What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

현장 가이드

2026년 주의해야 할 QR 코드 사기

QR 코드는 단순한 인코딩된 문자열입니다. 위험은 형식이 아니라 그것이 가리키는 곳에 있습니다. 실제 사기를 유형별로 분류하면 대부분의 패턴이 반복됩니다.

지금 QR 확인하기 → 디코딩하는 QR 표준 →

1. 주차 미터기, 메뉴, EV 충전기의 스티커 교체

어떻게 보이나요: 주차 미터기, 메뉴, EV 충전기의 인쇄된 QR 위에 깔끔하게 부착된 소형 접착 스티커.

어떻게 식별하나요: QR을 살펴보세요. 표면에 직접 인쇄된 건가요, 아니면 스티커인가요? 스티커라면 의심하세요.

자세히 보기: EMVCo 가맹점 결제 QR →

2. 공항, 호텔, 컨퍼런스 센터의 이블 트윈 Wi-Fi

어떻게 보이나요: 공항, 호텔, 카페에서 무료 Wi-Fi를 광고하는 인쇄된 카드나 스티커.

어떻게 식별하나요: SSID가 장소에서 공식적으로 게시한 것과 일치하는지 확인하세요.

자세히 보기: Wi-Fi 자격증명 QR →

3. 패스키-QR 피싱

어떻게 보이나요: 데스크톱에서 사이트에 로그인하고 있습니다. 화면에 QR이 표시되며 모바일로 스캔해 패스키를 승인하라고 요청합니다.

어떻게 식별하나요: 패스키 QR을 스캔하기 전에 페이지의 URL이 예상한 도메인과 일치하는지 확인하세요.

자세히 보기: FIDO2 패스키 QR →

4. 인증기 내보내기 도난

어떻게 보이나요: 누군가가 '빠른 확인'을 위해 잠금 해제된 폰을 빌립니다. 그들이 실제로 하는 일은 인증기 앱을 열고 내보내기 QR을 생성하는 것입니다.

어떻게 식별하나요: 방어책은 QR을 발견하는 것이 아니라 잠금 해제된 폰을 낯선 사람에게 넘기지 않는 것입니다.

자세히 보기: otpauth-migration QR →

5. 탑승권 사진 게시

어떻게 보이나요: 여행자가 SNS에 탑승권 사진을 올립니다. IATA BCBP 바코드에는 이름, 항공편, 좌석, 예약 참조가 인코딩되어 있습니다.

어떻게 식별하나요: 탑승권 사진을 올리지 마세요. 공유해야 한다면 바코드를 가리세요.

자세히 보기: IATA BCBP 탑승권 QR →

6. 운전면허증 바코드 수집

어떻게 보이나요: 바, 클럽, 전자담배 가게, 약국, 또는 나이 확인이 필요한 장소에서 신분증 바코드를 스캔합니다.

확인 방법: 무엇을 스캔하는지, 왜 스캔하는지 물어보세요. 일부 시설은 성인 여부 확인만 필요하고, 일부 지역의 대형 클럽은 법적으로 데이터를 보존해야 합니다. 소규모 비공식 장소라면 거부 의사를 표명하세요. 모바일 운전면허증을 보유하고 있다면 그것을 사용하세요. mDL은 선택적 공개를 지원하므로 바(bar)에서 생년월일을 보지 않고도 “21세 이상 여부: 예/아니오”만 확인할 수 있습니다.

자세히 보기: AAMVA 운전면허증 PDF417 →

7. NFT 행사와 실물 예술의 크립토 드레이너 QR

어떻게 보이나요: NFT 행사, 갤러리 오프닝, 컨퍼런스의 QR이 지갑 연결이나 서명 요청을 시작합니다.

확인 방법: 서명 전에 지갑의 트랜잭션 프롬프트를 꼼꼼히 읽으세요. 알 수 없는 컨트랙트에 대해 토큰 승인(특히 setApprovalForAll 또는 무제한 approve 지출)을 요청한다면 거부하세요. 임의의 부스에서 배포하는 무료 NFT 수령 QR은 그 위험을 감수할 가치가 없습니다. 현장 QR 상호작용에는 잔액이 최소한인 별도의 ‘핫’ 지갑을 사용하고, 실제 자산은 QR 세션에 절대 연결하지 않는 지갑에 보관하세요.

8. 자선 / 기부 QR 위의 스티커

어떻게 보이나요: 실제 자선단체 전단지가 공공장소에 게시되어 있습니다. 스티커 QR이 해당 도메인으로 가지 않는 다른 결제 링크로 연결됩니다.

어떻게 식별하나요: #1과 동일: QR이 인쇄된 QR 위의 스티커인가요? 스캔 전에 Abundera QR Check로 URL을 확인하세요.

9. 위조 제품 여권 QR

수법의 형태: 섬유, 배터리, 전자기기 또는 가구에 붙은 QR이 해당 제품의 EU 디지털 제품 여권(ESPR 요건, 2027~2030년 단계적 시행)이라고 주장합니다. 스캔하면 제품의 원산지, 재활용 성분, 지속가능성 정보를 보여주는 그럴싸한 웹 페이지가 열립니다. 그러나 이는 모두 허위이며, 위조품 제조업체가 일반적인 DPP 스타일의 랜딩 페이지를 유료로 제작한 것입니다. DPP가 확산될수록 이런 사기도 늘어날 것으로 예상됩니다. 규제 기관은 아직 진위를 확인할 수 있는 EU 레지스트리를 구축 중입니다.

어떻게 식별하나요: DPP의 발급자 필드가 브랜드의 실제 도메인으로 확인되는지 확인하세요.

자세히 보기: EU 디지털 제품 여권 →

10. 과도한 요청을 하는 적대적 mDL 검증자

어떻게 보이나요: 모바일 운전면허증(mDL)을 제시하라는 요청을 받습니다. 스캔하면 QR이 앱에 권한을 요청합니다.

어떻게 식별하나요: 요청 프롬프트를 읽으세요. 검증자가 필요한 것보다 더 많은 속성을 요구한다면 거부하세요.

자세히 보기: 모바일 운전면허증 (ISO 18013-5) →

이미 나쁜 것을 스캔했다면 해야 할 일

결제 사이트: 카드 정보를 입력했다면 즉시 은행에 연락하세요. 카드를 정지하고 계정을 모니터링하세요.
Wi-Fi: 폰에서 네트워크를 잊어버리세요. 해당 네트워크에 연결되는 동안 방문한 민감한 사이트의 최근 로그인을 확인하세요.
패스키: 영향받은 계정에 로그인하고 보안 설정으로 이동하여 패스키를 제거한 다음 새 패스키를 등록하세요.
인증기 내보내기: 전체 침해로 간주하세요. 모든 중요 계정의 2FA를 즉시 재설정하고 새 비밀번호를 설정하세요.
탑승권 게시됨: 항공사에 연락하고 예약 참조를 변경하세요. 탑승권 바코드는 좌석을 노출합니다.
크립토 드레이너 서명됨: 즉시 잔여 자산을 새 지갑으로 이동하세요. 서명한 지갑은 손상된 것으로 간주하세요.

스캔 전에 확인하세요

이미지, 붙여넣기, 또는 카메라로 QR을 스캐너에 드롭하세요. 디코딩된 페이로드, 리디렉션 체인, 안전 판정을 확인할 수 있습니다.

스캐너 열기 →