What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Panduan lapangan

Penipuan kode QR yang perlu diwaspadai di 2026

Kode QR hanyalah string yang dienkode. Bahayanya bukan pada formatnya, melainkan pada apa yang diperintahkan string tersebut kepada ponsel Anda untuk dilakukan, dan biasanya Anda memindai tanpa membaca. Berikut ini sepuluh serangan yang terjadi sekarang, seperti apa masing-masing di lapangan, dan cara mengenalinya sebelum Anda mengetuk.

Periksa QR sekarang → Standar QR yang kami dekode →

1. Penggantian stiker pada meteran parkir, menu, dan charger EV

Seperti apa tampilannya: Stiker perekat kecil yang ditempel rapi di atas QR asli pada meteran parkir, menu restoran, stasiun pengisian EV, atau terminal swalayan. QR stiker terlihat identik dengan yang asli. Pindai dan Anda mendarat di halaman pembayaran yang terlihat seperti milik kota atau restoran. Bayar, dan uang pergi ke penyerang. Beberapa kota besar AS mengalami ini pada 2023-2024 (San Antonio, Austin, Houston); stiker charger EV meledak pada 2024-2025.

Cara mengenalinya: Perhatikan QR. Apakah dicetak langsung pada permukaan (diukir, dilukis, tertanam di bawah laminasi)? Atau apakah itu stiker? Jalankan kuku di sepanjang tepi, jika terangkat, itu stiker. QR meteran parkir dan charger EV yang asli hampir selalu permanen. Untuk menu, tanyakan kepada pelayan halaman pembayaran mana yang asli; operator yang sah dengan senang hati mengkonfirmasi. Dan masukkan QR ke scanner kami sebelum Anda mengetuk bayar, tujuan yang didekode adalah kuncinya.

Baca selengkapnya: QR pembayaran merchant EMVCo →

2. Wi-Fi evil-twin di bandara, hotel, dan pusat konferensi

Seperti apa tampilannya: Kartu cetak atau stiker yang mengiklankan Wi-Fi gratis: "Airport_Free_WiFi", "Starbucks_Guest_2", "ConferenceGuest". Pindai QR, ponsel Anda bergabung ke jaringan, Anda mendapat internet. Tapi jaringannya adalah hotspot ponsel penyerang yang beroperasi di ruangan yang sama. Mereka mem-proxy lalu lintas Anda ke internet nyata sehingga tidak ada yang terasa rusak, tetapi mereka melihat kueri DNS, nama host SNI, lalu lintas fallback HTTP apa pun, dan mereka dapat menyajikan portal captive palsu yang meminta kredensial.

Cara mengenalinya: Verifikasi bahwa SSID sesuai dengan yang diposting secara resmi oleh tempat tersebut. Bandara mencantumkan nama Wi-Fi tamu mereka di situs resmi bandara; hotel mencantumkannya di meja resepsionis. Nama yang mirip (karakter ekstra, huruf yang ditukar, "Free" ditambahkan) adalah tanda serangan. Scanner kami menandai SSID yang mirip terhadap daftar nama merek yang sering ditiru. Jika ragu, gunakan saja data seluler.

Baca selengkapnya: QR kredensial Wi-Fi →

3. Phishing QR passkey

Seperti apa tampilannya: Anda masuk ke situs di desktop. Situs menampilkan QR untuk memasangkan passkey ponsel Anda. Penyerang yang menipu Anda ke situs yang salah menampilkan QR mereka, memasangkan passkey Anda ke login AKTIF MEREKA di situs nyata. Mereka kini masuk ke akun Anda. Transportasi hybrid CTAP 2.2 (standar di balik QR passkey) aman secara kriptografis; serangannya murni pada sisi manusia, membuat Anda memindai QR dari layar yang bukan situs yang Anda kira.

Cara mengenalinya: Sebelum memindai QR passkey, konfirmasi URL halaman di bilah alamat browser Anda. Situs phishing sering menggunakan typosquat (tanda hubung ekstra, huruf yang ditukar, .co bukan .com). QR passkey itu sendiri tidak masalah; pertanyaannya adalah apakah halaman yang menampilkannya asli. Juga: QR passkey berumur pendek (biasanya di bawah satu menit), QR yang duduk di halaman bantuan statis selama berjam-jam mencurigakan.

Baca selengkapnya: QR passkey FIDO2 →

4. Pencurian ekspor authenticator

Seperti apa tampilannya: Seseorang meminjam ponsel Anda yang tidak terkunci untuk "foto cepat." Mereka membuka Google Authenticator, ketuk Transfer Accounts → Export, hasilkan QR, dan foto dengan ponsel mereka. Lalu mereka mengembalikan ponsel Anda. QR tersebut berisi setiap seed authenticator (Google, AWS, GitHub, bank Anda, bursa kripto Anda) yang dikodekan base64 dalam protobuf. Mereka kini dapat menghasilkan kode 6 digit Anda untuk setiap akun, selamanya, hingga Anda me-reset masing-masing.

Cara mengenalinya: Pertahanannya bukan mengenali QR, melainkan tidak pernah membiarkannya dibuat. Jangan menyerahkan ponsel yang tidak terkunci. Jika Anda perlu berbagi sesuatu, lakukan sendiri. Juga: sebagian besar aplikasi authenticator sekarang memerlukan pembukaan kunci biometrik pada alur ekspor, tetapi Google tidak melakukannya hingga akhir 2023 dan ponsel lama mungkin masih melewatinya. Jika Anda mencurigai hal ini terjadi, anggap sebagai kebocoran penuh, reset 2FA di setiap akun yang ada di authenticator.

Baca selengkapnya: QR otpauth-migration →

5. Postingan foto boarding pass

Seperti apa tampilannya: Seorang pelancong memposting foto boarding pass mereka di Instagram atau LinkedIn, "berangkat ke Tokyo!" Barcode PDF417 (atau QR) pada tiket mengenkode referensi pemesanan maskapai (PNR) dan nomor tiket dalam teks biasa. Penyerang yang mengambil tangkapan layar foto mendekode barcode, mencari pemesanan di situs maskapai (PNR + nama belakang biasanya cukup), dan dapat membatalkan perjalanan, mengganti kursi, melihat seluruh itinerari, atau memicu alur pengembalian dana.

Cara mengenalinya: Jangan posting foto boarding pass. Jika harus, blur atau pangkas barcode DAN referensi pemesanan (biasanya dicetak di suatu tempat sebagai kode alfanumerik 6 karakter). QR/barcode adalah target serangan yang sempurna karena dapat dibaca mesin dari tangkapan layar ponsel mana pun.

Baca selengkapnya: QR boarding pass IATA BCBP →

6. Pemanenan barcode SIM

Seperti apa tampilannya: Bar, klub, toko vape, apotek, atau pengecer terbatas usia memindai barcode PDF417 di bagian belakang SIM Anda untuk "memeriksa usia Anda." Barcode tersebut mengenkode SETIAP atribut pada lisensi dalam teks biasa, nama, alamat, tanggal lahir, nomor lisensi, tinggi, berat, warna mata. Beberapa operator menyimpan data tersebut, menjualnya ke agregator pemasaran, atau data tersebut dicuri dalam pelanggaran. Seorang penjaga asli hanya perlu mengetahui satu hal: apakah Anda cukup umur. Mereka tidak memerlukan alamat Anda.

Cara mengenalinya: Tanyakan apa yang dipindai dan mengapa. Beberapa tempat hanya perlu mengkonfirmasi usia; yang lain (klub besar di beberapa yurisdiksi) diwajibkan secara hukum untuk menyimpan data. Tolak jika tempat itu kecil dan tidak formal. Jika Anda memiliki mobile driver license, gunakanlah, mDL mendukung pengungkapan selektif (bar dapat meminta hanya "di atas 21? ya/tidak" tanpa melihat tanggal lahir Anda).

Baca selengkapnya: PDF417 SIM AAMVA →

7. QR drainer kripto di acara NFT dan karya seni fisik

Seperti apa tampilannya: QR di pertemuan NFT, pembukaan galeri, stan konferensi, atau dicetak di dalam karya seni fisik mengklaim mencetak NFT gratis untuk Anda atau mengklaim airdrop. Pindai, QR membuka sesi WalletConnect atau deep-link ke aplikasi dompet Anda, dan Anda diminta menandatangani transaksi. Transaksi tersebut menyetujui kontrak berbahaya untuk menguras setiap token di dompet Anda. Kit drainer adalah perangkat lunak komoditas; QR hanyalah mekanisme pengiriman.

Cara mengenalinya: Baca prompt transaksi di dompet Anda sebelum menandatangani. Jika meminta persetujuan token (terutama setApprovalForAll atau pengeluaran approve tak terbatas) untuk kontrak yang tidak Anda kenali, tolak. QR klaim-NFT-gratis di stan acak tidak sebanding risikonya. Gunakan dompet "hot" terpisah dengan saldo minimal untuk interaksi tatap muka apa pun; simpan aset nyata Anda di dompet yang tidak pernah Anda sambungkan ke sesi QR.

8. Stiker di atas QR amal / donasi

Seperti apa tampilannya: Selebaran untuk badan amal nyata dipasang di ruang publik. Penyerang menutup QR donasi dengan stiker mereka sendiri yang mengarah ke dompet yang mereka kendalikan, atau halaman donasi palsu. Donasi pergi ke penyerang. Ini paling umum terjadi seputar bencana alam dan peristiwa berita besar, badan amal yang sah berpublikasi keras, penyerang menumpang.

Cara mengenalinya: Sama seperti #1, apakah QR adalah stiker di atas versi cetak, atau bagian dari cetakan asli? Juga, berdonasi dengan mengetikkan URL badan amal di browser Anda sendiri, atau gunakan aplikasi resmi badan amal. Kode QR memang mudah tetapi bukan rantai kepercayaan.

9. QR paspor produk palsu

Seperti apa tampilannya: QR pada tekstil, baterai, perangkat elektronik, atau furnitur mengklaim menjadi EU Digital Product Passport produk tersebut (persyaratan ESPR, bertahap 2027-2030). Pindai dan halaman web yang terlihat bagus menampilkan asal produk, konten daur ulang, klaim keberlanjutan. Tidak ada yang nyata, produsen produk palsu hanya membayar halaman landing bertemakan DPP umum. Seiring DPP bergulir, perkirakan ini akan meningkat: regulator masih membangun registri EU yang mengangkar keaslian.

Cara mengenalinya: Periksa apakah field penerbit dalam DPP diselesaikan ke operator ekonomi EU yang terdaftar. Komisi EU belum menerbitkan registri konsolidasi per pertengahan 2026; hingga saat itu, anggap klaim DPP sebagai informasi, bukan terverifikasi. Scanner kami mengekstrak field penerbit dan URL server DPP agar Anda dapat melakukan pencarian tersebut.

Baca selengkapnya: EU Digital Product Passport →

10. Verifier mDL yang meminta terlalu banyak

Seperti apa tampilannya: Anda menyerahkan mobile driver license (mDL) di bar atau konter ritel. Aplikasi verifier mereka meminta nama lengkap, tanggal lahir lengkap, nomor lisensi, alamat, DAN foto padahal transaksi hanya memerlukan verifikasi usia. Anda menyetujui karena kebiasaan. Kini sebuah usaha kecil menyimpan identitas lengkap Anda, disimpan entah berapa lama, dijual kepada entah siapa. Standar ini mengharuskan dompet menampilkan daftar permintaan kepada Anda, tetapi tidak mencegah Anda menyetujui pengungkapan menyeluruh.

Cara mengenalinya: Baca prompt permintaan. Jika verifier menginginkan lebih dari yang dibutuhkan transaksi (bar yang meminta alamat Anda, kasir ritel yang meminta nomor lisensi Anda), tolak dan minta versi minimal (hanya age_over_21). Jika mereka menolak, Anda punya keputusan kebijakan: menyerahkan lebih dari yang diperlukan, atau pergi. Standar ada di pihak Anda; ekosistem sisi verifier belum diregulasi.

Baca selengkapnya: Mobile driver license (ISO 18013-5) →

Yang harus dilakukan jika Anda sudah memindai sesuatu yang berbahaya

Situs pembayaran: Jika Anda memasukkan detail kartu, hubungi bank Anda sekarang untuk menandai transaksi dan menerbitkan ulang kartu. Jangan tunggu tagihan muncul.
Wi-Fi: Lupakan jaringan di ponsel Anda. Lakukan pemeriksaan cepat pada aplikasi yang baru digunakan untuk permintaan kredensial. Ubah kata sandi untuk apa pun yang Anda gunakan saat terhubung, terutama yang jatuh kembali ke HTTP.
Passkey: Masuk ke akun yang terpengaruh, buka pengaturan keamanan, daftarkan passkey aktif, hapus apa pun yang tidak Anda kenali. Reset kata sandi Anda juga jika situs menawarkannya.
Ekspor authenticator: Anggap ini sebagai kebocoran penuh. Reset 2FA di setiap akun yang ada di authenticator. Mulai dari yang bernilai tinggi (bank, email, bursa kripto, GitHub, AWS).
Boarding pass yang diposting: Hubungi maskapai, ubah referensi pemesanan jika memungkinkan, atur notifikasi status penerbangan agar Anda mengetahui jika seseorang mengubah pemesanan.
Drainer kripto ditandatangani: Pindahkan aset yang tersisa ke dompet baru segera. Cabut persetujuan kontrak di setiap chain yang Anda gunakan (revoke.cash dan alat serupa menangani sebagian besar chain). Token yang terkuras biasanya tidak dapat dipulihkan.

Periksa sebelum Anda scan

Letakkan QR apa pun (gambar, tempel, atau kamera) ke dalam scanner kami. Anda akan melihat payload yang didekode, rantai redirect jika berupa URL, siapa yang dapat mengubah tujuan ke depannya, dan tanda reputasi. Keputusan ada di tangan Anda; informasinya ada di layar sebelum Anda bertindak.

Buka scanner →