflächen, damit das Nur-Client-Versprechen auf der Generator-Domain sauber bleibt und die umgekehrte Datenschutzoberfläche hier klar gekennzeichnet ist.
Was ist die Mutations-Alarm-Funktion?
Pro-Tarif. Übermitteln Sie einen QR zum Monitoring, und wir verfolgen die Kette periodisch neu. E-Mail-Benachrichtigung, wenn sich Weiterleitungsziele, das Endziel oder die Betreiber der Weiterleitungsdienste ändern. Das erkennt das häufigste Quishing-Muster: sauberen QR drucken, Monate später auf Phishing umleiten, Scans vom gedruckten Asset abgreifen.
Kann ich das in mein Sicherheitsprodukt einbetten?
Ja, im Pro-Tarif. Die API ist RESTful und gibt ein strukturiertes JSON-Urteil zurück mit Payload-Typ, Bedrohungsklasse, Veränderbarkeit, Weiterleitungskette, Kontrollzuordnung je Hop und Teilpayload-Befunden. Konzipiert für den Einsatz in Wallet-Apps, mobilen Sicherheitslösungen, Enterprise-URL-Filtern sowie Slack- und Teams-Link-Vorschau-Anreicherern.
Open-Source?
Derzeit nicht. Der Klassifikator ist proprietär, solange die zugehörigen Patente im Prüfungsverfahren sind. Nach der Erteilung werden wir möglicherweise Referenzimplementierungen offengelegter Algorithmen veröffentlichen. Der API-Vertrag ist öffentlich und stabil.