En direkte HTTPS-lenke til et Abundera-nettsted på første part. Ingen forkortninger, ingen videresendinger. Best-case-kjennelse: Godkjent med statisk muterbarhet og et lavt destinasjonsserver-mutabilitets-nivå.
https://qr.abundera.ai/
Quishing-forsvarer · QR + URL + forkortnings-sikkerhet
Ikke stol på en QR før den er godkjent.
En QR-kode er en fremmed som gir deg en konvolutt. Det samme gjelder enhver kort URL – en bit.ly, en t.co eller en lenke i en DM. Åpne den uten å sjekke, og du kan havne på en legitimasjonsfiskerside, en åpen WiFi-felle, en lommebokdrenertransaksjon eller en Android-intent som sidelaster skadevare. Vi sporer kjeden, sjekker destinasjonen og forteller deg hvem som kan endre den etter at QR-en ble trykket – spørsmålet som avgjør om et parkeringsmåler-klistremerke, en videresendt kort URL, en restaurantmeny eller en bedrifts-MFA-flyer faktisk er trygg.
Ingen registrering, ingen konto Nyttelast lagres aldri Kameradekoding forblir lokal Mac, Windows, iOS, Android-apper kommer snart
Del dette verktøyet · eller lagre en kort lenke for å komme tilbake
Skann en QR-kode med kameraet, last opp et bilde, lim inn et bilde eller lim inn dekodert tekst.
Kamera og bilddekoding skjer i nettleseren din. Bare den dekodede teksten sendes til analysatoren vår.
Skannerinnstillinger
Laster ned forbedret dekoder… 0%
Skanningshistorikk
Lagret bare på denne enheten, sendes aldri til serverne våre. De siste 25 skanningene, eldste prunet automatisk. Sky-synkronisert skanningshistorikk (på tvers av enheter, 30 dager) er på veikartet for Personal+-nivåer.
Se det i aksjon
Trykk «Prøv denne skanningen» for å kjøre den her, eller pek telefonkameraet mot QR-en – den rutes gjennom skanneren vår og kjennelsen vises på telefonen din. Ingen grunn til å besøke noe først.
En QR som ruter gjennom vår egen forkortning før den når sin endelige destinasjon. Kjennelsen viser hvem som kan endre destinasjonen etter utskrift – mutabilitetsakselen ingen annen skanner viser.
https://aqr.net/demo-walmart
En lenke som garantert løses opp i et annet land enn ditt (JS bytter mål etter å ha oppdaget din region). Demonstrerer per-hopp-landsflis – en kjede som krysser landegrenser uventet er et sterkere tillitssignal enn noe enkelt hopp alene.
https://www.bundestag.de/
Google vedlikeholder denne URL-en spesielt som en Safe Browsing-testfigur. Den er klassifisert som SOCIAL_ENGINEERING av Safe Browsing – nyttig for å demonstrere at omdømmesagregatoren og kjennelsestrappingen faktisk fungerer, uten å lenke til et ekte phishing-nettsted.
https://testsafebrowsing.appspot.com/s/phishing.html
Slik fungerer det
- 1
Dekode
Nettleseren din dekoder QR-en lokalt (jsQR). Bildet forlater aldri enheten din. Vi ser bare tekst-nyttelasten.
- 2
Fordeling
Nyttelasten klassifiseres etter URI-skjema, strukturert-format-prefiks eller innholdsheuristikk i én av 48 analysatorkategorier som til sammen gjenkjenner 222 nyttelastvarianter: HTTP URL (med dusinvis av vertsspesifikke gjenkjennere), WiFi, vCard, telefoni, e-post, Android-intent, kryptovaluta, innhold-adressert, innlinjede data, kalender, geo, Bluetooth-parring, Matter-idriftsetting, EMV-handelsbetalinger (PIX, PayNow, PromptPay, UPI og 30+ land-skjemaer), WireGuard-konfig, Smart Health Card, eSIM-aktivering, WalletConnect-parring, FIDO-passord-hybrid, hard-blokkert skjema eller ren tekst. Hver kategori sendes til sin dedikerte analysator.
- 3
Spor + klassifiser
For HTTP-URL-er sporer vi videresendingskjeden gjennom videresendingstjenester (Bitly, Linktree, QR Tiger og ~80 andre), registrerer per-hopp-mellommenn, klassifiserer muterbarhet (statisk / dynamisk-enkel / dynamisk-kjedet / annonsemellomside / syklisk) og tilskriver kontroll til hver operatør av videresendingstjenester. Parallelt sjekker vi destinasjonen mot Google Safe Browsing og URLhaus.
- 4
Forening
Vi komponerer en enkelt kjennelsesform som er invariant på tvers av nyttelasttyper:
threat_class,mutability,chain,attribution,sub_payloads, lettlestdisclosure. Under-nyttelaster innebygd i en forelder (URL-er i et vCard NOTE-felt, SSID-er som inneholder en lenke osv.) fordeles rekursivt.
Hva vi fanger som URL-kun-verktøy mister
URL-klasse trusselskannereverktøy dekker én av 48 nyttelastkategorier en QR kan bære, og en enkelt gjenkjenner innenfor URL-kategorien på det. Vi gjenkjenner 222 nyttelastvarianter på tvers av alle 48. En smakebit nedenfor; den fullstendige listen og Tier 2-veikart er på dekkingssiden.
Videresendingskjede og muterbarhet
Spor hvert hopp. Oppdager Bitly + Linktree-kjeder. Identifiserer operatører av videresendingstjenester. Viser partene som kan endre destinasjonen etter utskrift.
WiFi-konfigurasjon QR-er
SSID + kryptering analysert og normalisert. Åpne / svak-WEP / skjulte nettverk flagges. Forvirrende tegn dekodes slik at lignende SSID-er vises i resultatet.
Krypto-lommebokdrenere
Per-kjede adresseformat + sjekksum-validering. EVM-funksjonsvalgdeteksjon (approve, setApprovalForAll, permit). Chainabuse-omdømme.
Matter smart-hjem-idriftsetting
Dekoder MT: base-38 onboarding-nyttelaster. Henter ut leverandør-ID + produkt-ID. Viser «dette registrerer en enhet i hjemmenettverket ditt»-rammen slik at en byttet klistremerke ikke stille kan koble til et angriperfabrik.
EMV-handels-QR-betalingsbytting
Analyserer EMVCo MPM / CPM-nyttelaster (SGQR, PromptPay, PayNow, DuitNow, UPI). CRC-validering + butikknavn vises – fanger opp klistremerke-bytteangrepet, den mest utbredte QR-svindelen globalt.
QR-påloggingskonto-kapring
Gjenkjenner WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub og AWS-enhetskode-QR-påloggingsendepunkter. Advarer om at skanning gir den som genererte QR-en tilgang til kontoen din.
En ren QR i dag, en phishing-side i morgen
Når en QR er trykket på et klistremerke, en meny eller en flyer, kan du ikke ta bort trykket. Så kjennelsen som betyr noe er ikke bare «er lenken trygg nå» – det er «hvem kan endre hvor dette peker etter at blekket tørket». Det er muterbarhet.
Statisk QR
walmart.com kodet direkte inn i QR-matrisen
Destinasjonen ligger i prikkmønsteret selv. Ingen tredjepart kan omskrive hvor den peker. Det du skanner i dag er det du vil skanne om ett år.
Dynamisk QR (risikoen)
aqr.net/demo-walmart → en forkortning → walmart.com
QR-en koder en forkortnings-URL; forkortningskontoinnehaveren velger destinasjonen ved skanning og kan bytte den på 30 sekunder. Ren i dag, phishing i morgen, samme fysiske klistremerke. Vi viser kjeden, navngir operatøren av videresendingstjenesten og forteller deg om det trykte materialet er på en leie.
Priser
Gratis for personlig bruk, ingen registrering. Betalte planer for enkeltpersoner, familier, team, merkevarer og bedriftsinnføringer.
GRUNNLEGGENDE MEDLEM Din pris. Låst. For alltid. Spar 34 % på betalte nivåer, årlig fakturering, tilgjengelig frem til 1. september 2026.
Native apper kommer snart
Samme motor, nativt på macOS, Windows, Linux, iOS og Android. Kameraskanning skjer på enheten; klassifisering sendes til samme endepunkt. abundera.app →
Spørsmål
Hva er quishing?
Quishing er QR-kode-phishing: en angriper skriver ut, setter klistremerke, sender e-post eller DM med en QR-kode som, når den skannes, åpner en legitimasjonshøstingsside, en lommebokdrenertransaksjon, en åpen WiFi-felle eller en Android-intent som sidelaster skadevare. QR-en i seg selv er bare et bilde, så e-postlenkefiltere og nettleseradvarsler ser det aldri – inntil offerets telefon allerede har åpnet destinasjonen. Forsvaret må skje ved skannetidspunktet, før telefonen følger lenken.
Hvordan er quishing forskjellig fra vanlig phishing?
Tre forskjeller. Angrepsvektoren er fysisk eller visuell – et klistremerke over en parkeringsmåler-QR, en trykt flyer som etterligner en MFA-registrering, en restaurantmeny-QR erstattet over natten – så den omgår e-postgatewayer helt. Ofre stoler mer på QR-koder enn på lenker i e-post; en QR føles som et mål valgt av den som trykket overflaten. Og dynamiske QR-koder som ruter gjennom en forkortning kan pekes mot en phishing-destinasjon etter at det trykte materialet er distribuert, så en QR som var trygg ved utskriftstidspunktet kan bli fiendtlig måneder senere. Statiske lenke-skannere svarer «er denne URL-en skadelig akkurat nå», ikke «hvem kan endre hvor dette peker».
Hvordan sjekker jeg at en QR-kode er trygg før skanning?
Ikke pek telefonens native kamera mot den – det åpner destinasjonen umiddelbart. Åpne i stedet check.qr.abundera.ai på telefonen, skann QR-en gjennom kameraet på siden (dekoding skjer lokalt; bildet forlater aldri enheten din), og les kjennelsen. Vi går gjennom hvert videresendingshopp, klassifiserer om destinasjonen kan kontrolleres av en tredjepart etter at QR-en ble trykket, og sjekker omdømme mot Google Safe Browsing og andre aggregatorer. Godkjent-kjennelser er trygge å åpne; Forsiktig og Ikke gå videre-kjennelser forteller deg hvorfor.
Hva er eksempler på quishing i praksis?
Parkeringsmåler- og EV-laderklistremerker som legger en legitim QR over en som peker til en kredittkortdatahøstingsside – det mest rapporterte mønsteret for 2024–2025, observert i Austin, San Antonio og over hele Storbritannia. Restaurant-meny-QR-er byttet til phishing-sider over natten av en angriper som fysisk erstatter borddekket. Bedrifts-MFA-registrerings-flyers på kontorbad som ser offisielle ut, men registrerer angriperens enhet. Bryllupsinvitasjon-QR-er distribuert måneder før arrangementet, der et forkortningskontobytte lar en angriper peke tusenvis av trykte kort på nytt. Kryptobetalings-QR-er på salgsterminaler lagt over med angriperens lommebokadresse. Den røde tråden: den trykte QR-en ser identisk ut som den trygge.
Hvordan er dette forskjellig fra Google Safe Browsing eller VirusTotal?
Eksisterende verktøy klassifiserer om en URL er skadelig akkurat nå. Vi klassifiserer i tillegg om destinasjonen kan kontrolleres av en tredjepart etter at QR-en ble trykket – en egenskap vi kaller muterbarhet. En ren dynamisk QR ruter gjennom en forkortning er fortsatt høyrisikofor et parkeringsmåler-klistremerke eller bryllupsinvitasjon: forkortningskontoinnehaveren kan endre destinasjonen når som helst. Vi viser denne kontrollposisjonen som et førsteklasses kjennelsesfelt ved siden av trusselinnholdskjennelsen.
Lagrer du QR-en jeg skannet?
Nei. Den dekodede nyttelasten reiser til serveren vår over HTTPS slik at vi kan gå gjennom kjeden og spørre omdømmebaser – det er en funksjonsnødvendighet, ikke et valg, men den lagres aldri. Kjennelser er bufret med en SHA-256-hash av en per-nyttelasttype-diskriminator sammenkjedet med et serversideholdt hemmelig salt. Den originale nyttelasten kan ikke rekonstrueres fra noen bufferoppføring.
Hvorfor et eget domene fra qr.abundera.ai?
qr.abundera.ai er en generator som lover alt-klient-side: ingenting forlater enheten din. Denne sikkerhetssjekkerover sender den dekodede nyttelasten til serveren av nødvendighet. Vi separerer de to overflatene slik at klient-kun-løftet forblir rent på generatordomenet, og overflaten med invertert personvernmodell forblir tydelig merket her.
Hva er muteringsvarsel-funksjonen?
Pro-nivå. Send inn en QR for sporing, og vi går gjennom kjeden på nytt med jevne mellomrom. E-post når videresendingsmål, endelig destinasjon eller settet av operatører av videresendingstjenester endres. Dette fanger opp det vanligste quishing-i-praksis-mønsteret: trykk en ren QR, bytt destinasjonen til phishing måneder senere, høst skanninger fra det trykte materialet.
Kan jeg integrere dette i sikkerhetsproduktet mitt?
Ja, på Pro-nivå. API-en er RESTful, returnerer en strukturert JSON-kjennelse med nyttelasttype, trusselklasse, muterbarhet, videresendingskjede, per-hopp-kontrollattribusjon og under-nyttelastfunn. Designet for innbygging i lommebokapper, mobile sikkerhetssuiter, bedrifts-URL-filtrering og bedrifts Slack / Teams lenkeforhåndsvisning-berikere.
Åpen kildekode?
Ikke på dette tidspunktet. Klassifisereren er lukket kildekode mens det underliggende patentarbeidet er under behandling. Vi kan publisere referanseimplementasjoner av offentliggjorte algoritmer etter tildeling. API-kontrakten er offentlig og stabil.