फ़ील्ड गाइड

2026 में देखने के लिए QR code scams

एक QR code बस एक encoded string है। खतरा format में नहीं है, यह उसमें है जो string आपके phone को करने को कहती है, और यह कि आप आमतौर पर बिना पढ़े scan करते हैं। यहां अभी हो रहे दस attacks हैं, field में हर एक कैसा दिखता है, और tap करने से पहले उसे कैसे पहचानें।

अभी QR check करें → QR standards जो हम decode करते हैं →

1. Parking meters, menus, और EV chargers पर Sticker swap

कैसा दिखता है: एक छोटा adhesive sticker parking meter, restaurant menu, EV charging station, या self-checkout terminal पर legitimate QR के ऊपर साफ से लगाया गया। sticker QR genuine जैसा दिखता है। इसे scan करें और आप payment page पर पहुंचते हैं जो city का या restaurant का लगता है। pay करें, और पैसा attacker के पास जाता है। 2023-2024 में कई बड़े US cities में यह हुआ (San Antonio, Austin, Houston); EV-charger stickers 2024-2025 में boom हुए।

कैसे पहचानें: QR देखें। क्या यह surface पर directly print है (engraved, painted, laminate के नीचे embedded)? या यह sticker है? एक edge पर fingernail चलाएं, अगर यह उठता है, तो यह sticker है। Genuine parking-meter और EV-charger QRs लगभग हमेशा permanent होते हैं। menus के लिए, server से पूछें कि real payment page कौन सी है; legitimate operators खुशी से confirm करते हैं। और pay tap करने से पहले QR को हमारे scanner में डालें, decoded destination giveaway है।

और पढ़ें: EMVCo merchant payment QRs →

2. Airports, hotels, और conference centres पर Evil-twin Wi-Fi

कैसा दिखता है: free Wi-Fi advertise करने वाला printed card या sticker: "Airport_Free_WiFi", "Starbucks_Guest_2", "ConferenceGuest"। QR scan करें, आपका phone network से जुड़ता है, आपके पास internet है। लेकिन network उसी room में चल रहा attacker का phone hotspot है। वे real internet तक आपका traffic proxy करते हैं इसलिए कुछ broken नहीं लगता, लेकिन वे DNS queries, SNI hostnames, कोई भी HTTP-fallback traffic देखते हैं, और वे credentials मांगने वाले fake captive portals serve कर सकते हैं।

कैसे पहचानें: verify करें कि SSID venue द्वारा officially post किए से match करता है। Airports अपनी official website पर guest Wi-Fi name list करते हैं; hotels इसे front desk पर list करते हैं। Lookalike names (extra characters, swapped letters, "Free" appended) attack signature हैं। हमारा scanner high-mimicry brand names की list के खिलाफ lookalike SSIDs flag करता है। जब doubt हो, बस mobile data use करें।

और पढ़ें: Wi-Fi credential QRs →

3. Passkey-QR फ़िशिंग

कैसा दिखता है: आप desktop पर किसी site में sign in कर रहे हैं। site आपके phone का passkey pair करने के लिए QR दिखाती है। एक attacker जिसने आपको wrong site पर trick किया, उनका QR दिखाता है, आपके passkey को THEIR real site पर active login से pair करता है। वे अब आपके account में signed in हैं। CTAP 2.2 hybrid transport (passkey QRs के पीछे standard) cryptographically sound है; attack purely human side पर है, आपको वह QR scan करवाना जो वास्तव में वह site नहीं है जो आप सोचते हैं।

कैसे पहचानें: passkey QR scan करने से पहले, browser address bar में page का URL confirm करें। Phishing sites अक्सर typosquat use करती हैं (extra hyphen, swapped letters, .com की जगह .co)। passkey QR खुद ठीक है; सवाल यह है कि इसे दिखाने वाला page real है या नहीं। साथ ही: passkey QRs short-lived होते हैं (आमतौर पर एक मिनट से कम), घंटों तक static help-desk page पर बैठा QR suspicious है।

और पढ़ें: FIDO2 passkey QRs →

4. ऑथेंटिकेटर एक्सपोर्ट चोरी

कैसा दिखता है: कोई आपका unlocked phone "एक quick photo" के लिए उधार लेता है। वे Google Authenticator खोलते हैं, Transfer Accounts → Export tap करते हैं, QR generate करते हैं, और इसे अपने phone से photograph करते हैं। फिर वे आपका वापस देते हैं। उस QR में protobuf में base64-encoded हर authenticator seed है (Google, AWS, GitHub, आपका bank, आपका crypto exchange)। वे अब आपके हर account के लिए forever 6-digit codes generate कर सकते हैं, जब तक आप हर एक reset नहीं करते।

कैसे पहचानें: defense QR spot करना नहीं है, यह कभी generate नहीं होने देना है। unlocked phone न दें। अगर कुछ share करना है, खुद करें। साथ ही: अधिकांश authenticator apps अब export flow पर biometric unlock require करते हैं, लेकिन Google का late 2023 तक नहीं था और पुराने phones अभी भी इसे skip कर सकते हैं। अगर आपको संदेह है यह हुआ, इसे full breach मानें, हर उस account पर 2FA reset करें जो आपके authenticator में है।

और पढ़ें: otpauth-migration QRs →

5. बोर्डिंग-पास फ़ोटो पोस्ट करना

कैसा दिखता है: एक traveller Instagram या LinkedIn पर boarding pass की photo post करता है, "Tokyo जा रहा हूं!" pass पर PDF417 barcode (या QR) airline booking reference (PNR) और ticket number plaintext में encode करता है। जो attacker photo screenshot करता है वह barcode decode करता है, airline की site पर booking lookup करता है (PNR + last name आमतौर पर enough है), और trip cancel कर सकता है, seat बदल सकता है, पूरी itinerary देख सकता है, या refund flows trigger कर सकता है।

कैसे पहचानें: boarding passes की photos post न करें। अगर करना ही हो, barcode AND booking reference दोनों blur या crop करें (आमतौर पर 6-character alphanumeric code के रूप में कहीं printed)। QR/barcode perfect attack target है क्योंकि यह किसी भी phone screenshot से machine-readable है।

और पढ़ें: IATA BCBP boarding pass QRs →

6. ड्राइवर लाइसेंस बारकोड की चोरी

कैसा दिखता है: एक bar, club, vape shop, dispensary, या age-restricted retailer "age check" के लिए आपके driver's license के पीछे PDF417 barcode scan करता है। वह barcode license पर हर attribute plaintext में encode करता है, नाम, address, DOB, license number, height, weight, eye colour। कुछ operators वह data retain करते हैं, marketing aggregators को बेचते हैं, या breaches में इसे चुरा लिया जाता है। एक real bouncer को एक चीज जाननी है: क्या आप legal age के हैं। उन्हें आपका address नहीं चाहिए।

कैसे पहचानें: पूछें क्या scan हो रहा है और क्यों। कुछ venues को केवल age confirm करना है; अन्य (कुछ jurisdictions में large clubs) legally data retain करने के लिए required हैं। अगर venue small और informal है तो push back करें। अगर आपके पास mobile driver license है, इसका use करें, mDLs selective disclosure support करते हैं (bar बस "over 21? yes/no" पूछ सकता है आपकी DOB देखे बिना)।

और पढ़ें: AAMVA driver license PDF417 →

7. NFT events और physical art पर Crypto drainer QRs

कैसा दिखता है: NFT meetup, gallery opening, conference booth, या physical art के अंदर printed QR दावा करता है कि आपको free NFT mint होगा या airdrop claim होगा। scan करें, QR WalletConnect session या आपके wallet app को deep-link खोलता है, और आपसे transaction sign करने को कहा जाता है। transaction आपके wallet में हर token drain करने के लिए malicious contract approve करता है। Drainer kits commodity software हैं; QR बस delivery mechanism है।

कैसे पहचानें: sign करने से पहले अपने wallet में transaction prompt पढ़ें। अगर यह token approvals मांगता है (विशेष रूप से setApprovalForAll या unlimited approve spend) किसी ऐसे contract के लिए जिसे आप नहीं पहचानते, refuse करें। Random booths पर free-NFT-claim QRs risk worth नहीं हैं। किसी भी in-person interactions के लिए minimal balance के साथ separate "hot" wallet use करें; अपने real assets ऐसे wallet में रखें जिसे आप कभी QR sessions से connect नहीं करते।

8. Charity / donation QR पर Sticker

कैसा दिखता है: एक real charity के लिए flyer public space में posted है। एक attacker donation QR को अपने sticker से cover करता है जो उनके controlled wallet या fake donation page पर point करता है। Donations attacker के पास जाती हैं। यह natural disasters और major news events के आसपास सबसे सामान्य है, legitimate charity जोर से publicize कर रही है, attacker piggybacks।

कैसे पहचानें: #1 जैसा ही, क्या QR printed version पर sticker है, या original print का हिस्सा है? साथ ही, charity URL खुद browser में type करके donate करें, या charity का official app use करें। QR codes convenient हैं लेकिन वे chain of trust नहीं हैं।

9. नकली उत्पाद-पासपोर्ट QR

कैसा दिखता है: textile, battery, electronic device, या furniture पर QR claim करता है कि यह product का EU Digital Product Passport (ESPR requirement, 2027-2030 में phasing in) है। scan करें और एक slick web page product की provenance, recycled content, sustainability claims दिखाती है। इनमें से कुछ भी real नहीं है, counterfeit के manufacturer ने बस generic DPP-styled landing page के लिए pay किया। जैसे-जैसे DPP rollout होता है, इसके scale होने की उम्मीद करें: regulators अभी EU registry build कर रहे हैं जो authenticity anchor करती है।

कैसे पहचानें: check करें कि DPP में issuer field registered EU economic operator को resolve करता है या नहीं। EU Commission ने mid-2026 तक consolidated registry publish नहीं किया है; तब तक, DPP claims को verified के बजाय advisory मानें। हमारा scanner issuer field और DPP server URL extract करता है ताकि आप वह lookup कर सकें।

और पढ़ें: EU Digital Product Passport →

10. बहुत अधिक मांगने वाला hostile mDL verifier

कैसा दिखता है: आप bar या retail counter पर अपना mobile driver license (mDL) present करते हैं। उनका verifier app पूरा नाम, पूरी DOB, license number, address, और photo मांगता है जब transaction को केवल age verification की जरूरत है। आप आदत से approve करते हैं। अब एक small business के पास आपकी पूरी identity है, जाने कितने समय तक retain की, जाने किसे बेची गई। standard wallet को request list दिखाने की आवश्यकता करता है, लेकिन यह आपको blanket disclosures approve करने से नहीं रोकता।

कैसे पहचानें: request prompt पढ़ें। अगर verifier transaction की जरूरत से अधिक चाहता है (address मांगने वाला bar, license number मांगने वाला retail clerk), तो decline करें और minimal version मांगें (केवल age_over_21)। अगर वे मना करते हैं, तो आपके पास policy decision है: जरूरत से अधिक दें, या चले जाएं। standard आपकी तरफ है; verifier-side ecosystem अभी regulated नहीं है।

और पढ़ें: Mobile driver license (ISO 18013-5) →

अगर आप पहले से कुछ बुरा scan कर चुके हैं तो क्या करें

scan करने से पहले check करें

कोई भी QR (image, paste, या camera) हमारे scanner में डालें। आप decoded payload देखेंगे, अगर URL है तो redirect chain, भविष्य में destination कौन बदल सकता है, और reputation flags। निर्णय आपका है; कार्य करने से पहले जानकारी स्क्रीन पर है।

Scanner खोलें →