Een directe HTTPS-link naar een eigen Abundera-site. Geen verkorters, geen omleidingen. Beste verdict: Vrijgegeven met statische veranderbaarheid en een lage bestemmingsserververanderbaarheidsgrens.
https://qr.abundera.ai/
Quishing-verdediger · QR + URL + verkorter veiligheid
Vertrouw een QR pas als die is vrijgegeven.
Een QR-code is een vreemde die je een envelop geeft. Hetzelfde geldt voor elke korte URL — een bit.ly, een t.co of een link in een DM. Open het zonder te controleren en je kunt op een phishingpagina belanden, een open WiFi-val, een wallet-drainertransactie of een Android-intent die malware sideloadt. Wij traceren de keten, screenen de bestemming en vertellen je wie die na het afdrukken van de QR kan wijzigen — de vraag die bepaalt of een parkeerautomaatsticker, een doorgestuurde korte URL, een restaurantmenu of een bedrijfs-MFA-flyer daadwerkelijk veilig is.
Geen account nodig Payload nooit opgeslagen Cameradecodering blijft lokaal Mac, Windows, iOS, Android-apps binnenkort
Deel dit hulpmiddel · of sla een korte link op om terug te komen
Scan een QR-code met je camera, upload een afbeelding, plak een afbeelding of plak gedecodeerde tekst.
Camera en beelddecodering vinden plaats in je browser. Alleen de gedecodeerde tekst wordt naar onze analysator gestuurd.
Scannerinstellingen
Verbeterde decoder downloaden… 0%
Scangeschiedenis
Alleen opgeslagen op dit apparaat, nooit naar onze servers gestuurd. Laatste 25 scans, oudste automatisch verwijderd. Cloud-gesynchroniseerde scangeschiedenis (apparaatoverschrijdend, 30 dagen) staat op de roadmap voor Personal+-niveaus.
Zie het in actie
Tik op „Probeer deze scan“ om hem hier uit te voeren, of richt je telefoon op de QR-code. Het gaat via onze scanner en het verdict verschijnt op je telefoon. Je hoeft nergens eerst naartoe te gaan.
Een QR die via onze eigen verkorter loopt voor de eindbestemming. Het verdict toont wie de bestemming na het afdrukken kan wijzigen, de veranderlijkheidsas die geen andere scanner laat zien.
https://aqr.net/demo-walmart
Een link die gegarandeerd in een ander land dan het jouwe wordt opgelost (de JS wisselt het doel na detectie van je regio). Demonstreert de per-hop landchip; een keten die onverwacht grenzen overschrijdt is een sterkere vertrouwensindicator dan een enkele hop alleen.
https://www.bundestag.de/
Google onderhoudt deze URL specifiek als Safe Browsing-testfixture. Het wordt geclassificeerd als SOCIAL_ENGINEERING door Safe Browsing, handig om te laten zien dat de reputatieaggregator en de verdictescalatie daadwerkelijk werken, zonder te linken naar een echte phishingsite.
https://testsafebrowsing.appspot.com/s/phishing.html
Hoe het werkt
- 1
Decoderen
Je browser decodeert de QR lokaal (jsQR). De afbeelding verlaat je apparaat nooit. Wij zien alleen de tekstuele payload.
- 2
Versturen
De payload wordt geclassificeerd op URI-schema, gestructureerd formaat-prefix of inhoudsheuristiek in een van 48 analysatorcategorieën die samen 222 payloadvarianten herkennen: HTTP-URL (met tientallen hostspecifieke herkenners), WiFi, vCard, telefonie, mail, Android-intent, cryptocurrency, inhoud-geadresseerd, inline-data, agenda, geo, Bluetooth-koppeling, Matter-onboarding, EMV-betaling (PIX, PayNow, PromptPay, UPI en 30+ landschema's), WireGuard-configuratie, Smart Health Card, eSIM-activering, WalletConnect-koppeling, FIDO-passkey hybride, hardgeblokkeerd schema of platte tekst. Elke categorie gaat naar zijn eigen analysator.
- 3
Traceren + classificeren
Voor HTTP-URL's traceren we de omleidingsketen via omleidingsdiensten (Bitly, Linktree, QR Tiger en ~80 anderen), registreren we per-hop tussenpersonen, classificeren we veranderbaarheid (statisch / dynamisch-enkel / dynamisch-geketend / advertentie-tussenblad / cyclisch) en schrijven we controle toe aan elke operator van een omleidingsdienst. Tegelijkertijd screenen we de bestemming via Google Safe Browsing en URLhaus.
- 4
Samenvoegen
We maken één verdictformaat dat onveranderlijk is voor alle payloadtypen:
threat_class,mutability,chain,attribution,sub_payloads, begrijpelijkedisclosure. Sub-payloads ingebed in een ouder (URL's in een vCard NOTE-veld, SSID's die een link bevatten, enz.) worden recursief verwerkt.
Wat wij vangen dat URL-only tools missen
URL-klasse dreigingsscanners dekken één van de 48 payloadcategorieën die een QR kan dragen, en één herkenner binnen de URL-categorie. Wij herkennen 222 payloadvarianten over alle 48. Een voorproefje hieronder; de volledige lijst en de Tier 2-roadmap staan op de dekkingspagina.
Omleidingsketen & veranderbaarheid
Volg elke doorverwijzing. Detecteer Bitly- en Linktree-ketens. Identificeer operators van omleidingsdiensten. Toon de partijen die de bestemming na het afdrukken kunnen wijzigen.
WiFi-configuratie QR's
SSID + versleuteling geparseerd en genormaliseerd. Open, zwakke WEP- en verborgen netwerken gemarkeerd. Verwarrende tekens gedecodeerd zodat lookalike-SSID's in het resultaat zichtbaar zijn.
Crypto-walletdrainage
Per-keten adresformaat + checksumvalidatie. EVM-functieselectiedetectie (approve, setApprovalForAll, permit). Chainabuse-reputatie.
Matter smart-home inbedrijfstelling
Decodeer MT:-base-38-onboardingpayloads. Extraheer leveranciers-ID en product-ID. Toon de framing „dit registreert een apparaat in je thuisnetwerk” zodat een verwisseld stickertje niet stilletjes een aanvallersnetwerk kan binnendringen.
EMV handelaar-QR betalingsverwisseling
Parseer EMVCo MPM/CPM-payloads (SGQR, PromptPay, PayNow, DuitNow, UPI). CRC-validatie + handelaarsnaam getoond; vangt de stickerverwisseling, wereldwijd de meest voorkomende QR-fraude.
QR-login accountovername
Herkent WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub en AWS-apparaatcode QR-login-eindpunten. Waarschuwt dat scannen degene die de QR genereerde toegang geeft tot je account.
Vandaag een schone QR, morgen een phishingpagina
Eenmaal afgedrukt op een sticker, menu of flyer kun je het niet ongedaan maken. Het verdict dat telt is dus niet alleen „is de link nu veilig“, maar „wie kan wijzigen waar dit naartoe verwijst nadat de inkt is opgedroogd“. Dat is veranderbaarheid.
Statische QR
walmart.com direct in de QR-matrix gecodeerd
De bestemming staat in het puntpatroon zelf. Geen derde partij kan herschrijven waar het naartoe gaat. Wat je vandaag scant, scan je over een jaar ook.
Dynamische QR (het risico)
aqr.net/demo-walmart → een verkorter → walmart.com
De QR codeert een verkorte URL; de accounthouder van de verkorter kiest de bestemming op het moment van scannen en kan die in 30 seconden omwisselen. Vandaag schoon, morgen phishing, zelfde fysieke sticker. Wij tonen de keten, noemen de operator van de omleidingsdienst en vertellen je of het gedrukte item aan een lijn hangt.
Prijzen
Gratis voor persoonlijk gebruik, geen account nodig. Betaalde abonnementen voor individuen, gezinnen, teams, merken en bedrijfsuitrol.
OPRICHTEND LID Jouw tarief. Vergrendeld. Voor altijd. Bespaar 34% op betaalde niveaus, jaarlijkse facturering, beschikbaar tot en met 1 september 2026.
Native apps binnenkort beschikbaar
Dezelfde engine, native op macOS, Windows, Linux, iOS en Android. Camerascan blijft op het apparaat; classificatie gaat naar hetzelfde eindpunt. abundera.app →
Vragen
Wat is quishing?
Quishing is QR-code phishing: een aanvaller drukt af, beplakt, mailt of stuurt een QR-code die bij het scannen een pagina voor het stelen van inloggegevens opent, een wallet-drainertransactie, een open WiFi-val of een Android-intent die malware sideloadt. De QR zelf is gewoon een afbeelding, dus e-mailfilters en browserwaarschuwingen zien hem nooit voordat de telefoon van het slachtoffer de bestemming al heeft geopend. De verdediging moet bij het scannen plaatsvinden, voordat de telefoon de link volgt.
Hoe verschilt quishing van gewone phishing?
Drie verschillen. De aanvalsvector is fysiek of visueel — een sticker over een parkeerautomaat-QR, een gedrukte flyer die een MFA-inschrijving imiteert, een restaurantmenu-QR die ’s nachts wordt vervangen — en omzeilt daardoor volledig e-mailgateways. Slachtoffers vertrouwen QR-codes meer dan links in e-mail; een QR voelt als een bestemming gekozen door degene die het oppervlak heeft afgedrukt. En dynamische QR-codes via een verkorter kunnen na verspreiding van het gedrukte materiaal worden doorgestuurd naar een phishingbestemming, waardoor een QR die bij het afdrukken veilig was, maanden later vijandig kan worden. Statische linkscanning beantwoordt „is deze URL momenteel kwaadaardig“, niet „wie kan wijzigen waar dit naartoe verwijst“.
Hoe controleer ik of een QR-code veilig is voor het scannen?
Richt je telefoon niet met de native camera erop — dat opent de bestemming direct. Open in plaats daarvan check.qr.abundera.ai op je telefoon, scan de QR via de in-pagina camera (decodering gebeurt lokaal; de afbeelding verlaat je apparaat nooit) en lees het verdict. Wij lopen elke omleidingsstap na, classificeren of de bestemming door een derde partij na het afdrukken van de QR beheerd kan worden, en controleren de reputatie via Google Safe Browsing en andere aggregatoren. Vrijgegeven verdicts zijn veilig te openen; Let op en Niet doorgaan verdicts vertellen je waarom.
Wat zijn voorbeelden van quishing in de praktijk?
Parkeerautomaat- en EV-laderstickers die de legitieme QR bedekken met een die naar een pagina voor creditcardstelen verwijst — het meest gemelde patroon van 2024-2025, waargenomen in Austin, San Antonio en door heel het VK. Restaurantmenu-QR's die een nacht worden verwisseld naar phishingpagina's door een aanvaller die de tafeltent fysiek vervangt. Flyers voor MFA-inschrijving in kantoorbadkamers die er officieel uitzien maar het apparaat van de aanvaller inschrijven. Trouwuitnodigings-QR's verspreid maanden voor het evenement, waarbij een gecompromitteerd verkorteraccount een aanvaller in staat stelt duizenden gedrukte kaarten om te leiden. Crypto-betaling-QR's bij verkooppunten die worden overdekt met het walletadres van de aanvaller. De gemeenschappelijke draad: de gedrukte QR ziet er identiek uit aan de veilige.
Hoe verschilt dit van Google Safe Browsing of VirusTotal?
Bestaande tools classificeren of een URL momenteel kwaadaardig is. Wij classificeren ook of de bestemming door een derde partij na het afdrukken van de QR beheerd kan worden — een eigenschap die we veranderbaarheid noemen. Een schone dynamische QR via een verkorter heeft nog steeds een hoog risico voor een parkeerautomaatsticker of trouwuitnodiging: de accounthouder van de verkorter kan de bestemming op elk moment wijzigen. We presenteren deze controlepositie als een eersteklas verdictsveld naast het dreigingsinhoudsverdikt.
Sla je de QR op die ik heb gescand?
Nee. De gedecodeerde payload gaat via HTTPS naar onze server zodat we de keten kunnen nalopen en reputatiedatabases kunnen raadplegen — een functionele noodzaak, geen keuze — maar wordt nooit opgeslagen. Verdicts worden gecached op basis van een SHA-256-hash van een per-payloadtype discriminator aaneengevoegd met een server-geheim salt. De oorspronkelijke payload kan niet worden gereconstrueerd uit een cacheitem.
Waarom een apart domein van qr.abundera.ai?
qr.abundera.ai is een generator die alles-client-side belooft: niets verlaat je apparaat. Deze veiligheidscontrole stuurt de gedecodeerde payload uit noodzaak naar de server. We scheiden de twee oppervlakken zodat de client-only belofte schoon blijft op het generatordomein en het omgekeerde privacymodel oppervlak hier duidelijk gelabeld blijft.
Wat is de mutatiewaarschuwingsfunctie?
Pro-tier. Dien een QR in voor tracking, en we lopen de keten periodiek opnieuw na. E-mail wanneer de omleidingsdoelen, eindbestemming of de set van operators van omleidingsdiensten wijzigt. Dit vangt het meest voorkomende quishing-patroon: druk een schone QR af, wissel de bestemming maanden later naar phishing en oogst scans van het gedrukte materiaal.
Kan ik dit in mijn beveiligingsproduct integreren?
Ja, op de Pro-tier. De API is RESTful en retourneert een gestructureerd JSON-verdict met payloadtype, dreigingsklasse, veranderbaarheid, omleidingsketen, per-hop controleattributie en sub-payloadbevindingen. Ontworpen voor integratie in walletapps, mobiele beveiligingssystemen, bedrijfs-URL-filtering en Slack/Teams-linkvoorbeeldverrijkers.
Open source?
Momenteel niet. De classifier is gesloten terwijl het onderliggende octrooiwerk in behandeling is. We publiceren mogelijk referentie-implementaties van bekendgemaakte algoritmen na verlening. Het API-contract is openbaar en stabiel.