What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Kenttäopas

QR-koodihuijauksia joihin kannattaa varautua vuonna 2026

QR-koodi on vain koodattu merkkijono. Vaara ei ole formaatti, vaan mitä merkkijono käskee puhelintasi tekemään, ja se että yleensä skannaat lukematta. Tässä ovat kymmenen hyökkäystä jotka tapahtuvat juuri nyt, miltä kukin näyttää luonnossa, ja miten tunnistat sen ennen napauttamista.

Tarkista QR nyt → QR-standardit joita dekoodaamme →

1. Tarranvaihto pysäköintimittareissa, menuissa ja sähköauton latureissa

Miltä se näyttää: Pieni tarratarra sijoitettuna siististi laillisen QR-koodin päälle pysäköintimittarissa, ravintolan menussa, sähköauton latureessa tai itsepalvelukassassa. Tarra-QR näyttää identtiseltä aidolle. Skannaa se ja päädyt maksusivulle joka näyttää kaupungin tai ravintolan sivulta. Maksa, ja rahat menevät hyökkääjälle. Useita suuria yhdysvaltalaisia kaupunkeja kohtasi tämän vuosina 2023-2024 (San Antonio, Austin, Houston); sähköauton latausaseman tarrat räjähtivät vuosina 2024-2025.

Miten tunnistat sen: Katso QR-koodia. Onko se tulostettu suoraan pinnalle (kaiverrettu, maalattu, upotettu laminaatin alle)? Vai onko se tarra? Aja kynsi reunaa pitkin, jos se irtoaa, se on tarra. Aidot pysäköintimittareiden ja sähköauton latureiden QR-koodit ovat lähes aina pysyviä. Menujen osalta, kysy tarjoilijalta mikä maksusivu on oikea; lailliset operaattorit vahvistavat mielellään. Ja pudota QR skanneriimme ennen maksamisen napauttamista, dekoodattu kohdeosoite on paljastava merkki.

Lue lisää: EMVCo kauppiasmaksu-QR:t →

2. Evil-twin Wi-Fi lentokentillä, hotelleissa ja konferenssikeskuksissa

Miltä se näyttää: Tulostettu kortti tai tarra joka mainostaa ilmaista Wi-Fiä: "Airport_Free_WiFi", "Starbucks_Guest_2", "ConferenceGuest". Skannaa QR, puhelimesi liittyy verkkoon, sinulla on internet. Mutta verkko on hyökkääjän puhelinhotspot joka toimii samassa huoneessa. He välittävät liikenteesi oikealle internetille jotta mikään ei tunnu rikkinäiseltä, mutta he näkevät DNS-kyselyt, SNI-isäntänimet, mahdollisen HTTP-varaliikenteen, ja voivat tarjoilla väärennettyjä captive-portaleja tunnistetietoja pyytäen.

Miten tunnistat sen: Varmista että SSID vastaa mitä paikka virallisesti julkaisee. Lentokentät listaavat vierasverkon nimen virallisella lentokenttäsivustollaan; hotellit listaavat sen vastaanotossa. Samankaltaiset nimet (lisämerkit, vaihdetut kirjaimet, "Free" lisätty) ovat hyökkäyksen tunnusmerkki. Skannaurimme merkitsee samankaltaiset SSID:t korkean jäljittelyn tuotemerkkien listaa vasten. Epäillessäsi, käytä vain mobiilidata.

Lue lisää: Wi-Fi-tunnistetietoja QR-koodit →

3. Passkey-QR-phishing

Miltä se näyttää: Kirjaudut sivustolle pöytätietokoneella. Sivusto näyttää QR:n puhelimesi passkeyn yhdistämistä varten. Hyökkääjä joka huijasi sinut väärään sivustoon näyttää sinulle oman QR:nsä, yhdistäen passkeytesi HEIDÄN aktiiviseen kirjautumiseensa oikealla sivustolla. He ovat nyt kirjautuneena tilillesi. CTAP 2.2 hybridisiirto (passkey-QR:ien taustalla oleva standardi) on kryptografisesti vakaa; hyökkäys on puhtaasti ihmispuolella, saaden sinut skannaamaan QR näytöltä joka ei ole se sivusto jonka luulet sen olevan.

Miten tunnistat sen: Ennen passkey-QR:n skannaamista, varmista sivun URL selaimesi osoitepalkilta. Phishing-sivustot käyttävät usein typosquattia (ylimääräinen viiva, vaihdetut kirjaimet, .co .com:in sijaan). Passkey-QR itsessään on kunnossa; kysymys on onko sitä näyttävä sivu aito. Lisäksi: passkey-QR:t ovat lyhytikäisiä (yleensä alle minuutti), QR joka istuu staattisella ohjesivulla tunteja on epäilyttävä.

Lue lisää: FIDO2 passkey QR-koodit →

4. Autentikaattorin viennin varkaus

Miltä se näyttää: Joku lainaa lukitsematonta puhelintasi "nopean kuvan" vuoksi. He avaavat Google Authenticatorin, napauttavat Siirrä tilejä → Vie, luovat QR:n ja valokuvaavat sen omalla puhelimellaan. Sitten he antavat sinun takaisin. Tuo QR sisältää jokaisen autentikaattorin siemenen (Google, AWS, GitHub, pankkisi, kryptopörssisi) base64-koodattuna protobufissa. He voivat nyt luoda 6-numeroiset koodisi jokaiselle tilille, ikuisesti, kunnes nollaat jokaisen.

Miten tunnistat sen: Puolustus ei ole QR:n havaitseminen, vaan sen estäminen ettei sitä koskaan luoda. Älä luovuta lukitsematonta puhelinta. Jos sinun täytyy jakaa jotain, tee se itse. Lisäksi: useimmat autentikaattorisovellukset vaativat nyt biometrisen lukituksen avauksen vientikierroksella, mutta Googlen ei tehty sitä ennen vuoden 2023 loppua ja vanhat puhelimet saattavat edelleen ohittaa sen. Jos epäilet tätä tapahtuneen, käsittele se täydellisenä tietomurtona, nollaa 2FA jokaiselle tilille joka sinulla on autentikaattorissa.

Lue lisää: otpauth-migration QR-koodit →

5. Boarding-korttikuvan julkaiseminen

Miltä se näyttää: Matkustaja julkaisee kuvan boarding-kortistaan Instagramissa tai LinkedInissä, "matkalla Tokioon!" Boarding-kortin PDF417-viivakoodi (tai QR) koodaa lentoyhtiön varausviitteen (PNR) ja lipputunnuksen selkokielisenä. Hyökkääjä joka ottaa kuvakaappauksen kuvasta dekoodaa viivakoodin, etsii varauksen lentoyhtiön sivustolta (PNR + sukunimi yleensä riittää), ja voi peruuttaa matkan, muuttaa paikan, nähdä koko matkasuunnitelman tai käynnistää hyvitysvirtoja.

Miten tunnistat sen: Älä julkaise kuvia boarding-korteista. Jos pakko on, sumentele tai leikkaa pois viivakoodi JA varausviite (yleensä tulostettu jonnekin 6-merkkisenä aakkosnumeerisena koodina). QR/viivakoodi on täydellinen hyökkäyskohde koska se on koneellisesti luettava mistä tahansa puhelimen kuvakaappauksesta.

Lue lisää: IATA BCBP boarding-kortti QR-koodit →

6. Ajokortin viivakoodin kerääminen

Miltä se näyttää: Baari, klubi, höyrykauppa, apteekki tai ikärajoitettu jälleenmyyjä skannaa PDF417-viivakoodin ajokortisi takaa "tarkastaakseen ikäsi". Tuo viivakoodi koodaa KAIKKI lisenssin attribuutit selkokielisenä, nimi, osoite, syntymäaika, lisenssinumero, pituus, paino, silmien väri. Jotkut operaattorit säilyttävät nämä tiedot, myyvät ne markkinointiaggregaattoreille tai saavat ne varastetuksi tietomurroissa. Aito järjestyksenvalvoja tarvitsee tietää yhden asian: oletko täysi-ikäinen. He eivät tarvitse osoitettasi.

Miten tunnistat sen: Kysy mitä skannataan ja miksi. Jotkut paikat tarvitsevat vain iän vahvistuksen; muut (suuret klubit joissakin lainkäyttöalueilla) ovat lain mukaan velvollisia säilyttämään tietoja. Vastusta jos paikka on pieni ja epävirallinen. Jos sinulla on mobiiliajokortti, käytä sitä, mDL:t tukevat valikoivaa paljastamista (baari voi kysyä vain "yli 21? kyllä/ei" näkemättä syntymäaikaasi).

Lue lisää: AAMVA driver license PDF417 →

7. Krypto-tyhjentäjä-QR:t NFT-tapahtumissa ja fyysisessä taiteessa

Miltä se näyttää: QR NFT-tapaamisessa, gallerian avauksessa, konferenssipisteessä tai tulostettu fyysiseen taiteeseen väittää antavan sinulle ilmaisen NFT:n tai airdropin. Skannaa se, QR avaa WalletConnect-istunnon tai syvälinkki lompakkosovellukseesi, ja sinua pyydetään allekirjoittamaan tapahtuma. Tapahtuma hyväksyy haitallisen sopimuksen tyhjentämään kaikki lompakkosi tokenit. Tyhjentäjäpaketit ovat hyödykeohjelmistoja; QR on vain toimitusmenetelmä.

Miten tunnistat sen: Lue tapahtumaikkuna lompakossasi ennen allekirjoittamista. Jos se pyytää token-hyväksyntöjä (erityisesti setApprovalForAll tai rajoittamatonta approve-käyttöä) sopimukselle jota et tunnista, kieltäydy. Ilmais-NFT-vaatimus-QR:t satunnaisissa pisteissä eivät ole riskin arvoisia. Käytä erillistä "kuumaa" lompakkoa minimaalisella saldolla kaikissa kasvotusten tapahtuvissa vuorovaikutuksissa; pidä todelliset varasi lompakossa johon et koskaan yhdistä QR-istunnoissa.

8. Tarra hyväntekeväisyyden / lahjoituksen QR:n päällä

Miltä se näyttää: Flyeri oikeasta hyväntekeväisyysjärjestöstä on asetettu julkiseen tilaan. Hyökkääjä peittää lahjoitus-QR:n omalla tarrallaan joka osoittaa heidän hallitsemaansa lompakkoon tai väärennettyt lahjoitussivulle. Lahjoitukset menevät hyökkääjälle. Tämä on yleisintä luonnonkatastrofien ja suurten uutistapahtumien ympärillä, laillinen hyväntekeväisyys julkaisee kovaa, hyökkääjä ratsastaa mukana.

Miten tunnistat sen: Sama kuin #1, onko QR tarra painetun version päälle, vai osa alkuperäistä painatusta? Ja, lahjoita kirjoittamalla hyväntekeväisyyden URL itse selaimeen, tai käytä hyväntekeväisyyden virallista sovellusta. QR-koodit ovat käteviä mutta ne eivät ole luottamusketju.

9. Väärennetyn tuotteen passi QR

Miltä se näyttää: QR tekstiilissä, paristossa, elektroniikkalaitteessa tai huonekalussa väittää olevan tuotteen EU Digital Product Passport (ESPR-vaatimus, vaiheistuu 2027-2030). Skannaa se ja siisti verkkosivu näyttää sinulle tuotteen alkuperän, kierrätysmateriaalin sisällön, kestävyysväitteet. Mikään niistä ei ole totta, väärennetyn tuotteen valmistaja maksoi vain yleisestä DPP-tyylisestä laskeutumissivusta. DPP:n laajentuessa odota tämän kasvavan: sääntelyviranomaiset rakentavat edelleen EU-rekisteriä joka ankkuroi aitouden.

Miten tunnistat sen: Tarkista löytyykö DPP:n myöntäjäkenttä rekisteröityynä EU:n taloudellisena toimijana. EU-komissio ei ole vielä julkaissut konsolidoitua rekisteriä vuoden 2026 puolivälissä; siihen asti käsittele DPP-väitteitä neuvoa-antavina eikä varmennettuina. Skannaurimme poimii myöntäjäkentän ja DPP-palvelimen URL:n jotta voit tehdä tuon haun.

Lue lisää: EU Digital Product Passport →

10. Vihamielinen mDL-varmentaja joka pyytää liikaa

Miltä se näyttää: Esität mobiiliajokorttisi (mDL) baarissa tai kaupassa. Heidän varmentimensa pyytää täyttä nimeä, täyttä syntymäaikaa, lisenssinumeroa, osoitetta JA valokuvaa kun transaktio tarvitsee vain ikävarmentamisen. Hyväksyt tavaksi. Nyt pienellä yrityksellä on koko henkilöllisyytesi tiedostossa, säilytettynä kuka-ties-kuinka-kauan, myytynä kuka-ties-kenelle. Standardi edellyttää lompakkoa näyttämään sinulle pyyntölistan, mutta se ei estä sinua hyväksymästä laajoja paljastuksia.

Miten tunnistat sen: Lue pyyntöikkuna. Jos varmentaja haluaa enemmän kuin transaktio tarvitsee (baari pyytää osoitettasi, kaupan myyjä pyytää lisenssinumeroasi), kieltäydy ja pyydä minimiversiota (vain age_over_21). Jos he kieltäytyvät, sinulla on käytäntöpäätös: luovuta enemmän kuin tarvitaan, tai poistu. Standardi on puolellasi; varmentajaekosysteemi ei ole vielä säädelty.

Lue lisää: Mobile driver license (ISO 18013-5) →

Mitä tehdä jos olet jo skannannut jotain haitallista

Maksusivusto: Jos syötit korttitietoja, ota heti yhteyttä pankkiisi tapahtuman merkitsemiseksi ja kortin uusimiseksi. Älä odota veloituksen selvittymistä.
Wi-Fi: Unohda verkko puhelimessasi. Tee nopea tarkistus äskettäin käytetyistä sovelluksista tunnistetietojen pyyntöjen varalta. Vaihda salasanat kaikkeen mitä käytit yhdistettynä, erityisesti kaikkeen mikä palautui HTTP:lle.
Passkey: Kirjaudu sisään kärsineelle tilille, siirry turvallisuusasetuksiin, listaa aktiiviset passkeyt, poista kaikki mitä et tunnista. Nollaa myös salasanasi jos sivusto tarjoaa sen.
Autentikaattorin vienti: Käsittele tätä täydellisenä tietomurtona. Nollaa 2FA jokaiselle tilille joka oli autentikaattorissa. Aloita arvokkaimmmista (pankki, sähköposti, kryptopörssi, GitHub, AWS).
Boarding-kortti julkaistu: Ota yhteyttä lentoyhtiöön, vaihda varauksen viite jos mahdollista, aseta lentostatusvarohälytys jotta huomaat jos joku muuttaa varausta.
Krypto-tyhjentäjä allekirjoitettu: Siirrä jäljellä olevat varat välittömästi uuteen lompakkoon. Peruuta sopimusluvat jokaisella ketjulla jota käytit (revoke.cash ja vastaavat työkalut käsittelevät useimmat ketjut). Tyhjennetyt tokenit ovat yleensä peruuttamattomia.

Tarkista ennen skannausta

Pudota mikä tahansa QR (kuva, liitä tai kamera) skanneriimme. Näet dekoodatun hyötykuorman, uudelleenohjausketjun jos se on URL, kuka voi muuttaa kohdeosoitteen jatkossa, ja maineen liput. Päätös on sinun; tiedot ovat näytöllä ennen kuin toimit.

Avaa skanneri →