What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Feltguide

QR-kode-svindel å se opp for i 2026

En QR-kode er bare en kodet streng. Faren er ikke formatet, det er hva strengen ber telefonen din om å gjøre, og at du vanligvis skanner uten å lese. Her er de ti angrepene som skjer akkurat nå, hvordan hvert av dem ser ut i naturen, og hvordan du oppdager det før du trykker.

Sjekk en QR nå → QR-standarder vi dekoder →

1. Klistremerkebytte på parkeringsautomater, menyer og EV-ladere

Slik ser det ut: Et lite klistremerke plassert pent over den legitime QR-koden på en parkeringsautomat, restaurantmeny, EV-ladestasjon eller selvbetjeningskasse. Klistremerke-QR-en ser identisk ut som den ekte. Skann den og du lander på en betalingsside som ser ut som byens eller restaurantens. Betal, og pengene går til angriperen. Flere store amerikanske byer ble rammet av dette i 2023-2024 (San Antonio, Austin, Houston); EV-lader-klistremerker eksploderte i 2024-2025.

Slik oppdager du det: Se på QR-en. Er den trykket direkte på overflaten (gravert, malt, innebygd under laminat)? Eller er det et klistremerke? Kjør en negl langs en kant, hvis den løfter seg, er det et klistremerke. Ekte parkerings- og EV-lader-QR-er er nesten alltid permanente. For menyer, spør servitøren hvilken betalingsside som er ekte; legitime operatører bekrefter gjerne. Og slipp QR-en inn i skanneren vår før du trykker betal, den dekodede destinasjonen er det avslørende tegnet.

Les mer: EMVCo handelsbetalings-QR-er →

2. Evil-twin Wi-Fi på flyplasser, hoteller og konferansesentre

Slik ser det ut: Et trykt kort eller klistremerke som reklamerer for gratis Wi-Fi: «Airport_Free_WiFi», «Starbucks_Guest_2», «ConferenceGuest». Skann QR-en, telefonen din kobler seg til nettverket, du har internett. Men nettverket er en angripers telefon-hotspot som kjører i samme rom. De proxy-er trafikken din til det ekte internett slik at ingenting føles ødelagt, men de ser DNS-spørringer, SNI-vertsnavn, eventuell HTTP-fallback-trafikk, og de kan servere falske captive-portaler som ber om legitimasjon.

Slik oppdager du det: Verifiser at SSID-en samsvarer med det stedet offisielt publiserer. Flyplasser lister opp gjeste-Wi-Fi-navnet på det offisielle flyplassnettstedet; hoteller lister det opp i resepsjonen. Lignende navn (ekstra tegn, byttede bokstaver, «Free» lagt til) er angrepssignaturen. Skanneren vår flaggerer lignende SSID-er mot en liste over merkenavn med høy etterligning. Når du er i tvil, bare bruk mobildata.

Les mer: Wi-Fi-legitimasjon QR-er →

3. Passkey-QR-phishing

Slik ser det ut: Du logger inn på et nettsted på en stasjonær datamaskin. Nettstedet viser en QR for å koble telefonens passkey. En angriper som lurer deg til feil nettsted viser deg sin QR, og kobler passkeyen din til DERES aktive innlogging på det ekte nettstedet. De er nå logget inn på kontoen din. CTAP 2.2 hybrid-transport (standarden bak passkey-QR-er) er kryptografisk solid; angrepet er rent på menneskesiden, å få deg til å skanne en QR fra en skjerm som ikke er det nettstedet du tror det er.

Slik oppdager du det: Før du skanner en passkey-QR, bekreft sidens URL i nettleserens adressefelt. Phishing-nettsteder bruker ofte en typosquat (ekstra bindestrek, byttede bokstaver, .co i stedet for .com). Passkey-QR-en i seg selv er fin; spørsmålet er om siden som viser den er ekte. Og: passkey-QR-er er kortlivede (vanligvis under ett minutt), en QR som sitter på en statisk hjelpeside i timevis er mistenkelig.

Les mer: FIDO2 passkey QR-er →

4. Autentikatoreksport-tyveri

Slik ser det ut: Noen låner din ulåste telefon for «et raskt bilde». De åpner Google Authenticator, trykker Overfør kontoer → Eksporter, genererer en QR og fotograferer den med sin telefon. Så gir de din tilbake. Den QR-en inneholder hvert autentikatorseed (Google, AWS, GitHub, banken din, kryptobørsen din) base64-kodet i en protobuf. De kan nå generere dine 6-sifrede koder for hver konto, for alltid, til du tilbakestiller hver enkelt.

Slik oppdager du det: Forsvaret er ikke å oppdage QR-en, det er å aldri la den bli generert. Ikke gi fra deg en ulåst telefon. Hvis du trenger å dele noe, gjør det selv. Og: de fleste autentikatorapper krever nå biometrisk opplåsing på eksportflyt, men Googles gjorde det ikke før sent i 2023 og gamle telefoner kan fortsatt hoppe over det. Hvis du mistenker at dette skjedde, behandle det som et fullstendig brudd, tilbakestill 2FA på hver konto du har i autentikatoren.

Les mer: otpauth-migration QR-er →

5. Publisering av boardingkortfoto

Slik ser det ut: En reisende publiserer et bilde av boardingkortet sitt på Instagram eller LinkedIn, «av til Tokyo!» PDF417-strekkoden (eller QR-en) på kortet koder flyselskapet bookingreferanse (PNR) og billettnummer i klartekst. En angriper som tar skjermbilde av bildet dekoder strekkoden, slår opp bookingen på flyselskapets nettsted (PNR + etternavn er vanligvis nok), og kan avbestille turen, endre setet, se hele reiseplanen eller utløse refusjonsflyt.

Slik oppdager du det: Ikke publiser bilder av boardingkort. Hvis du må, uskarpgjør eller beskjær bort strekkoden OG bookingreferansen (vanligvis trykt et sted som en 6-tegns alfanumerisk kode). QR/strekkoden er et perfekt angrepsmål fordi den er maskinlesbar fra ethvert telefon-skjermbilde.

Les mer: IATA BCBP boardingkort QR-er →

6. Førerkortsstrekkode-høsting

Slik ser det ut: En bar, klubb, dampbutikk, dispensarium eller aldersbegrenset forhandler skanner PDF417-strekkoden på baksiden av førerkortet ditt for å «sjekke alderen din». Den strekkoden koder ALLE attributter på lisensen i klartekst, navn, adresse, fødselsdato, lisensnummer, høyde, vekt, øyenfarge. Noen operatører beholder disse dataene, selger dem til markedsaggregatorer eller får dem stjålet i brudd. En ekte dørvakt trenger å vite én ting: er du myndig. De trenger ikke adressen din.

Slik oppdager du det: Spør hva som skannes og hvorfor. Noen steder trenger bare å bekrefte alder; andre (store klubber i noen jurisdiksjoner) er juridisk pålagt å beholde data. Protester hvis stedet er lite og uformelt. Hvis du har et mobilt førerkort, bruk det, mDL-er støtter selektiv avsløring (baren kan spørre bare «over 21? ja/nei» uten å se fødselsdatoen din).

Les mer: AAMVA driver license PDF417 →

7. Kryptodrenerer-QR-er på NFT-arrangementer og fysisk kunst

Slik ser det ut: En QR på et NFT-møte, galleriåpning, konferansemonter eller trykt inne i fysisk kunst hevder å gi deg en gratis NFT eller en airdrop. Skann den, QR-en åpner en WalletConnect-økt eller en dyp-lenke til lommebok-appen din, og du blir bedt om å signere en transaksjon. Transaksjonen godkjenner en ondsinnet kontrakt til å tømme alle tokens i lommeboken din. Drener-kit er råvareprogramvare; QR-en er bare leveringsmekanismen.

Slik oppdager du det: Les transaksjonsmeldingen i lommeboken din før du signerer. Hvis den ber om token-godkjenninger (spesielt setApprovalForAll eller ubegrenset approve-bruk) for en kontrakt du ikke kjenner, nekt. Gratis-NFT-krav-QR-er på tilfeldige montere er ikke risikoen verdt. Bruk en separat «varm» lommebok med minimal saldo for alle in-person-interaksjoner; hold de ekte eiendelene dine i en lommebok du aldri kobler til QR-er.

8. Klistremerke over en veldedighets-/donasjons-QR

Slik ser det ut: En flyer for en ekte veldedighet er lagt ut i et offentlig rom. En angriper dekker donasjons-QR-en med sitt eget klistremerke som peker til en lommebok de kontrollerer, eller en falsk donasjonsside. Donasjoner går til angriperen. Dette er mest vanlig rundt naturkatastrofer og store nyhendelser, den legitime veldedigheten publiserer hardt, angriperen piggybackes.

Slik oppdager du det: Samme som #1, er QR-en et klistremerke over den trykte versjonen, eller del av det originale trykket? Og, doner ved å skrive veldedighets-URL-en inn i nettleseren selv, eller bruk veldedighetens offisielle app. QR-koder er praktiske men de er ikke en tillitskjede.

9. Forfalsket produkt-pass QR

Slik ser det ut: En QR på et tekstil, batteri, elektronisk enhet eller møbel hevder å være produktets EU Digital Product Passport (ESPR-krav, faset inn 2027-2030). Skann den og en slank nettside viser deg produktets opprinnelse, resirkulert innhold, bærekraftspåstander. Ingen av det er ekte, produsenten av forfalsningen betalte bare for en generisk DPP-stil landingsside. Etter hvert som DPP rulles ut, forvent at dette eskalerer: regulatorer bygger fortsatt EU-registeret som forankrer autentisitet.

Slik oppdager du det: Sjekk om utstedelsesfeltet i DPP løser til en registrert EU-økonomisk operatør. EU-kommisjonen har ikke publisert det konsoliderte registeret per midten av 2026; inntil da, behandle DPP-krav som rådgivende snarere enn verifisert. Skanneren vår henter utstedelsesfeltet og DPP-server-URL-en slik at du kan gjøre det oppslaget.

Les mer: EU Digital Product Passport →

10. Fiendtlig mDL-verifiserer som ber om for mye

Slik ser det ut: Du viser mobilførerkortet ditt (mDL) på en bar eller butikk. Verifiserings-appen deres ber om fullt navn, full fødselsdato, lisensnummer, adresse OG foto når transaksjonen bare trenger aldersverifisering. Du godkjenner av vane. Nå har en liten bedrift full identiteten din på fil, lagret hvem-vet-hvor lenge, solgt til hvem-vet-hvem. Standarden krever at lommeboken viser deg forespørselslisten, men den hindrer deg ikke i å godkjenne blanke avsløringer.

Slik oppdager du det: Les forespørselen. Hvis verifisereren vil ha mer enn transaksjonen trenger (en bar som ber om adressen din, en butikkansatt som ber om lisensnummeret ditt), nekt og be om minimalversjonen (age_over_21 kun). Hvis de nekter, har du en policybeslutning: gi over mer enn nødvendig, eller gå. Standarden er på din side; verifiserer-økosystemet er ikke regulert ennå.

Les mer: Mobile driver license (ISO 18013-5) →

Hva gjør du hvis du allerede skannet noe skadelig

Betalingsnettsted: Hvis du oppga kortdetaljer, kontakt banken din nå for å flagge transaksjonen og utstede kortet på nytt. Ikke vent på at belastningen skal behandles.
Wi-Fi: Glem nettverket på telefonen din. Kjør en rask sjekk av nylig brukte apper for forespørsler om legitimasjon. Endre passord på alt du brukte mens du var tilkoblet, spesielt alt som falt tilbake til HTTP.
Passkey: Logg inn på den berørte kontoen, gå til sikkerhetsinnstillinger, list opp aktive passkeys, fjern alt du ikke kjenner igjen. Tilbakestill passordet ditt også hvis nettstedet tilbyr det.
Autentikatoreksport: Behandle dette som et fullstendig brudd. Tilbakestill 2FA på hver konto som var i autentikatoren. Start med høyverdige (bank, e-post, kryptobørs, GitHub, AWS).
Boardingkort publisert: Kontakt flyselskapet, endre bookingreferansen om mulig, sett opp et flystatus-varsel slik at du merker det hvis noen endrer bookingen.
Kryptodrenerer signert: Flytt gjenværende eiendeler til en ny lommebok umiddelbart. Tilbakekall kontraktsgodkjenninger på alle kjeder du brukte (revoke.cash og lignende verktøy håndterer de fleste kjeder). De drenererte tokenene er vanligvis ugjenvinnelige.

Sjekk før du skanner

Slipp en QR (bilde, lim inn eller kamera) inn i skanneren vår. Du ser den dekodede nyttelasten, omdirigeringskjeden hvis det er en URL, hvem som kan endre destinasjonen fremover, og omdømmeflagg. Beslutningen er din; informasjonen er på skjermen før du handler.

Åpne skanner →