Tautan HTTPS langsung ke situs Abundera milik sendiri. Tanpa pemendek, tanpa pengalihan. Verdict terbaik: Lulus dengan mutabilitas statis dan nilai mutabilitas server tujuan yang rendah.
https://qr.abundera.ai/
Pertahanan quishing · Keamanan QR + URL + pemendek
Jangan percaya QR sebelum lulus pemeriksaan.
Kode QR bagaikan orang asing yang menyodorkan amplop kepada Anda. Hal yang sama berlaku untuk short URL mana pun — bit.ly, t.co, atau tautan dalam DM. Membukanya tanpa memeriksa bisa membawa Anda ke halaman phishing kredensial, jebakan WiFi terbuka, transaksi penguras dompet, atau Android intent yang memasang malware secara diam-diam. Kami menelusuri rantainya, memeriksa tujuan, dan memberi tahu Anda siapa yang dapat mengubahnya setelah QR dicetak — pertanyaan yang menentukan apakah stiker mesin parkir, short URL yang diteruskan, menu restoran, atau selebaran MFA perusahaan benar-benar aman.
Tanpa daftar, tanpa akun Payload tidak pernah disimpan Dekoding kamera tetap lokal Aplikasi Mac, Windows, iOS, Android segera hadir
Bagikan alat ini · atau simpan tautan pendek untuk kembali
Pindai kode QR menggunakan kamera, unggah gambar, tempel gambar, atau tempel teks yang sudah didekode.
Kamera dan dekoding gambar terjadi di browser Anda. Hanya teks yang didekode yang dikirim ke analyzer kami.
Pengaturan pemindai
Mengunduh decoder yang ditingkatkan… 0%
Riwayat pemindaian
Disimpan di perangkat ini saja, tidak pernah dikirim ke server kami. 25 pemindaian terakhir, yang terlama dihapus otomatis. Riwayat pemindaian tersinkronisasi cloud (lintas perangkat, 30 hari) ada di peta jalan untuk tier Personal+.
Lihat cara kerjanya
Ketuk "Coba pindaian ini" untuk menjalankannya di sini, atau arahkan kamera ponsel Anda ke QR — QR akan diarahkan melalui pemindai kami dan hasilnya muncul di ponsel Anda. Tidak perlu mengunjungi apa pun terlebih dahulu.
QR yang diarahkan melalui pemendek kami sendiri sebelum mencapai tujuan akhir. Verdict menampilkan siapa yang dapat mengubah tujuan setelah dicetak — sumbu mutabilitas yang tidak ditunjukkan pemindai lain.
https://aqr.net/demo-walmart
Tautan yang dijamin akan diarahkan ke negara berbeda dari negara Anda (JS menukar target setelah mendeteksi wilayah Anda). Mendemonstrasikan chip negara per-hop — rantai yang melintasi batas negara secara tak terduga merupakan sinyal kepercayaan yang lebih kuat dari hop tunggal mana pun.
https://www.bundestag.de/
Google mempertahankan URL ini khusus sebagai fixture pengujian Safe Browsing. URL ini diklasifikasikan sebagai SOCIAL_ENGINEERING oleh Safe Browsing, berguna untuk membuktikan bahwa agregator reputasi dan eskalasi verdict benar-benar berfungsi, tanpa menautkan ke situs phishing nyata.
https://testsafebrowsing.appspot.com/s/phishing.html
Cara kerjanya
- 1
Dekode
Browser Anda mendekode QR secara lokal (jsQR). Gambar tidak pernah meninggalkan perangkat Anda. Kami hanya menerima payload teks.
- 2
Pengiriman
Payload diklasifikasikan berdasarkan skema URI, awalan format terstruktur, atau heuristik konten ke dalam salah satu dari 48 kategori analyzer yang bersama-sama mengenali 222 varian payload: HTTP URL (dengan puluhan pengenal khusus host), WiFi, vCard, telefoni, email, Android intent, cryptocurrency, konten-teralamat, data inline, kalender, geo, pemasangan Bluetooth, onboarding Matter, pembayaran merchant EMV (PIX, PayNow, PromptPay, UPI, & 30+ skema negara), konfigurasi WireGuard, Smart Health Card, aktivasi eSIM, pemasangan WalletConnect, hybrid passkey FIDO, skema yang diblokir keras, atau teks biasa. Setiap kategori dikirim ke analyzer khususnya.
- 3
Lacak + klasifikasikan
Untuk HTTP URL, kami menelusuri rantai pengalihan melalui layanan pengalihan (Bitly, Linktree, QR Tiger, & ~80 lainnya), mencatat perantara per-hop, mengklasifikasikan mutabilitas (statis / dinamis-tunggal / dinamis-berantai / iklan-interstitial / siklik), dan mengatribusikan kendali ke setiap operator layanan pengalihan. Secara paralel kami memeriksa tujuan terhadap Google Safe Browsing dan URLhaus.
- 4
Unifikasi
Kami menyusun satu bentuk verdict yang konsisten di seluruh jenis payload:
threat_class,mutability,chain,attribution,sub_payloads,disclosuredalam bahasa yang mudah dipahami. Sub-payload yang tertanam dalam induk (URL di field NOTE vCard, SSID yang mengandung tautan, dll.) diproses secara rekursif.
Yang kami temukan yang terlewat oleh alat hanya-URL
Pemindai ancaman kelas URL mencakup satu dari 48 kategori payload yang dapat dibawa QR, dan hanya satu pengenal di dalam kategori URL tersebut. Kami mengenali 222 varian payload di semua 48 kategori. Sebagian contoh di bawah; daftar lengkap dan peta jalan Tier 2 ada di halaman coverage.
Rantai pengalihan & kemungkinan perubahan
Lacak setiap hop. Deteksi rantai Bitly + Linktree. Identifikasi operator layanan pengalihan. Tampilkan pihak yang dapat mengubah tujuan setelah dicetak.
QR konfigurasi WiFi
SSID + enkripsi diurai dan dinormalisasi. Jaringan terbuka / WEP-lemah / tersembunyi ditandai. Karakter mirip-tampak didekode sehingga SSID palsu terlihat di hasil.
Penguras dompet kripto
Validasi format alamat + checksum per rantai. Deteksi function-selector EVM (approve, setApprovalForAll, permit). Reputasi Chainabuse.
Komisioning rumah pintar Matter
Dekode payload onboarding base-38 MT:. Ekstrak vendor ID + product ID. Tampilkan framing “ini mendaftarkan perangkat ke jaringan rumah Anda” agar stiker palsu tidak diam-diam bergabung ke jaringan penyerang.
Penukaran QR pembayaran merchant EMV
Urai payload EMVCo MPM / CPM (SGQR, PromptPay, PayNow, DuitNow, UPI). Validasi CRC + tampilan nama merchant, mendeteksi serangan stiker-swap, penipuan QR dengan volume tertinggi secara global.
Pembajakan akun via QR-login
Kenali endpoint QR-login WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub, dan AWS. Peringatkan bahwa memindai memberikan akses ke akun Anda kepada siapa pun yang membuat QR tersebut.
QR bersih hari ini, halaman phishing besok
Setelah QR dicetak pada stiker, menu, atau selebaran, Anda tidak bisa menarik kembali cetakan itu. Jadi verdict yang penting bukan hanya "apakah tautannya aman sekarang," tetapi "siapa yang dapat mengubah ke mana tautan ini mengarah setelah tinta mengering." Itulah mutabilitas.
QR Statis
walmart.com dikodekan langsung ke dalam matriks QR
Tujuan tersimpan dalam pola titik itu sendiri. Tidak ada pihak ketiga yang dapat mengubah ke mana QR mengarah. Apa yang Anda pindai hari ini sama dengan yang akan Anda pindai setahun dari sekarang.
QR Dinamis (risikonya)
aqr.net/demo-walmart → pemendek tertentu → walmart.com
QR mengkodekan URL pemendek; pemegang akun pemendek memilih tujuan saat pemindaian dan dapat menggantinya dalam 30 detik. Bersih hari ini, phishing besok, stiker fisik yang sama. Kami menampilkan rantainya, menyebutkan operator layanan pengalihan, dan memberi tahu Anda apakah aset yang dicetak itu terikat ke pihak lain.
Harga
Gratis untuk penggunaan pribadi, tanpa pendaftaran. Paket berbayar untuk individu, keluarga, tim, merek, dan peluncuran enterprise.
ANGGOTA PENDIRI Tarif Anda. Terkunci. Selamanya. Hemat 34% dari tier berbayar, penagihan tahunan, tersedia hingga 1 September 2026.
Aplikasi native segera hadir
Mesin yang sama, native di macOS, Windows, Linux, iOS, dan Android. Pemindaian kamera tetap di perangkat; klasifikasi dikirim ke endpoint yang sama. abundera.app →
Pertanyaan
Apa itu quishing?
Quishing adalah phishing via kode QR: penyerang mencetak, menempelkan stiker, mengirim email, atau mengirim DM berisi kode QR yang saat dipindai membuka halaman pemanenan kredensial, transaksi penguras dompet, jebakan WiFi terbuka, atau Android intent yang memasang malware secara diam-diam. QR itu sendiri hanyalah gambar, sehingga filter tautan email dan peringatan browser tidak mendeteksinya sampai ponsel korban sudah membuka tujuannya. Pertahanan harus terjadi saat pemindaian, sebelum ponsel mengikuti tautan tersebut.
Apa bedanya quishing dengan phishing biasa?
Ada tiga perbedaan. Vektor serangan bersifat fisik atau visual — stiker di atas QR mesin parkir, selebaran tercetak yang meniru pendaftaran MFA, menu restoran QR yang diganti semalam — sehingga sepenuhnya melewati gateway email. Korban lebih mempercayai kode QR daripada tautan di email; QR terasa seperti tujuan yang dipilih oleh siapa pun yang mencetak permukaannya. Dan kode QR dinamis yang diarahkan melalui pemendek dapat diarahkan ulang ke tujuan phishing setelah aset cetak didistribusikan, sehingga QR yang aman saat dicetak bisa menjadi berbahaya berbulan-bulan kemudian. Pemindai tautan statis menjawab "apakah URL ini berbahaya sekarang", bukan "siapa yang dapat mengubah ke mana tautan ini mengarah".
Bagaimana cara memeriksa keamanan kode QR sebelum memindainya?
Jangan arahkan kamera asli ponsel Anda ke QR tersebut — itu akan langsung membuka tujuannya. Sebaliknya, buka check.qr.abundera.ai di ponsel Anda, pindai QR melalui kamera dalam halaman (dekoding terjadi secara lokal; gambar tidak pernah meninggalkan perangkat Anda), dan baca hasilnya. Kami menelusuri setiap hop pengalihan, mengklasifikasikan apakah tujuan dapat dikendalikan oleh pihak ketiga setelah QR dicetak, dan memeriksa reputasi terhadap Google Safe Browsing dan agregator lainnya. Verdict Lulus aman untuk dibuka; verdict Perhatian dan Jangan dilanjutkan memberi tahu Anda alasannya.
Apa contoh quishing di dunia nyata?
Stiker di mesin parkir dan pengisi daya EV yang menutupi QR sah dengan QR yang mengarah ke halaman pemanenan kartu kredit — pola yang paling banyak dilaporkan pada 2024-2025, terdeteksi di Austin, San Antonio, dan seluruh UK. Menu restoran QR yang diganti ke halaman phishing semalam oleh penyerang yang secara fisik mengganti tenda meja. Selebaran pendaftaran MFA perusahaan di toilet kantor yang terlihat resmi tetapi mendaftarkan perangkat penyerang. QR undangan pernikahan yang didistribusikan berbulan-bulan sebelum acara, di mana kompromi akun pemendek memungkinkan penyerang mengarahkan ulang ribuan kartu cetak. QR pembayaran kripto di terminal point-of-sale yang ditimpa dengan alamat dompet penyerang. Benang merahnya: QR yang dicetak terlihat identik dengan yang asli.
Apa bedanya dengan Google Safe Browsing atau VirusTotal?
Alat yang ada mengklasifikasikan apakah URL saat ini berbahaya. Kami juga mengklasifikasikan apakah tujuan dapat dikendalikan oleh pihak ketiga setelah QR dicetak — properti yang kami sebut mutabilitas. QR dinamis yang bersih dan diarahkan melalui pemendek tetap berisiko tinggi untuk stiker mesin parkir atau undangan pernikahan: pemegang akun pemendek dapat mengubah tujuan kapan saja. Kami menampilkan postur kendali ini sebagai field verdict utama bersama verdict ancaman-konten.
Apakah Anda menyimpan QR yang saya pindai?
Tidak. Payload yang didekode dikirim ke server kami melalui HTTPS agar kami dapat menelusuri rantai dan mengkueri basis data reputasi — itu adalah keharusan fungsional, bukan pilihan — tetapi tidak pernah disimpan. Verdict di-cache menggunakan hash SHA-256 dari diskriminator per-jenis-payload yang digabungkan dengan salt rahasia yang disimpan server. Payload asli tidak dapat direkonstruksi dari entri cache mana pun.
Mengapa domain terpisah dari qr.abundera.ai?
qr.abundera.ai adalah generator yang menjanjikan semuanya di sisi klien: tidak ada yang meninggalkan perangkat Anda. Pemeriksa keamanan ini mengirimkan payload yang didekode ke server karena keharusan. Kami memisahkan dua permukaan ini agar janji klien-saja tetap bersih di domain generator, dan permukaan dengan model privasi terbalik tetap berlabel jelas di sini.
Apa fitur peringatan mutasi?
Tier Pro. Kirimkan QR untuk dilacak, dan kami akan menelusuri ulang rantainya secara berkala. Email akan dikirim saat target pengalihan, tujuan akhir, atau kumpulan operator layanan pengalihan berubah. Ini mendeteksi pola quishing-in-the-wild yang paling umum: cetak QR bersih, ganti tujuan ke phishing berbulan-bulan kemudian, panen pemindaian dari aset cetak.
Bisakah saya menyematkan ini ke produk keamanan saya?
Ya, di tier Pro. API bersifat RESTful, mengembalikan verdict JSON terstruktur dengan jenis-payload, kelas-ancaman, mutabilitas, rantai pengalihan, atribusi kendali per-hop, dan temuan sub-payload. Dirancang untuk disematkan dalam aplikasi dompet, suite keamanan mobile, pemfilteran URL enterprise, dan pengaya pratinjau tautan Slack / Teams perusahaan.
Open-source?
Tidak saat ini. Klasifikator bersifat closed-source selama proses paten masih berlangsung. Kami mungkin mempublikasikan implementasi referensi algoritma yang telah diungkapkan setelah paten diberikan. Kontrak API bersifat publik dan stabil.