Bezpośredni link HTTPS do witryny Abundera. Bez skracaczy, bez przekierowań. Werdykt w najlepszym przypadku: Zwolniony ze statyczną zmiennością i niskim progiem zmienności serwera docelowego.
https://qr.abundera.ai/
Obrona przed quishingiem · bezpieczeństwo QR, URL i skracaczy
Nie ufaj QR, dopóki nie zostanie zwolniony.
Kod QR to nieznajomy podający Ci kopertę. Tak samo jest z każdym skróconym URL-em — bit.ly, t.co czy linkiem w wiadomości DM. Otworzysz bez sprawdzenia i możesz trafić na stronę kradnącą dane logowania, otwartą pułapkę WiFi, transakcję drainera portfela lub intent Androida instalujący złośliwe oprogramowanie. Śledzimy łańcuch, weryfikujemy cel i mówimy, kto może go zmienić po wydrukowaniu QR — to pytanie decyduje, czy naklejka na parkometrze, przekazany skrócony URL, menu restauracji lub firmowa ulotka MFA są naprawdę bezpieczne.
Bez rejestracji, bez konta Ładunek nigdy nie utrwalany Dekodowanie kamerą pozostaje lokalne Aplikacje na Mac, Windows, iOS, Android już wkrótce
Udostępnij to narzędzie · albo zapisz krótki link, by wrócić
Zeskanuj kod QR kamerą, prześlij obraz, wklej obraz lub wklej zdekodowany tekst.
Kamera i dekodowanie obrazu odbywają się w Twojej przeglądarce. Tylko zdekodowany tekst jest wysyłany do naszego analizatora.
Ustawienia skanera
Pobieranie rozszerzonego dekodera… 0%
Historia skanów
Przechowywana tylko na tym urządzeniu, nigdy nie wysyłana na nasze serwery. Ostatnie 25 skanów, najstarsze usuwane automatycznie. Historia skanów synchronizowana w chmurze (między urządzeniami, 30 dni) jest w planach dla tierów Personal+.
Zobacz, jak to działa
Naciśnij „Wypróbuj skan”, by uruchomić go tu, albo skieruj kamerę telefonu na QR — trasa wiedzie przez nasz skaner, a werdykt pojawia się na telefonie. Nie musisz nic wcześniej otwierać.
QR przechodzący przez nasz własny skracacz przed dotarciem do celu końcowego. Werdykt ujawnia kto może zmienić cel po wydruku — oś zmienności, której żaden inny skaner nie pokazuje.
https://aqr.net/demo-walmart
Link, który z gwarancją rozwiązuje się w innym kraju niż Twój (JavaScript zamienia cel po wykryciu Twojego regionu). Demonstruje chip kraju dla każdego skoku — łańcuch przekraczający granice niespodziewanie jest silniejszym sygnałem zaufania niż pojedynczy skok.
https://www.bundestag.de/
Google utrzymuje ten URL jako próbnik Safe Browsing. Jest klasyfikowany jako SOCIAL_ENGINEERING przez Safe Browsing, co pozwala pokazać, że agregator reputacji i eskalacja werdyktu działają — bez linkowania do prawdziwej strony phishingowej.
https://testsafebrowsing.appspot.com/s/phishing.html
Jak to działa
- 1
Dekoduj
Twoja przeglądarka dekoduje QR lokalnie (jsQR). Obraz nigdy nie opuszcza Twojego urządzenia. My widzimy tylko tekstowy ładunek.
- 2
Dyspozycja
Ładunek jest klasyfikowany według schematu URI, prefiksu formatu strukturalnego lub heurystyki zawartości do jednej z 48 kategorii analizatorów, które łącznie rozpoznają 222 warianty ładunków: HTTP URL (z dziesiątkami rozpoznawarek specyficznych dla hosta), WiFi, vCard, telefonia, mail, intent Androida, kryptowaluty, treści adresowane, dane wbudowane, kalendarz, geo, parowanie Bluetooth, komisjonowanie Matter, płatności EMV (PIX, PayNow, PromptPay, UPI i 30+ schematów krajowych), konfiguracja WireGuard, Smart Health Card, aktywacja eSIM, parowanie WalletConnect, klucz FIDO passkey hybrid, zablokowany schemat lub zwykły tekst. Każda kategoria trafia do dedykowanego analizatora.
- 3
Śledź + klasyfikuj
Dla URL HTTP śledzimy łańcuch przekierowań przez usługi pośrednie (Bitly, Linktree, QR Tiger i ~80 innych), rejestrujemy pośredników dla każdego skoku, klasyfikujemy zmienność (statyczna / dynamiczna-pojedyncza / dynamiczna-łańcuchowa / interstitial reklamowy / cykliczna) i przypisujemy kontrolę każdemu operatorowi usługi pośredniej. Równolegle sprawdzamy cel w Google Safe Browsing i URLhaus.
- 4
Unifikuj
Tworzymy jeden kształt werdyktu niezmienny dla wszystkich typów ładunków:
threat_class,mutability,chain,attribution,sub_payloads,disclosurew języku naturalnym. Podładunki osadzone w rodzicu (URL-e w polu NOTE vCard, SSID zawierające link itd.) są rekurencyjnie dyspatchowane.
Co wyłapujemy, czego nie ma w narzędziach tylko-URL
Skanery zagrożeń oparte na URL obejmują tylko jedną z 48 kategorii ładunków, jakie QR może przenosić, i tylko jeden rozpoznawacz w kategorii URL. My rozpoznajemy 222 warianty ładunków we wszystkich 48 kategoriach. Próbka poniżej; pełna lista i harmonogram Tier 2 są na stronie pokrycia.
Łańcuch przekierowań i zmienność
Śledź każdy skok. Wykrywaj łańcuchy Bitly + Linktree. Identyfikuj operatorów usług przekierowań. Ujawniaj strony, które mogą zmienić cel po wydruku.
Kody QR konfiguracji WiFi
SSID + szyfrowanie przetworzone i znormalizowane. Sieci otwarte / słabe WEP / ukryte oznaczone flagą. Zdekodowane podobieństwa — identycznie wyglądające SSID widoczne w wyniku.
Drainery portfeli krypto
Format adresu + walidacja sumy kontrolnej dla każdego łańcucha. Wykrywanie selektora funkcji EVM (approve, setApprovalForAll, permit). Reputacja Chainabuse.
Komisjonowanie inteligentnego domu Matter
Dekoduj ładunki onboardingowe MT: base-38. Wyodrębnij ID dostawcy + ID produktu. Ujawnij ramowanie „to urządzenie dołącza do sieci domowej”, by naklejka podmieniaczka nie mogła po cichu dołączyć do sieci atakującego.
Podmiana płatności QR sprzedawcy EMV
Parsuj ładunki EMVCo MPM / CPM (SGQR, PromptPay, PayNow, DuitNow, UPI). Walidacja CRC + powierzchnia nazwy sprzedawcy; wykrywa atak naklejki podmieniaczki — najczęstszy na świecie rodzaj oszustwa QR.
Przejęcie konta przez logowanie QR
Rozpoznaj punkty końcowe logowania QR WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub i AWS. Ostrzeż, że zeskanowanie kodu daje osobie, która go wygenerowała, dostęp do Twojego konta.
Dziś czysty QR, jutro strona phishingowa
Gdy QR jest raz wydrukowany na naklejce, menu lub ulotce, nie można cofnąć druku. Dlatego ważny werdykt to nie tylko „czy link jest teraz bezpieczny”, lecz „kto może zmienić, dokąd prowadzi, po zaschnieciu atramentu”. To właśnie zmienność.
Statyczny QR
walmart.com zakodowany bezpośrednio w matrycy QR
Cel jest zakodowany w samym wzorze kropek. Żadna strona trzecia nie może przepisać, dokąd prowadzi. To, co skanujesz dziś, zeskanuj za rok — trafi w to samo miejsce.
Dynamiczny QR (ryzyko)
aqr.net/demo-walmart → jakiś skracacz → walmart.com
QR koduje URL skracacza; posiadacz konta skracacza wybiera cel w momencie skanowania i może go zmienić w 30 sekund. Dziś czysty, jutro phishing — ta sama fizyczna naklejka. Ujawniamy łańcuch, nazywamy operatora usługi przekierowań i mówimy, czy wydrukowany zasób jest na smyczy.
Cennik
Bezpłatnie do użytku osobistego, bez rejestracji. Płatne plany dla osób prywatnych, rodzin, zespołów, marek i wdrożeń korporacyjnych.
CZŁONEK ZAŁOŻYCIEL Twoja stawka. Zablokowana. Na zawsze. Oszczędź 34% na płatnych tierach, rozliczenie roczne, dostępne do 1 września 2026.
Aplikacje natywne już wkrótce
Ten sam silnik, natywnie na macOS, Windows, Linux, iOS i Android. Skanowanie kamerą pozostaje na urządzeniu; klasyfikacja trafia do tego samego punktu końcowego. abundera.app →
Pytania
Czym jest quishing?
Quishing to phishing przez kod QR: atakujący drukuje, naklejа, wysyła e-mailem lub w wiadomości DM kod QR, który po zeskanowaniu otwiera stronę kradnącą dane logowania, transakcję drainera portfela, otwartą pułapkę WiFi lub intent Androida instalujący złośliwe oprogramowanie. Sam QR to tylko obrazek — filtry linków e-mail i ostrzeżenia przeglądarki nigdy go nie widzą, zanim telefon ofiary nie otworzy już celu. Obrona musi nastąpić w momencie skanowania, zanim telefon podąży za linkiem.
Czym quishing różni się od zwykłego phishingu?
Trzy różnice. Wektor ataku jest fizyczny lub wizualny — naklejka przyklejona na QR parkomatu, wydrukowana ulotka imitująca rejestrację MFA, menu restauracji z podmienionymi QR z dnia na dzień — więc całkowicie omija bramy e-mail. Ofiary ufają kodom QR bardziej niż linkom w e-mailu; QR wydaje się celem wybranym przez tego, kto wydrukował powierzchnię. Dynamiczne kody QR prowadzące przez skracacz mogą po dystrybucji wydrukowanego materiału zostać przepięte na stronę phishingową — QR bezpieczny w chwili druku może stać się wrogi miesiące później. Statyczne skanery linków odpowiadają na pytanie „czy ten URL jest teraz złośliwy”, a nie „kto może zmienić, dokąd prowadzi”.
Jak sprawdzić, czy kod QR jest bezpieczny przed zeskanowaniem?
Nie kieruj natywnej kamery telefonu na kod — od razu otworzy cel. Zamiast tego otwórz check.qr.abundera.ai na telefonie, zeskanuj QR przez kamerę na stronie (dekodowanie następuje lokalnie; obraz nigdy nie opuszcza urządzenia) i odczytaj werdykt. Śledzimy każdy skok przekierowania, klasyfikujemy, czy cel może być kontrolowany przez stronę trzecią po wydruku QR, i sprawdzamy reputację w Google Safe Browsing oraz innych agregatorach. Werdykty Zwolniony są bezpieczne do otwarcia; werdykty Ostrożność i Nie kontynuuj informują, dlaczego.
Jakie są realne przykłady quishingu?
Naklejki na parkomatach i ładowarkach EV przyklejone na legalny QR i prowadzące do strony zbierającej dane kart kredytowych — najczęściej zgłaszany wzorzec 2024–2025, odnotowany w Austin, San Antonio i w całej Wielkiej Brytanii. Menu restauracji z QR zamienionymi w nocy przez atakującego fizycznie wymieniającego podstawki na stolikach. Ulotki z rejestracją MFA dla firmy w łazienkach biurowych wyglądające oficjalnie, lecz rejestrujące urządzenie atakującego. QR w zaproszeniach ślubnych rozesłanych na miesiące przed uroczystością, gdzie kompromitacja konta skracacza pozwala atakującemu przepiąć tysiące wydrukowanych kart. QR do płatności krypto w terminalach POS przykryte adresem portfela atakującego. Wspólny mianownik: wydrukowany QR wygląda identycznie jak bezpieczny.
Czym to się różni od Google Safe Browsing lub VirusTotal?
Istniejące narzędzia klasyfikują, czy URL jest aktualnie złośliwy. My dodatkowo klasyfikujemy, czy cel może być kontrolowany przez stronę trzecią po wydruku QR — właściwość, którą nazywamy zmiennością. Czysty dynamiczny QR prowadzący przez skracacz jest nadal wysokiego ryzyka dla naklejki na parkometrze czy zaproszenia ślubnego: posiadacz konta skracacza może zmienić cel w dowolnym momencie. Tę postawę kontrolną ujawniamy jako pole werdyktu pierwszej klasy obok werdyktu dotyczącego zawartości zagrożenia.
Czy przechowujecie zeskanowany przeze mnie QR?
Nie. Zdekodowany ładunek trafia przez HTTPS na nasz serwer, byśmy mogli prześledzić łańcuch i odpytać bazy reputacji — to wymóg funkcjonalny, nie wybór — jednak nigdy nie jest utrwalany. Werdykty są buforowane przy użyciu skrótu SHA-256 dyskryminatora specyficznego dla typu ładunku, połączonego z tajnym solą przechowywaną na serwerze. Oryginalny ładunek nie może zostać zrekonstruowany z żadnego wpisu w pamięci podręcznej.
Dlaczego osobna domena zamiast qr.abundera.ai?
qr.abundera.ai to generator, który obiecuje, że wszystko odbywa się po stronie klienta: nic nie opuszcza Twojego urządzenia. Ten checker bezpieczeństwa z konieczności przesyła zdekodowany ładunek na serwer. Rozdzielamy te dwie powierzchnie, by obietnica tylko-klient pozostała czysta w domenie generatora, a powierzchnia z odwróconym modelem prywatności była wyraźnie oznaczona tutaj.
Co to jest funkcja alertu mutacji?
Tier Pro. Wyślij QR do śledzenia, a my będziemy periodycznie ponownie śledzić łańcuch. E-mail, gdy cele przekierowań, cel końcowy lub zestaw operatorów usług przekierowań ulegnie zmianie. To wykrywa najczęstszy wzorzec quishingu w naturze: wydrukuj czysty QR, za kilka miesięcy zmień cel na phishing i zbieraj skany z wydrukowanego materiału.
Czy mogę to osadzić w swoim produkcie bezpieczeństwa?
Tak, w tierze Pro. API jest RESTful, zwraca strukturalny werdykt JSON z typem ładunku, klasą zagrożenia, zmiennością, łańcuchem przekierowań, atrybucją kontroli dla każdego skoku i ustaleniami dla podładunków. Zaprojektowany do osadzania w aplikacjach portfelowych, mobilnych pakietach bezpieczeństwa, filtracji URL w przedsiębiorstwie i wzbogacaczach podglądu linków w firmowych Slack / Teams.
Kod otwarty?
Nie w tej chwili. Klasyfikator jest zamkniętym kodem źródłowym w trakcie postępowania patentowego. Po przyznaniu patentu możemy opublikować implementacje referencyjne ujawnionych algorytmów. Kontrakt API jest publiczny i stabilny.