What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Panduan lapangan

Penipuan kod QR yang perlu diperhatikan pada 2026

Kod QR hanyalah rentetan yang dikodkan. Bahayanya bukan pada format itu sendiri, tetapi pada apa yang ditunjuk oleh rentetan itu. Panduan ini menguraikan sepuluh vektor serangan semasa dan cara mengenalinya sebelum anda mengimbas.

Semak QR sekarang → Standard QR yang kami dekod →

1. Pertukaran pelekat pada meter parkir, menu, dan pengecas EV

Seperti apa: Pelekat kecil yang diletakkan dengan kemas di atas kod QR yang dicetak secara sah pada mesin parkir, menu, atau pengecas EV. Setiap kali seseorang mengimbas, mereka dialihkan ke halaman pembayaran yang dikuasai penyerang.

Cara mengesannya: Lihat kod QR. Adakah ia dicetak terus pada permukaan atau adakah ia pelekat? Goyangkan tepi. Sebelum memasukkan sebarang pembayaran, semak domain di bar URL dengan teliti. Laman parkir bandar biasanya berakhir dengan .gov atau nama bandar; bukan nama domain rawak.

Baca lagi: QR pembayaran pedagang EMVCo →

2. Wi-Fi kembar jahat di lapangan terbang, hotel, dan pusat persidangan

Seperti apa: Kad atau pelekat bercetak mengiklankan Wi-Fi percuma di lapangan terbang, hotel, atau persidangan. QR menghubungkan anda ke SSID yang kelihatan sah tetapi dikendalikan oleh penyerang.

Cara mengesannya: Sahkan SSID sepadan dengan apa yang disiarkan oleh tempat secara rasmi. Tanya kakitangan. Lebih baik lagi, gunakan data mudah alih atau VPN anda apabila berada di rangkaian awam, tidak kira bagaimana anda menyambung.

Baca lagi: QR kelayakan Wi-Fi →

3. Phishing QR kunci laluan

Seperti apa: Anda sedang log masuk ke laman web di komputer meja. Laman ini menunjukkan kod QR yang perlu anda imbas dengan telefon anda untuk log masuk menggunakan kunci laluan. Kod QR sebenarnya menghubungkan ke sesi penyerang, memindahkan log masuk anda kepada mereka.

Cara mengesannya: Sebelum mengimbas QR kunci laluan, sahkan URL halaman sepadan dengan domain yang anda jangkakan. Jika anda tiba melalui pautan yang dikongsi atau e-mel, taip domain secara manual. Gesaan kunci laluan sahih tidak datang dari iklan atau mesej yang tidak dijangka.

Baca lagi: QR kunci laluan FIDO2 →

4. Kecurian eksport pengesah

Seperti apa: Seseorang meminjam telefon anda yang tidak dikunci untuk "sebentar". Mereka membuka aplikasi pengesah anda, mengeksport semua token anda sebagai kod QR, dan mengimbas kod itu dengan peranti mereka sendiri. Anda tidak akan sedar apa-apa berlaku.

Cara mengesannya: Pertahanan bukan pada mengesan QR, tetapi jangan biarkan seseorang menggunakan telefon anda tanpa pengawasan apabila aplikasi pengesah anda terbuka. Kunci skrin dan gunakan PIN atau biometrik yang berbeza daripada yang diketahui oleh orang ramai.

Baca lagi: QR migrasi otpauth →

5. Penyiaran foto pas naik taraf

Seperti apa: Seorang pengembara menyiarkan foto pas naik taraf mereka di media sosial. Kod bar atau QR pada pas itu mengandungi nombor tempahan, nama, nombor penerbangan, dan nombor tempat duduk. Penyerang membaca data itu dan boleh mengakses tempahan, menukar tempat duduk, atau mungkin check-in dari jauh.

Cara mengesannya: Jangan siarkan foto pas naik taraf. Jika anda perlu berkongsi, redakkan atau potong bahagian yang mengandungi kod bar. Selepas perjalanan, buang pas naik taraf dengan betul.

Baca lagi: QR pas naik taraf IATA BCBP →

6. Penuaian kod bar lesen memandu

Seperti apa: Bar, kelab, kedai wap, kedai ganja, atau pengesah umur lain mengimbas PDF417 di belakang lesen memandu anda dengan cara yang tidak disahkan. Data yang dikodkan merangkumi nama, alamat, tarikh lahir, nombor lesen, dan DSN.

Cara mengesannya: Tanya apa yang sedang diimbas dan mengapa. Sesetengah tempat hanya perlu mengesahkan umur; tempat lain (kelab besar di sesetengah bidang kuasa) dikehendaki secara sah untuk menyimpan data. Tolak jika tempat itu kecil dan tidak rasmi. Jika anda mempunyai lesen memandu mudah alih, gunakannya — mDL menyokong pendedahan terpilih (bar boleh tanya sekadar "lebih 21? ya/tidak" tanpa melihat tarikh lahir anda).

Baca lagi: PDF417 lesen memandu AAMVA →

7. QR pengalir kripto di acara NFT dan seni fizikal

Seperti apa: QR di acara NFT, pembukaan galeri, atau konferen cryptocurrency menjanjikan hadiah atau penghantaran aset. Mengimbas dan meluluskan transaksi mengosongkan dompet anda.

Cara mengesannya: Baca gesaan transaksi dalam dompet anda sebelum menandatangani. Jika ia meminta kelulusan token (terutamanya setApprovalForAll atau perbelanjaan approve tanpa had) untuk kontrak yang tidak anda kenali, tolak. QR tuntutan NFT percuma di gerai rawak tidak berbaloi risikonya. Gunakan dompet "hot" berasingan dengan baki minimum untuk sebarang interaksi bersemuka; simpan aset sebenar anda dalam dompet yang tidak pernah anda sambungkan ke sesi QR.

8. Pelekat di atas QR amal / derma

Seperti apa: Risalah untuk badan amal sebenar dipasang di tempat awam. QR sudah diganti pelekat supaya pengguna menderma terus ke akaun penyerang, bukannya amal.

Cara mengesannya: Sama seperti #1, adakah QR itu pelekat di atas yang dicetak? Pergi ke tapak web amal secara langsung menggunakan mesin carian, bukannya QR, untuk mendermakan.

9. QR pasport produk palsu

Rupanya: Sebuah QR pada tekstil, bateri, peranti elektronik, atau perabot mendakwa ia adalah Pasport Produk Digital EU produk itu (keperluan ESPR, berperingkat masuk 2027-2030). Imbas sahaja dan laman web yang kemas memaparkan asal-usul produk, kandungan kitar semula, dan tuntutan kemampanan. Semuanya tidak nyata — pengeluar barang palsu itu hanya membayar untuk laman pendaratan bergaya DPP yang generik. Apabila DPP diperluaskan, jangkakan perkara ini berkembang: pihak berkuasa masih membina pendaftaran EU yang mengesahkan keaslian.

Cara mengesannya: Semak sama ada medan penerbit dalam DPP menyelesaikan ke domain yang disahkan pengeluar. Destinasi URL tidak sepatutnya pengalih atau pemendekan URL. Sahkan butiran produk dalam DPP sepadan dengan barangan fizikal.

Baca lagi: Pasport Produk Digital EU →

10. Pemeriksa mDL bermusuhan yang meminta terlalu banyak

Seperti apa: Anda mempersembahkan lesen memandu mudah alih (mDL) anda untuk pengesahan umur atau identiti. Pemeriksa menunjukkan kod QR yang anda imbas untuk berkongsi kelayakan anda.

Cara mengesannya: Baca gesaan permintaan. Jika pemeriksa meminta lebih daripada yang diperlukan untuk kes penggunaan (contohnya, tarikh lahir untuk pengesahan umur tetapi turut meminta alamat, nombor lesen, atau DSN), itu bendera merah. Aplikasi mDL yang baik memaparkan dengan tepat medan mana yang diminta.

Baca lagi: Lesen memandu mudah alih (ISO 18013-5) →

Apa yang perlu dilakukan jika anda sudah mengimbas sesuatu yang berbahaya

Laman pembayaran: Jika anda memasukkan butiran kad, hubungi bank anda sekarang. Minta kad diganti, bukan hanya transaksi dibantah. Periksa akaun dalam 72 jam akan datang.
Wi-Fi: Lupakan rangkaian pada telefon anda. Jalankan semakan pantas pada sebarang peranti lain yang disambungkan ke SSID yang sama semasa sesi itu.
Kunci laluan: Log masuk ke akaun yang terjejas, pergi ke tetapan keselamatan, dan hapus sesi aktif yang tidak anda kenali. Kunci laluan sendiri biasanya tidak boleh dipindahkan, tetapi periksa sama ada sesi baharu telah dibuat.
Eksport pengesah: Anggap ini sebagai pelanggaran penuh. Tetapkan semula 2FA pada setiap akaun yang boleh dieksport. Hubungi pasukan keselamatan jika ini adalah peranti kerja.
Pas naik taraf yang disiarkan: Hubungi syarikat penerbangan, tukar nombor tempahan jika boleh, dan pantau sama ada ada percubaan check-in yang tidak dibenarkan.
Pengalir kripto yang ditandatangani: Alihkan aset yang tinggal ke dompet baharu dengan segera. Kelulusan yang diberikan tidak boleh dibatalkan tetapi jangan biarkan lebih banyak aset terdedah.

Semak sebelum imbas

Jatuhkan mana-mana QR (imej, tampal, atau kamera) ke dalam pengimbas kami. Anda akan melihat muatan yang didekod, rantai ubah hala jika ia URL, siapa yang boleh menukar destinasi ke hadapan, dan bendera reputasi. Keputusan ada pada anda; maklumat ada di skrin sebelum anda bertindak.

Buka pengimbas →