Een QR-code kan een weblink, je Wi-Fi-wachtwoord, een betaling, een contactkaart, een instapkaart, een vaccinatiebewijs, een rijbewijs, een smart home-koppelcode en tientallen andere dingen bevatten. De meeste veiligheidsscanners controleren alleen weblinks. Wij identificeren en controleren ze allemaal, in begrijpelijke taal.
Laden…
Voor elk type QR-code vertellen we je wat het is, wat erin zit en of het veilig is om op te handelen, zonder je persoonlijke informatie terug te lekken.
De QR op een poster, parkeerautomaat of restauranttafel. We volgen elke omleiding, noemen de eigenaar van de verkorter (Bitly, Linktree, TinyURL, branded) en markeren lookalike-domeinen en bekende phishingsites. Als de link na het printen van de QR gewijzigd kan worden, vermelden we dat, zo werken sticker-swap-oplichtingen.
De QR die je hotel of café je geeft. We tonen de netwerknaam, het beveiligingstype en het wachtwoord, en markeren nep-“Starbucks WiFi” / “Airport Free WiFi”-lookalikes die je proberen te verleiden verbinding te maken.
QR's bij restaurantkassas, marktkramen en parkeerautomaten. We tonen de handelaarsnaam, stad, land, bedrag en valuta vóór je betaalt, zodat je kunt controleren of je betaalt aan wie je denkt. Ondersteunt 54 landen: PIX (Brazilië), UPI (India), PromptPay (Thailand), PayNow (Singapore), Bizum (Spanje), Swish (Zweden) en vele anderen.
Bitcoin, Ethereum, Solana, Lightning Network, Cashu en meer. We valideren het adres, decoderen het bedrag en waarschuwen duidelijk wanneer een QR je wallet vraagt een smart-contractfunctie aan te roepen (vaak het begin van een drainer-oplichting) in plaats van een eenvoudige overboeking.
De 'sla mijn contactpersoon op'-QR op een visitekaartje. Naam, telefoon, e-mail, organisatie, adres, sociale profielen, verjaardag en notities worden getoond als een gestructureerde kaart die je met één tik aan je telefoon kunt toevoegen. Lookalike-namen die bekende merken imiteren worden gemarkeerd.
Evenement-QR's van bruiloftssites, conferentiebadges en ticketstromen. Titel, begin, einde, herhaling (wekelijks, maandelijks), locatie, organisator en deelnemers, alles gedecodeerd zodat je precies ziet wat er aan je agenda wordt toegevoegd vóór je op Accepteren tikt.
Bellen, sms'en en e-mailen met één tik via QR. We markeren betaalnummers (die per minuut kosten), internationale shortcodes die voor fraude worden gebruikt en vooringevulde e-mailonderwerpen die je proberen gevoelige informatie te laten sturen.
De QR die je bank, Google of werk-app toont bij het instellen van een authenticator. We decoderen de uitgever en het account zodat je kunt bevestigen wat je inschrijft, en we waarschuwen duidelijk wanneer iemand zijn volledige Google Authenticator-bundel probeert te delen (één QR met alle 2FA-codes).
Lees: is de Google Authenticator-export veilig om te scannen?
De QR die je laptop toont wanneer je telefoon een passkey-aanmelding moet voltooien. We waarschuwen duidelijk als jij de aanmelding niet hebt gestart: de QR van een vreemde scannen meldt hen aan bij jouw account. Detecteert ook dezelfde truc bij WhatsApp Web, Telegram, Microsoft 365, Google, GitHub, AWS, Steam, Discord, Slack en Apple ID.
De barcode op de achterkant van rijbewijzen uit de VS en Canada (de barcode die bars en clubs scannen), plus digitale rijbewijzen van staatsinstanties en de EU Digital ID Wallet. We tonen de uitgever, het type credential en welke gegevens erin staan, maar echoën nooit de naam, het adres of de geboortedatum van de houder terug.
Lees: wat zegt de barcode op de achterkant van een rijbewijs?
SMART Health Cards (vaccinatiebewijzen, recepten, labuitslagen) en EU Digitale COVID-certificaten. We identificeren wat het credential is en wie het heeft uitgegeven, maar decoderen nooit de naam, geboortedatum of medische gegevens van de patiënt. Je wallet-app is de juiste plek om die te bekijken, niet een openbare scannerpagina.
De QR op je instapkaart. Vluchtnummer, route, datum, stoel en volgnummer, alles gedecodeerd zodat je de pas kunt verifiëren. We maskeren de boekingsreferentie (PNR) standaard, omdat iedereen met jouw naam plus PNR toegang heeft tot je boeking. Plaats geen foto's van instapkaarten openbaar.
Matter- en Apple HomeKit-koppelings-QR's die je scant om een nieuw apparaat aan je thuisnetwerk toe te voegen. We decoderen leverancier, product, installatiewachtwoord en de netwerktypes die het apparaat probeert te koppelen, zodat een verwisseld sticker geen apparaat stilletjes op een netwerk dat jij niet beheert kan inschrijven.
De QR die je scant om een telefoonabonnement te installeren. We tonen de carrier-server waarmee contact wordt opgenomen, de activatiecode en of een bevestigingscode vereist is. Duidelijke waarschuwing dat een geïnstalleerde eSIM sms-berichten kan onderscheppen, inclusief 2FA-codes die je per sms ontvangt.
WireGuard-configuratie-QR's. We tonen het serveradres, toegestane IP's en DNS, en markeren full-tunnel-configuraties die al je verkeer via een server van een derde zouden routeren. De privésleutel in de QR wordt standaard gemaskeerd.
GS1 Digital Link-QR's op verpakte producten: het formaat dat traditionele barcodes voor consumentenproducten vóór 2027 vervangt. We decoderen de productcode (GTIN), batch-/lotnummer, houdbaarheidsdatum en serienummer, zodat je de echtheid van een product in één oogopslag kunt verifiëren.
De QR op Zwitserse facturen. We decoderen IBAN, naam en adres van de schuldeiser, bedrag, valuta en referentie, zodat je de factuur in je bankapp kunt openen met volledig inzicht in wie er betaald wordt.
Sommige QR-formaten mogen nooit worden uitgevoerd na een scan: javascript:, uitvoerbare bestand-URI's en JavaScript-gecodeerde datablobs. We blokkeren deze en leggen uit waarom. De actieknop is bewust uitgeschakeld.
Cashu ecash-tokens zijn letterlijk geld: iedereen die de QR fotografeert kan het uitgeven. We markeren dit duidelijk. LNURL-eindpunten (Lightning-aanmelden, opnemen, betalen) worden gedecodeerd zodat je ziet waarmee je wallet verbinding maakt vóórdat je tikt.
Als de QR gewoon platte tekst is, controleren we nog steeds op ingesloten URL's, gelekte geheimen (API-sleutels, JWT's, SSH-sleutels), AI-prompt-injectiepatronen gericht op downstream-assistenten en lookalike-unicodetekens die gevaarlijke links verhullen.
“qr.abundera.ai/r/abc → walmart.com, schoon ✓”
Op dit exacte moment klopt dat. Maar de QR-sticker op een parkeerautomaat gaat eerst via een verkorter. De accounthouder kan de bestemming op elk moment wijzigen. Druk vandaag een schone QR af, verander de bestemming morgen naar een phishingpagina en elke volgende scan van dezelfde fysieke sticker belandt op phishing. De URL-scanner vertelde je nooit dat dit mogelijk was.
"Gaat via een verkorter. De accounteigenaar kan de bestemming na het printen wijzigen. Vandaag leidt het naar walmart.com (schoon)."
Twee antwoorden in één uitspraak. Nu: is dit vandaag veilig? Later: wie kan het morgen wijzigen? Beide zijn belangrijk voor een QR op een gedrukt oppervlak dat je niet ongedaan kunt maken.
Voor credentials en identiteitsdocumenten identificeren we het type QR dat je hebt gescand, maar decoderen we bewust niet de persoonlijke informatie erin.
Wanneer je een authenticator-app-export of -instellingscode scant, identificeren we die en waarschuwen we je over het scannen op de verkeerde plek, maar de feitelijke geheime seeds worden nooit door onze server gedecodeerd. Ze gaan naar je authenticator-app, niet naar ons.
Vaccinatiebewijzen en gezondheidscertificaten: we tonen de uitgever (welke overheid of gezondheidsinstantie) en wat voor type dossier het is. Je naam, geboortedatum en medische geschiedenis blijven in het credential, worden nooit via onze scanner teruggeleid.
We tonen de vluchtinformatie zodat je de pas kunt verifiëren, maar maskeren de boekingsreferentie achter een tik-om-te-onthullen zodat een screenshot van ons verdict zelf geen toegang geeft tot je boeking.
WireGuard- en SSH-privésleutels in QR-vorm worden getoond als gemaskeerde velden die je op jouw apparaat kunt tikken om te onthullen. Ze worden niet naar derden gestuurd.
Een aantal opkomende QR-formaten die we volgen. We voegen ze elk toe zodra de standaard stabiel is.
De grensoverschrijdende digitale identiteitswallet van de EU (eIDAS 2.0) wordt uitgerold in 2024-2026. We decoderen al het nauw verwante mobiele rijbewijsformaat; de EU-walletvariant volgt zodra de uitrol in de lidstaten stabiliseert.
EU-regelgeving vereist dat elk consumentenproduct vóór 2027 een digitaal paspoort draagt (duurzaamheid, herkomst, reparatie-informatie). Het formaat is al een GS1 Digital Link-URL, die we vandaag decoderen; het volledige paspoortoppervlak wordt rijker naarmate fabrikanten hun gegevens publiceren.
De Bluetooth SIG standaardiseert een QR-formaat voor mesh-netwerk-apparaatinbedrijfstelling (de huidige koppelingsQR's zijn leverancierspecifiek). We voegen ondersteuning toe wanneer de spec verschijnt.
QR Code, Aztec (mobiele instapkaarten), PDF417 (Amerikaanse rijbewijzen), Data Matrix (farma + retail), Code 128/39/93, Codabar, EAN-13/8 (boodschappen), UPC-A/E (Amerikaanse retail), ITF (dozen), MaxiCode (UPS-verzendlabels), GS1 DataBar + DataBar Expanded (verse producten, coupons). Richt de camera op elk van deze en we decoderen en classificeren de payload op dezelfde manier als voor QR.
We volgen elk barcodeformaat dat gebruikers kunnen tegenkomen. Deze staan op onze radar maar zijn vandaag in browser-JavaScript niet bereikbaar: er bestaat geen productiedecoder, de standaard is onderzoeksgebaseerd, of het formaat is stopgezet. We voegen ondersteuning toe zodra er een haalbaar pad is (browserbibliotheek, native app of server-side decode).
Chinees nationaal 2D-symboolstelsel (GB/T 21049-2007). Gebruikt voor industriële logistiek en overheidsdocumenten. Er bestaat vandaag geen productie-JavaScript-decoder; experimentele ondersteuning bestaat in zxing-cpp, die wordt toegevoegd wanneer we de native Abundera QR Check-app lanceren (gepland).
Kleur-2D-barcode gestandaardiseerd door de Duitse BSI voor anti-vervalsing van verpakkingen. De referentie-implementatie is onderzoeks-C-code; er bestaat geen JavaScript-port. We volgen de ontwikkeling voor een onderhouden port.
Hogesneelheids-industrieel printformaat gebruikt door de tabaks- en farmaceutische sector. Er bestaat vandaag geen JavaScript-decoder die het betrouwbaar leest, zelfs niet met kwaliteitsfixtures. Op de radar voor de native app-stack.
PostNet, PLANET, Intelligent Mail (USPS), RM4SCC (Royal Mail), KIX (Nederlands), Australia Post 4-State. Niche genoeg dat er geen onderhouden JavaScript-bibliotheken bestaan. Als er een klantvraag ontstaat, evalueren we een native-app- of server-side decoder.
Microsoft heeft dit kleurbarcode-formaat in 2015 stopgezet samen met de scanner-SDK. Niet ondersteunbaar; hier opgenomen voor volledigheid zodat iedereen met oud marketingdrukwerk weet dat het niet meer scant.
Industriële niche-2D-formaten. Geen productie-JavaScript-decoders. Elk formaat is zeldzaam genoeg dat we alleen zouden investeren op uitdrukkelijk verzoek van een geverifieerde klant.