Un link HTTPS diretto verso un sito Abundera di prima parte. Nessun abbreviatore, nessun redirect. Verdetto ottimale: Superato con mutabilità statica e una soglia minima di mutabilità del server di destinazione.
https://qr.abundera.ai/
Difesa dal quishing · Sicurezza QR + URL + abbreviatori
Non fidarti di un QR finché non è stato verificato.
Un codice QR è come uno sconosciuto che ti porge una busta. Lo stesso vale per qualsiasi URL abbreviato: un bit.ly, un t.co, o un link in un DM. Aprirlo senza verificare può portarti su una pagina di furto di credenziali, una rete WiFi trappola, una transazione di wallet drainer, o un intent Android che installa malware non autorizzato. Tracciamo la catena, analizziamo la destinazione e ti diciamo chi può cambiarla dopo che il QR è stato stampato, la domanda che decide se un adesivo su un parchimetro, un URL abbreviato inoltrato, un menu del ristorante o un volantino MFA aziendale è davvero sicuro.
Nessuna registrazione, nessun account Payload mai conservato Decodifica fotocamera rimane locale App per Mac, Windows, iOS, Android presto
Condividi questo strumento · o salva un link breve per tornare
Scansiona un QR code con la fotocamera, carica un'immagine, incolla un'immagine, o incolla il testo decodificato.
La fotocamera e la decodifica dell'immagine avvengono nel tuo browser. Solo il testo decodificato viene inviato al nostro analizzatore.
Impostazioni scanner
Download del decoder avanzato… 0%
Cronologia scansioni
Memorizzato solo su questo dispositivo, mai inviato ai nostri server. Ultime 25 scansioni, le più vecchie eliminate automaticamente. La cronologia sincronizzata nel cloud (multi-dispositivo, 30 giorni) è nella roadmap per i livelli Personal+.
Guardalo in azione
Premi "Prova questa scansione" per eseguirla qui, oppure punta la fotocamera del telefono sul QR: viene instradato attraverso il nostro scanner e il verdetto appare sul tuo telefono. Non è necessario visitare nulla prima.
Un QR che instrada attraverso il nostro abbreviatore prima di raggiungere la destinazione finale. Il verdetto mostra chi può cambiare la destinazione dopo la stampa, l'asse di mutabilità che nessun altro scanner mostra.
https://aqr.net/demo-walmart
Un link garantito a risolversi in un paese diverso dal tuo (il JS scambia la destinazione dopo aver rilevato la tua regione). Dimostra il chip paese per ogni hop: una catena che attraversa confini inaspettatamente è un segnale di fiducia più forte di qualsiasi singolo hop.
https://www.bundestag.de/
Google mantiene questo URL appositamente come fixture di test per Safe Browsing. È classificato come SOCIAL_ENGINEERING da Safe Browsing, utile per dimostrare che l'aggregatore di reputazione e la scalata del verdetto funzionano effettivamente, senza collegarsi a un vero sito di phishing.
https://testsafebrowsing.appspot.com/s/phishing.html
Come funziona
- 1
Decodifica
Il tuo browser decodifica il QR localmente (jsQR). L'immagine non lascia mai il dispositivo. Vediamo solo il payload testuale.
- 2
Smistamento
Il payload viene classificato tramite schema URI, prefisso di formato strutturato o euristica del contenuto in una delle 48 categorie di analizzatori che insieme riconoscono 222 varianti di payload: URL HTTP (con decine di riconoscitori specifici per host), WiFi, vCard, telefonia, email, intent Android, criptovalute, contenuto indirizzato, dati inline, calendario, geo, accoppiamento Bluetooth, onboarding Matter, pagamento commerciante EMV (PIX, PayNow, PromptPay, UPI e oltre 30 schemi nazionali), config WireGuard, Smart Health Card, attivazione eSIM, accoppiamento WalletConnect, passkey ibrida FIDO, schema bloccato o testo normale. Ogni categoria viene inviata al suo analizzatore dedicato.
- 3
Tracciamento + classificazione
Per gli URL HTTP, tracciamo la catena di redirect attraverso i servizi di indirezione (Bitly, Linktree, QR Tiger e circa 80 altri), registriamo gli intermediari per ogni hop, classifichiamo la mutabilità (statico / dinamico-singolo / dinamico-concatenato / ad-interstitial / ciclico) e attribuiamo il controllo a ciascun operatore del servizio di indirezione. In parallelo verifichiamo la destinazione tramite Google Safe Browsing e URLhaus.
- 4
Unificazione
Componiamo un'unica forma di verdetto invariante tra i tipi di payload:
threat_class,mutability,chain,attribution,sub_payloads,disclosurein linguaggio naturale. I sub-payload incorporati in un genitore (URL in un campo NOTE di vCard, SSID contenenti un link, ecc.) vengono smistati ricorsivamente.
Cosa intercettiamo che gli strumenti solo-URL non vedono
Gli scanner di minacce per URL coprono una delle 48 categorie di payload che un QR può portare, e un solo riconoscitore all'interno della categoria URL. Noi riconosciamo 222 varianti di payload su tutte e 48. Un assaggio qui sotto; la lista completa e la roadmap Tier 2 sono sulla pagina di copertura.
Catena di redirect e mutabilità
Traccia ogni hop. Rileva catene Bitly + Linktree. Identifica gli operatori dei servizi di indirezione. Mostra i soggetti che possono cambiare la destinazione dopo la stampa.
QR di configurazione WiFi
SSID e cifratura analizzati e normalizzati. Reti aperte, WEP debole o nascoste segnalate. Confusabili decodificati in modo che gli SSID simili emergano nel risultato.
Wallet drainer crypto
Validazione del formato indirizzo e checksum per ogni chain. Rilevamento dei selettori di funzione EVM (approve, setApprovalForAll, permit). Reputazione Chainabuse.
Commissioning Matter per la casa intelligente
Decodifica i payload di onboarding MT: in base 38. Estrae vendor ID e product ID. Mostra il framing "questo registra un dispositivo nella tua rete domestica" in modo che un adesivo sostituito non possa silenziosamente unirsi a un fabric dell'attaccante.
Sostituzione QR di pagamento EMV commerciante
Analizza i payload EMVCo MPM / CPM (SGQR, PromptPay, PayNow, DuitNow, UPI). Validazione CRC e visualizzazione del nome del commerciante, intercetta l'attacco con adesivo sostitutivo, la frode QR più diffusa al mondo.
Dirottamento account via QR-login
Riconosce gli endpoint di QR-login per WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub e AWS. Avvisa che la scansione concede l'accesso al tuo account a chi ha generato il QR.
Un QR pulito oggi, una pagina di phishing domani
Una volta che un QR è stampato su un adesivo, un menu o un volantino, non si può annullare la stampa. Quindi il verdetto che conta non è solo "il link è sicuro ora", ma "chi può cambiare dove punta dopo che l'inchiostro è asciutto". Questa è la mutabilità.
QR statico
walmart.com codificato direttamente nella matrice QR
La destinazione è codificata direttamente nel pattern di punti. Nessuna terza parte può riscrivere la destinazione. Ciò che scansioni oggi è ciò che scansioni tra un anno.
QR dinamico (il rischio)
aqr.net/demo-walmart → un abbreviatore → walmart.com
Il QR codifica un URL abbreviato; il titolare dell'account del servizio abbreviatore sceglie la destinazione al momento della scansione e può cambiarla in 30 secondi. Pulito oggi, phishing domani, stesso adesivo fisico. Mostriamo la catena, nominiamo l'operatore del servizio di indirezione e ti diciamo se l'asset stampato è sotto il controllo altrui.
Prezzi
Gratuito per uso personale, senza registrazione. Piani a pagamento per privati, famiglie, team, brand e implementazioni enterprise.
MEMBRO FONDATORE La tua tariffa. Bloccata. Per sempre. Risparmia il 34% sui piani a pagamento, fatturazione annuale, disponibile fino al 1° settembre 2026.
App native in arrivo
Lo stesso motore, nativo su macOS, Windows, Linux, iOS e Android. La scansione dalla fotocamera rimane sul dispositivo; la classificazione va allo stesso endpoint. abundera.app →
Domande
Cos'è il quishing?
Il quishing è il phishing tramite codice QR: un attaccante stampa, incolla adesivi, invia via email o DM un codice QR che, una volta scansionato, apre una pagina di furto delle credenziali, una transazione di wallet drainer, una rete WiFi aperta come trappola, o un intent Android che installa malware in modo non autorizzato. Il QR stesso è solo un'immagine, quindi i filtri sui link email e gli avvisi del browser non lo vedono finché il telefono della vittima non ha già aperto la destinazione. La difesa deve avvenire al momento della scansione, prima che il telefono segua il link.
In cosa si differenzia il quishing dal phishing normale?
Tre differenze. Il vettore d'attacco è fisico o visivo — un adesivo su un QR del parchimetro, un volantino stampato che imita un'iscrizione MFA, un QR del menu del ristorante sostituito di notte — quindi bypassa completamente i gateway email. Le vittime si fidano dei QR code più di quanto si fidino dei link nelle email; un QR sembra una destinazione scelta da chi ha stampato il supporto. E i QR dinamici instradati attraverso un abbreviatore possono essere reindirizzati verso una destinazione di phishing dopo che l'asset stampato è stato distribuito, quindi un QR sicuro al momento della stampa può diventare ostile mesi dopo. Gli scanner di link statici rispondono "questo URL è attualmente malevolo", non "chi può cambiare dove punta".
Come verifico che un QR sia sicuro prima di scansionarlo?
Non puntare la fotocamera nativa del telefono: apre immediatamente la destinazione. Apri invece check.qr.abundera.ai sul tuo telefono, scansiona il QR tramite la fotocamera nella pagina (la decodifica avviene localmente; l'immagine non lascia mai il dispositivo) e leggi il verdetto. Percorriamo ogni hop di redirect, classifichiamo se la destinazione è controllabile da terzi dopo che il QR è stato stampato, e verifichiamo la reputazione tramite Google Safe Browsing e altri aggregatori. I verdetti Superato sono sicuri da aprire; i verdetti Attenzione e Non procedere spiegano il motivo.
Quali sono esempi reali di quishing?
Adesivi su parchimetri e colonnine EV che coprono il QR legittimo con uno che punta a una pagina di furto di dati della carta di credito, il pattern più segnalato del 2024-2025, osservato ad Austin, San Antonio e in tutto il Regno Unito. QR del menu del ristorante sostituiti con pagine di phishing di notte da un attaccante che ha fisicamente rimpiazzato il segnaposto da tavolo. Volantini aziendali di iscrizione MFA nei bagni degli uffici dall'aspetto ufficiale che però registrano il dispositivo dell'attaccante. QR di inviti a nozze distribuiti mesi prima dell'evento, dove una compromissione dell'account dell'abbreviatore consente a un attaccante di reindirizzare migliaia di cartoline stampate. QR di pagamento crypto ai terminali punto vendita sovrapposti con l'indirizzo del wallet dell'attaccante. Il filo comune: il QR stampato è identico a quello sicuro.
In cosa si differenzia da Google Safe Browsing o VirusTotal?
Gli strumenti esistenti classificano se un URL è attualmente malevolo. Noi classifichiamo anche se la destinazione è controllabile da terzi dopo che il QR è stato stampato, una proprietà che chiamiamo mutabilità. Un QR dinamico pulito instradato attraverso un abbreviatore è comunque ad alto rischio per un adesivo su un parchimetro o un invito a nozze: il titolare dell'account dell'abbreviatore può cambiare la destinazione in qualsiasi momento. Mostriamo questa postura di controllo come campo di verdetto di primo piano accanto al verdetto sul contenuto della minaccia.
Salvate il QR che ho scansionato?
No. Il payload decodificato viaggia verso il nostro server tramite HTTPS in modo che possiamo percorrere la catena e interrogare i database di reputazione — è una necessità funzionale, non una scelta — ma non viene mai conservato. I verdetti sono memorizzati nella cache tramite un hash SHA-256 di un discriminatore specifico per tipo di payload concatenato con un salt segreto mantenuto dal server. Il payload originale non è ricostruibile da nessuna voce della cache.
Perché un dominio separato da qr.abundera.ai?
qr.abundera.ai è un generatore che promette tutto lato client: nulla lascia il dispositivo. Questo checker di sicurezza trasmette il payload decodificato al server per necessità. Separiamo le due superfici in modo che la promessa solo-client resti pulita sul dominio del generatore, e la superficie con modello di privacy invertito rimanga chiaramente etichettata qui.
Cos'è la funzione di avviso mutazione?
Livello Pro. Invia un QR per il monitoraggio, e ripetiamo il percorso della catena periodicamente. Email quando cambiano i target di redirect, la destinazione finale, o l'insieme degli operatori dei servizi di indirezione. Questo intercetta il pattern di quishing più comune nel mondo reale: stampare un QR pulito, cambiare la destinazione in phishing mesi dopo, raccogliere le scansioni dall'asset stampato.
Posso integrarlo nel mio prodotto di sicurezza?
Sì, nel livello Pro. L'API è RESTful, restituisce un verdetto JSON strutturato con tipo di payload, classe di minaccia, mutabilità, catena di redirect, attribuzione del controllo per hop e risultati dei sub-payload. Progettata per l'integrazione in app wallet, suite di sicurezza mobile, filtraggio URL enterprise e arricchimento delle anteprime link di Slack / Teams aziendali.
Open source?
Non al momento. Il classificatore è a codice chiuso mentre il lavoro brevettuale sottostante è in fase di esame. Potremmo pubblicare implementazioni di riferimento degli algoritmi divulgati dopo la concessione. Il contratto API è pubblico e stabile.