What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Veldgids

QR-codefraude om op te letten in 2026

Een QR-code is slechts een gecodeerde string. Het gevaar ligt niet in het formaat, maar in wat de string uw telefoon vertelt te doen, en dat u gewoonlijk scant zonder te lezen. Hier zijn de tien aanvallen die nu plaatsvinden, hoe elke eruit ziet in het wild, en hoe u deze kunt herkennen voordat u tikt.

Controleer een QR nu → QR-standaarden die we decoderen →

1. Stickerwissel op parkeermeters, menu's en EV-laders

Hoe het eruitziet: Een kleine zelfklevende sticker netjes geplaatst over de legitieme QR op een parkeermeter, restaurantmenu, EV-laadstation of zelfbedieningsterminal. De sticker-QR ziet er identiek uit aan de echte. Scan hem en u landt op een betalingspagina die eruitziet als die van de stad of het restaurant. Betaal, en het geld gaat naar de aanvaller. Verschillende grote Amerikaanse steden werden hierdoor getroffen in 2023-2024 (San Antonio, Austin, Houston); EV-laadsticker-fraude explodeerde in 2024-2025.

Hoe u het herkent: Kijk naar de QR. Is hij direct op het oppervlak gedrukt (gegraveerd, geschilderd, ingebed onder laminaat)? Of is het een sticker? Gebruik een vingernagel langs een rand; als hij loslaat, is het een sticker. Echte parkeermeter- en EV-laad-QR's zijn bijna altijd permanent. Vraag bij menu's aan de bediening welke betalingspagina echt is; legitieme exploitanten bevestigen dat graag. Gooi de QR ook in onze scanner voordat u betaalt, de gedecodeerde bestemming is de giveaway.

Meer lezen: EMVCo betalings-QR's voor handelaren →

2. Evil-twin Wi-Fi op luchthavens, hotels en conferentiecentra

Hoe het eruitziet: Een gedrukte kaart of sticker die gratis Wi-Fi aanbiedt: "Airport_Free_WiFi", "Starbucks_Guest_2", "ConferenceGuest". Scan de QR, uw telefoon verbindt met het netwerk, u heeft internet. Maar het netwerk is de hotspot van een aanvaller die in dezelfde ruimte draait. Ze proxyen uw verkeer naar het echte internet zodat niets kapot lijkt, maar ze zien DNS-query's, SNI-hostnamen, HTTP-terugvalverkeer, en kunnen nep-captive portals presenteren die om inloggegevens vragen.

Hoe u het herkent: Verifieer dat het SSID overeenkomt met wat de locatie officieel publiceert. Luchthavens vermelden hun gastnetwerknaam op de officiële luchthavenswebsite; hotels vermelden dit bij de receptie. Look-alike namen (extra tekens, verwisselde letters, 'Free' toegevoegd) zijn het aanvalssignaal. Onze scanner markeert look-alike SSID's aan de hand van een lijst met merknamen met hoge nabootsingsneiging. Gebruik bij twijfel gewoon mobiele data.

Meer lezen: Wi-Fi-inloggegevens QR's →

3. Passkey-QR phishing

Hoe het eruitziet: U logt in op een site op een desktop. De site toont een QR om de passkey van uw telefoon te koppelen. Een aanvaller die u naar de verkeerde site heeft geleid, toont u zijn QR, waarbij uw passkey wordt gekoppeld aan ZIJN actieve aanmelding op de echte site. Ze zijn nu ingelogd op uw account. Het CTAP 2.2 hybrid transport (de standaard achter passkey QR's) is cryptografisch solide; de aanval is puur op het menselijke vlak, u ertoe brengen een QR te scannen van een scherm dat niet echt de site is die u denkt.

Hoe u het herkent: Bevestig de URL van de pagina in uw browseradresbalk voordat u een passkey QR scant. Phishingsites gebruiken vaak een typefout (extra koppelteken, verwisselde letters, .co in plaats van .com). De passkey QR zelf is prima; de vraag is of de pagina die hem toont echt is. Ook: passkey QR's zijn kortlevend (gewoonlijk minder dan een minuut), een QR die uren op een statische helpdeskpagina staat is verdacht.

Meer lezen: FIDO2 passkey QR's →

4. Authenticator-exportdiefstal

Hoe het eruitziet: Iemand leent uw ontgrendelde telefoon voor "een snelle foto". Ze openen Google Authenticator, tikken op Accounts overzetten → Exporteren, genereren een QR en fotograferen deze met hun telefoon. Dan geven ze de uwe terug. Die QR bevat elke authenticator-seed (Google, AWS, GitHub, uw bank, uw crypto-beurs) base64-gecodeerd in een protobuf. Ze kunnen nu uw 6-cijferige codes genereren voor elk account, voor altijd, totdat u elk account resett.

Hoe u het herkent: De verdediging is niet de QR herkennen, het is hem nooit laten genereren. Geef nooit een ontgrendelde telefoon weg. Als u iets wilt delen, doe het zelf. Ook: de meeste authenticator-apps vereisen nu biometrische ontgrendeling bij de exportprocedure, maar Google's deed dat pas in laat 2023 en oudere telefoons kunnen dit nog steeds overslaan. Als u vermoedt dat dit is gebeurd, behandel het dan als een volledige inbreuk, reset 2FA op elk account dat u in de authenticator heeft.

Meer lezen: otpauth-migratie QR's →

5. Instapkaartfoto plaatsen

Hoe het eruitziet: Een reiziger plaatst een foto van zijn instapkaart op Instagram of LinkedIn, "op naar Tokio!" De PDF417-barcode (of QR) op de kaart codeert de vluchtboekingsreferentie (PNR) en ticketnummer in leesbare tekst. Een aanvaller die de foto screenshoopt, decodeert de barcode, zoekt de boeking op bij de luchtvaartmaatschappij (PNR + achternaam is meestal voldoende), en kan de reis annuleren, de stoel wijzigen, het volledige reisschema bekijken, of terugbetalingsprocedures starten.

Hoe u het herkent: Post geen foto's van instapkaarten. Als u dat toch moet, vervaag of knip de barcode EN de boekingsreferentie weg (meestal ergens gedrukt als een 6-teken alfanumerieke code). De QR/barcode is een perfect aanvalsdoel omdat hij machineleesbaar is vanuit elke telefoonscreenshot.

Meer lezen: IATA BCBP instapkaart QR's →

6. Rijbewijsbarcode-oogst

Hoe het eruitziet: Een bar, club, vapeshop, coffeeshop of leeftijdsbeperkte detailhandelaar scant de PDF417-barcode op de achterkant van uw rijbewijs om "uw leeftijd te controleren". Die barcode codeert ALLE attributen op het rijbewijs in leesbare tekst: naam, adres, geboortedatum, rijbewijsnummer, lengte, gewicht, oogkleur. Sommige exploitanten bewaren die gegevens, verkopen ze aan marketingaggregatoren, of worden erdoor getroffen bij datalekken. Een echte portier hoeft maar één ding te weten: bent u meerderjarig. Ze hebben uw adres niet nodig.

Hoe u het herkent: Vraag wat er gescand wordt en waarom. Sommige locaties hoeven alleen de leeftijd te bevestigen; andere (grote clubs in sommige rechtsgebieden) zijn wettelijk verplicht gegevens te bewaren. Verzet u als de locatie klein en informeel is. Als u een mobiel rijbewijs hebt, gebruik dat dan. mDL's ondersteunen selectieve openbaarmaking (de bar kan alleen vragen "ouder dan 21? ja/nee" zonder uw geboortedatum te zien).

Meer lezen: AAMVA rijbewijs PDF417 →

7. Crypto-drainer QR's bij NFT-evenementen en fysieke kunst

Hoe het eruitziet: Een QR op een NFT-bijeenkomst, galerie-opening, conferentiebooth, of gedrukt in fysieke kunst beweert u een gratis NFT te minten of een airdrop te claimen. Scan hem, de QR opent een WalletConnect-sessie of een deep-link naar uw portemonnee-app, en u wordt gevraagd een transactie te ondertekenen. De transactie geeft een kwaadaardig contract toestemming om elke token in uw portemonnee leeg te halen. Drainer-kits zijn standaardsoftware; de QR is alleen het aflevermechanisme.

Hoe u het herkent: Lees de transactieprompt in uw portemonnee voordat u ondertekent. Als er om tokengoedkeuringen wordt gevraagd (met name setApprovalForAll of onbeperkt approve-besteden) voor een contract dat u niet herkent, weiger dan. Gratis-NFT-claim QR's bij willekeurige stands zijn het risico niet waard. Gebruik een aparte "hot" portemonnee met minimaal saldo voor persoonlijke interacties; bewaar uw echte activa in een portemonnee die u nooit verbindt met QR-sessies.

8. Sticker over een liefdadigheids-/donatie-QR

Hoe het eruitziet: Een flyer voor een echte liefdadigheidsinstelling is geplaatst in een openbare ruimte. Een aanvaller bedekt de donatie-QR met zijn eigen sticker die naar een portemonnee wijst die hij beheert, of naar een nep-donatiepagina. Donaties gaan naar de aanvaller. Dit is het meest voorkomend rond natuurrampen en grote nieuwsgebeurtenissen, de legitieme liefdadigheidsinstelling publiceert hard, de aanvaller rijdt mee.

Hoe u het herkent: Net als bij #1: is de QR een sticker over de gedrukte versie, of deel van de originele druk? Doneer ook door de URL van de liefdadigheidsinstelling zelf in uw browser te typen, of gebruik de officiële app van de liefdadigheidsinstelling. QR-codes zijn handig, maar geen vertrouwensketen.

9. Nep-productpaspoort-QR

Hoe het eruitziet: Een QR op een textiel, batterij, elektronisch apparaat of meubel beweert het EU Digitaal Productpaspoort (ESPR-vereiste, wordt geleidelijk ingevoerd 2027-2030) van het product te zijn. Scan hem en een strakke webpagina toont u de herkomst, gerecyclede inhoud en duurzaamheidsclaims van het product. Niets daarvan is echt; de fabrikant van het namaakproduct heeft betaald voor een generieke DPP-gestijlde landingspagina. Naarmate DPP verder uitrolt, verwacht dit op schaal te zien: regelgevers bouwen nog steeds het EU-register dat authenticiteit verankert.

Hoe u het herkent: Controleer of het uitgeverbeld in de DPP wordt omgezet naar een geregistreerde EU-economische operator. De EU-Commissie heeft het geconsolideerde register nog niet gepubliceerd per medio 2026; tot die tijd, behandel DPP-claims als adviserend in plaats van geverifieerd. Onze scanner extraheert het uitgeverveld en de DPP-server-URL zodat u die zoekopdracht kunt uitvoeren.

Meer lezen: EU Digitaal Productpaspoort →

10. Vijandige mDL-verificator die te veel vraagt

Hoe het eruitziet: U toont uw mobiele rijbewijs (mDL) bij een bar of winkelkassa. Hun verificatie-app vraagt om volledige naam, volledige geboortedatum, rijbewijsnummer, adres EN foto wanneer de transactie alleen leeftijdsverificatie vereist. U keurt het goed uit gewoonte. Nu heeft een klein bedrijf uw volledige identiteit in het bestand, bewaard voor wie weet hoe lang, verkocht aan wie weet wie. De standaard vereist dat de portemonnee u de aanvraaglijst toont, maar het verhindert u niet goedkeuring te geven voor algemene openbaarmakingen.

Hoe u het herkent: Lees de aanvraagprompt. Als de verificator meer wil dan de transactie vereist (een bar die naar uw adres vraagt, een winkelmedewerker die naar uw rijbewijsnummer vraagt), weiger dan en vraag om de minimale versie (alleen age_over_21). Als ze weigeren, heeft u een beleidsbeslissing: geef meer dan nodig, of loop weg. De standaard staat aan uw kant; het verificator-ecosysteem is nog niet gereguleerd.

Meer lezen: Mobiel rijbewijs (ISO 18013-5) →

Wat te doen als u al iets gevaarlijks hebt gescand

Betalingssite: Als u kaartgegevens hebt ingevoerd, neem dan nu contact op met uw bank om de transactie te melden en de kaart opnieuw uit te geven. Wacht niet tot de afschrijving is verwerkt.
Wi-Fi: Vergeet het netwerk op uw telefoon. Controleer snel recent gebruikte apps op prompts die om inloggegevens vragen. Wijzig wachtwoorden voor alles wat u gebruikte terwijl u verbonden was, vooral alles dat terugviel op HTTP.
Passkey: Meld u aan bij het getroffen account, ga naar beveiligingsinstellingen, bekijk actieve passkeys, verwijder alles dat u niet herkent. Reset ook uw wachtwoord als de site dat aanbiedt.
Authenticator-export: Behandel dit als een volledige inbreuk. Reset 2FA op elk account dat in de authenticator stond. Begin met hoogwaardige accounts (bank, e-mail, crypto-beurs, GitHub, AWS).
Instapkaart gepost: Neem contact op met de luchtvaartmaatschappij, wijzig de boekingsreferentie indien mogelijk, stel een vluchtstatusmelding in zodat u het merkt als iemand de boeking wijzigt.
Crypto-drainer ondertekend: Verplaats resterende activa onmiddellijk naar een nieuwe portemonnee. Trek contractgoedkeuringen in op elke chain die u gebruikte (revoke.cash en vergelijkbare tools verwerken de meeste chains). De geleegde tokens zijn meestal onherstelbaar.

Controleer voordat u scant

Gooi een QR (afbeelding, plakken of camera) in onze scanner. U ziet de gedecodeerde payload, de omleidingsketen als het een URL is, wie de bestemming in de toekomst kan wijzigen, en reputatievlaggen. De beslissing is aan u; de informatie staat op het scherm voordat u handelt.

Scanner openen →