quishing防衛 · QR + URL + 短縮URLの安全性

QRコードを クリーン になるまで信頼しないでください。

QRコードは、あなたに封筒を渡す見知らぬ人です。同じことが、bit.ly、t.co、またはDMのリンクにも当てはまります。チェックせずに開けると、資格情報フィッシングページ、オープンWiFiトラップ、ウォレットドレナージャートランザクション、またはAndroidインテント(マルウェアをインストール)に着地する可能性があります。我々はチェーンをトレースし、目的地をスクリーンし、QRが印刷された後でも目的地を変更できる人物を明示します。これは、駐車メーターのステッカー、転送された短縮URL、レストランメニュー、または企業MFAフライヤーが実際に安全かどうかを決める質問です。

登録不要、アカウント不要 ペイロードは永続化されない カメラデコードはローカルに残る Mac、Windows、iOS、Androidアプリが近日公開
このツールを共有する · または短縮リンクを保存してここに戻る

カメラでQRコードをスキャン、画像をアップロード、画像を貼り付け、またはデコードされたテキストを貼り付け。

カメラと画像デコードはブラウザで行われます。デコードされたテキストのみがアナライザに送信されます。

スキャナ設定

実際に確認する

「このスキャンを試す」をタップしてここから実行するか、QRコードをスマホのカメラでスキャンする。最初に何かを訪問する必要がない。

Abunderaの公式サイトへの直接のHTTPSリンク。短縮URL、リダイレクトなし。最良ケースの判断: クリーンで静的変更可能性と低な目的地サーバ変更可能性の下限。

https://qr.abundera.ai/

QRコードでhttps://qr.abundera.ai/をエンコード

仕組み

  1. 1

    デコード

    ブラウザがQRをローカルでデコード(jsQR)。画像はデバイスから出ません。我々はテキストペイロードのみを確認します。

  2. 2

    ディスパッチ

    ペイロードはURIスキーム、構造化フォーマットプレフィックス、またはコンテンツヒューリスティックによって48のアナライザカテゴリのいずれかに分類されます。これらは222ペイロードバリアントを認識します:HTTP URL(数十のホスト固有の認識器付き)、WiFi、vCard、テレフォニー、メール、Androidインテント、暗号通貨、コンテンツアドレス指定、インラインデータ、カレンダー、ジオ、ブルートゥースペアリング、Matterオンボーディング、EMV商支払い(PIX、PayNow、PromptPay、UPI、30以上の国スケーム)、WireGuard構成、スマートヘルスカード、eSIMアクティベーション、WalletConnectペアリング、FIDOパスキーハイブリッド、ハードブロックスキーム、またはプレーンテキスト。各カテゴリは専用のアナライザに送られます。

  3. 3

    トレース + 分類

    HTTP URLの場合、我々はインディレクションサービス(Bitly、Linktree、QR Tiger、および約80の他)を経由したリダイレクトチェーンをトレースし、ホップごとの中間者を記録し、変更可能性(静的/動的単一/動的チェーン/広告インタースティシャル/サイクリック)を分類し、各インディレクションサービスオペレータに制御を属性します。並行して、Google Safe BrowsingおよびURLhausに目的地をスクリーンします。

  4. 4

    統合

    ペイロードタイプにかかわらず不変な単一の判断形状を構成します:threat_class, mutability, chain, attribution, sub_payloads, 通常言語のdisclosure。親ペイロード内に埋め込まれたサブペイロード(vCard NOTEフィールド内のURL、SSIDにリンクを含むなど)は再帰的にディスパッチされます。

URL専用ツールが見逃すもの

URLクラスの脅威スキャナはQRコードが運ぶ48ペイロードカテゴリのうちの1つにのみ対応し、URLカテゴリ内での単一の認識器にすぎない。我々は48カテゴリすべてにわたって222ペイロードバリアントを認識する。以下にいくつかの例を示すが、完全なリストとTier 2のロードマップは カバレッジページ に記載されている。

リダイレクトチェーンと変更可能性

すべてのホップをトレース。Bitly + Linktreeのチェーンを検出。間接サービスオペレータを特定。印刷後でも目的地を変更できる当事者を明示。

WiFi設定QR

SSID + 暗号化を解析・正規化。オープン/弱いWEP/隠しネットワークをフラグ化。類似SSIDを結果に表示するようにデコード。

暗号ウォレットドレナージャー

チェーンごとのアドレス形式 + チェックサム検証。EVM関数セレクタ検出(approve, setApprovalForAll, permit)。ChainAbuseの評判。

Matterスマートホームコンミッション

MT:ベース38のオンボーディングペイロードをデコード。ベンダーID + プロダクトIDを抽出。"このQRはあなたのホームネットワークにデバイスを登録します"というフレーミングを明示し、ステッカーの交換による攻撃を防ぐ。

EMV商QR支払い交換

EMVCo MPM / CPMペイロード(SGQR、PromptPay、PayNow、DuitNow、UPI)を解析。CRC検証 + 商店名表示。ステッカー交換攻撃を検出。グローバルで最大のQR詐欺。

QRログインアカウントハッキング

WhatsApp Web、Telegram、Signal、Microsoft 365、Google、GitHub、AWSデバイスコードQRログインエンドポイントを認識。QRをスキャンすることで、QRを生成した者がアカウントにアクセスできる可能性に注意喚起。

222種類のペイロードタイプすべてを確認 →

今日クリーンなQRコード、明日フィッシングページ

QRコードがステッカー、メニュー、またはフライヤーに印刷された後、それを印刷し直すことはできません。そのため、重要な判断は「リンクが今安全か」ではなく、「インクが乾いた後でもこのQRコードがどこを指すかを変更できる人物は誰か」です。それが変更可能性です。

静的QR

walmart.comをQRマトリクスに直接エンコード

目的地はドットパターン自体に含まれている。第三者が書き換えられない。今日スキャンしたものは、1年後も同じ。

動的QR(リスク)

aqr.net/demo-walmart → ある短縮URL → walmart.com

QRは短縮URLをエンコード。短縮URLの所有者がスキャン時に目的地を選択し、30秒で交換可能。今日クリーンでも、明日フィッシングになる可能性がある。我々はチェーンを明示し、間接サービスオペレータを名乗り、印刷された資産がリーシュに縛られているかを示す。

価格

個人利用は無料、登録不要。個人、家族、チーム、ブランド、企業導入向けの有料プラン。

設立会員 あなたのレート。固定。永久に。有料プランより34%割引、年間請求、2026年9月1日まで提供。

設立価格を確認 → 標準価格

ネイティブアプリが近日公開

同じエンジン、macOS、Windows、Linux、iOS、Androidでネイティブ。カメラスキャンはデバイス内に残り、分類は同じエンドポイントへ。 abundera.app →

質問

quishingとは何ですか?

QuishingとはQRコードフィッシングのことです。攻撃者は、QRコードを印刷、ステッカー、メール、DMで送信し、スキャン時に資格情報収集ページ、ウォレットドレナージャートランザクション、オープンWiFiトラップ、またはAndroidインテント(マルウェアをインストール)を開くようにします。QRコード自体は画像なので、メールリンクフィルタやブラウザ警告は、被害者の電話がすでに目的地を開いた後まで見られません。防御はスキャン時に発生し、電話がリンクをフォローする前に。

quishingは通常のフィッシングとどのように異なりますか?

3つの違いがあります。攻撃ベクターは物理的または視覚的で、駐車メーターQRの上にステッカーを貼る、印刷されたフライヤーがMFA登録を偽装する、レストランメニューQRが一夜で交換されるなど、電子メールゲートウェイを完全にバイパスします。被害者はQRコードを電子メールリンクより信頼しており、QRコードは印刷された表面の選択した目的地のように感じます。動的QRコードは短縮URLを経由してルーティングされ、印刷された資産が配布された後でもフィッシング目的地に再指向される可能性があるため、印刷時が安全でも数カ月後には敵対的な可能性があります。静的リンクスキャナは「このURLは現在悪意があるか」ではなく、「このQRが印刷された後でも目的地を変更できる人物は誰か」を回答します。

QRコードをスキャンする前に安全かどうかを確認するにはどうすればよいですか?

電話のネイティブカメラを向けないでください。すぐに目的地を開きます。代わりに、スマートフォンでcheck.qr.abundera.aiを開き、ページ内カメラでQRコードをスキャンしてください(デコードはローカルで行われ、画像はデバイスから出ません)。判断を読み取ってください。我々はすべてのリダイレクトホップを歩き、QRが印刷された後でも第三者が目的地を制御できるかどうかを分類し、Google Safe Browsingやその他の集約器とレピュテーションを照会します。Clearedの判断は開いて安全、CautionおよびDo not proceedの判断はなぜなのかを示します。

現実世界のquishingの例は?

2024-2025年の最も報告されたパターンは、駐車メーターおよびEV充電ステッカーで、合法的なQRコードを信用カード収集ページに置き換えること、アーリントン、サンアントニオ、イギリス全体で観測されています。レストランメニューQRコードが、攻撃者がテーブルのポスターを物理的に交換してフィッシングページに置き換えること。オフィスのトイレに配置された企業MFA登録フライヤーが公式に見えるが、攻撃者のデバイスを登録すること。結婚式招待状QRコードがイベント数カ月前から配布され、短縮URLアカウントの侵害により、数千の印刷されたカードを再指向できる可能性があること。ポイントオブセールターミナルの暗号支払いQRコードが、攻撃者のウォレットアドレスで上書きされること。共通のスレッド:印刷されたQRコードは安全なものと見た目が同じです。

これはGoogle Safe BrowsingやVirusTotalとどのように異なりますか?

既存のツールはURLが現時点で悪意あるものかどうかを分類します。私たちはさらに、QRが印刷された後に第三者が転送先を制御できるかどうかを分類します。これを可変性と呼びます。短縮URLを経由するクリーンな動的QRでも、駐車メーターのステッカーや結婚招待状には依然として高リスクです。短縮URLのアカウント保有者はいつでも転送先を変更できるからです。このコントロール状態を、脅威コンテンツの判定と並ぶ主要な判定フィールドとして表示します。

私がスキャンしたQRは保存されますか?

いいえ。デコードされたペイロードはHTTPSでサーバーに送信されるため、我々はチェーンを歩き、レピュテーションデータベースを照会できます。これは機能上の必然であり、選択ではありませんが、永続化されることはありません。判断は、ペイロードタイプごとのディスクリミネータのSHA-256ハッシュとサーバー保持の秘密の塩を連結したハッシュでキャッシュされます。オリジナルペイロードはキャッシュエントリから再構築できません。

なぜqr.abunder家.aiとは別のドメインですか?

qr.abundera.aiはすべてクライアントサイドで処理するジェネレータです:デバイスから何も出ません。このセキュリティチェックはデコードされたペイロードをサーバーに送信する必要があります。2つの表面を分離することで、ジェネレータドメインでのクライアント専用の約束がきれいで、逆プライバシーモデルの表面がここでは明確にラベル付けされます。

変更アラート機能とは?

Pro階層。QRを追跡するための提出、我々は定期的にチェーンを再歩きします。リダイレクトターゲット、最終目的地、または間接サービスオペレータのセットが変更されたときにメールを送信します。これは、最も一般的なquishing-in-the-wildパターンをキャッチします:クリーンなQRを印刷し、数カ月後に目的地をフィッシングに変更し、印刷された資産からのスキャンを収集します。

私のセキュリティ製品に埋め込むことはできますか?

はい、Pro階層で。APIはRESTフルで、ペイロードタイプ、脅威クラス、変更可能性、リダイレクトチェーン、ホップごとの制御属性、サブペイロードの見つかりを含む構造化されたJSON判断を返します。ウォレットアプリ、モバイルセキュリティスイート、企業URLフィルタリング、企業Slack / Teamsリンクプレビューの豊富化に埋め込むために設計されています。

オープンソースですか?

現在は提供していません。分類器は特許出願中の下位技術に閉じています。特許が発行された後、公開されたアルゴリズムのリファレンス実装を公開する可能性があります。API契約は公開されており、安定しています。