What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Przewodnik

Oszustwa QR, na ktore warto uwazac w 2026 roku

Kod QR to tylko zakodowany ciag znakow. Niebezpieczne nie jest samo kodowanie — to co jest w srodku. Oto dziesiec oszustw opartych na QR, ktore warto znac, oraz sposoby ich rozpoznawania.

Sprawdz QR teraz → Standardy QR, ktore dekodujemy →

1. Podmiana naklejki w parkomatach, menu i ladowarkach EV

Jak to wyglada: Mala naklejka samoprzylepna umieszczona starannie na oryginalnym kodzie QR w parkomacie, menu lub ladowarce EV.

Jak to rozpoznac: Spojrz na QR. Czy jest wydrukowany bezposrednio na powierzchni, czy to naklejka? Jesli to naklejka, poinformuj wlasciciela i uzyj alternatywnej metody platnosci.

Dowiedz sie wiecej: Kody QR platnosci EMVCo dla sprzedawcow →

2. Falszywe Wi-Fi na lotniskach, w hotelach i centrach konferencyjnych

Jak to wyglada: Wydrukowana karta lub naklejka reklamujaca darmowe Wi-Fi w kawiarni, hotelu lub na konferencji.

Jak to rozpoznac: Sprawdz, czy SSID zgadza sie z tym, co obiekt podaje oficjalnie. Zapytaj pracownika — legitymizacja odbywa sie na miejscu, nie przez przypadkowy QR.

Dowiedz sie wiecej: Kody QR z danymi Wi-Fi →

3. Phishing przez QR passkey

Jak to wyglada: Logujesz sie do witryny na komputerze. Na stronie pojawia sie QR z prosba o zeskanowanie go telefonem, aby potwierdzic logowanie.

Jak to rozpoznac: Przed zeskanowaniem QR z passkey sprawdz, czy adres strony na komputerze odpowiada dokladnie usludze, do ktorej sie logujesz. Phisherzy zastepuja legitymizowane QR przekierowujace sesje swojego urzadzenia.

Dowiedz sie wiecej: Kody QR passkey FIDO2 →

4. Kradziez eksportu aplikacji uwierzytelniajaccej

Jak to wyglada: Ktos pozycza Twoj odblokowany telefon na chwile i otwiera nowa aplikacje uwierzytelniajaca lub skanuje QR eksportu z Twojej istniejaccej aplikacji.

Jak to rozpoznac: Obrona nie polega na rozpoznaniu QR — polega na tym, zeby nigdy nie dawac nikomu odblokowanego telefonu. Kody eksportu uwierzytelniacza sa ekstremalnie wrazliwe.

Dowiedz sie wiecej: Kody QR otpauth-migration →

5. Publikowanie zdiec kart pokladowych

Jak to wyglada: Podrozny publikuje zdjecie swojej karty pokladowej w mediach spolecznosciowych — z czytelnym kodem kreskowym lub QR.

Jak to rozpoznac: Nie publikuj zdiec kart pokladowych. Jesli musisz udostepnic podroz, najpierw zaslon kod kreskowy.

Dowiedz sie wiecej: Kody QR kart pokladowych IATA BCBP →

6. Zbieranie danych z kodow kreskowych praw jazdy

Jak to wyglada: Bar, klub, sklep z vapem, sklep z marihuana lub kontrola wieku skanuje tylna strone Twojego prawa jazdy.

Jak to rozpoznać: Zapytaj, co jest skanowane i dlaczego. Niektóre miejsca muszą jedynie potwierdzić wiek; inne (duże kluby w niektórych jurysdykcjach) są prawnie zobowiązane do przechowywania danych. Sprzeciwia się, jeśli miejsce jest małe i nieformalne. Jeśli posiadasz mobilne prawo jazdy, skorzystaj z niego — mDL obsługuje selektywne ujawnianie informacji (bar może zapytać tylko „powyżej 21 lat? tak/nie” bez wglądu w datę urodzenia).

Dowiedz sie wiecej: Kod kreskowy PDF417 prawa jazdy AAMVA →

7. Drainery kryptowalut na imprezach NFT i w galeriach fizycznych

Jak to wyglada: QR na spotkaniu NFT, wernisazu lub stoisku fizycznej sztuki obiecuje zminimalizowanie lub odebranie tokenu po zeskanowaniu.

Jak to rozpoznać: Przeczytaj monit transakcji w portfelu przed podpisaniem. Jeśli prosi o zatwierdzenie tokenów (zwłaszcza setApprovalForAll lub nieograniczone wydatki approve) dla kontraktu, którego nie rozpoznajesz, odmów. Kody QR z losowych stoisk obiecujące darmowe NFT nie są warte ryzyka. Do wszelkich interakcji osobistych używaj oddzielnego „gorącego” portfela z minimalnym saldem; przechowuj prawdziwe aktywa w portfelu, który nigdy nie łączy się z sesjami QR.

8. Naklejka na QR organizacji charytatywnej / do darowizn

Jak to wyglada: Ulotka prawdziwej organizacji charytatywnej wywieszona w miejscu publicznym ma naklejke QR przylepiona na oryginalny QR docelowy.

Jak to rozpoznac: Tak samo jak w przypadku #1: czy QR to naklejka nalozana na wydrukowany material? Zweryfikuj adres URL, zanim podasz dane karty.

9. Falszywy Cyfrowy Paszport Produktu (DPP)

Jak to wygląda: Kod QR na tkaninie, baterii, urządzeniu elektronicznym lub meblu twierdzi, że jest unijnym cyfrowym paszportem produktu (wymóg ESPR, stopniowe wdrożenie 2027–2030). Po zeskanowaniu elegancka strona internetowa pokazuje proweniencję produktu, zawartość materiałów z recyklingu i deklaracje zrównoważonego rozwoju. Nic z tego nie jest prawdziwe — producent podróbki po prostu zapłacił za ogólną stronę docelową stylizowaną na DPP. W miarę wdrażania DPP należy spodziewać się nasilenia tego zjawiska: organy regulacyjne wciąż budują rejestr UE stanowiący podstawę autentyczności.

Jak to rozpoznac: Sprawdz, czy pole wystawcy w DPP prowadzi do zweryfikowanej domeny producenta. Falszywe strony DPP wygladaja jak legitymizowane strony produktow, ale zbieraja dane logowania lub instaluja zlosliwe oprogramowanie.

Dowiedz sie wiecej: Cyfrowy Paszport Produktu UE →

10. Wrogosc weryfikatora mDL zadajacego zbyt wielu danych

Jak to wyglada: Prezentujesz swoje mobilne prawo jazdy (mDL) w aplikacji weryfikatora. Weryfikator wyswietla QR i prosi o zeskanowanie.

Jak to rozpoznac: Przeczytaj komunikat zadania. Jesli weryfikator chce wiecej danych niz potrzeba do celu (np. numer ubezpieczenia spolecznego do wejscia do baru), odrzuc zadanie.

Dowiedz sie wiecej: Mobilne prawo jazdy (ISO 18013-5) →

Co zrobic, jesli juz zeskanowales cos podejrzanego

Strona platnosci: Jesli podales dane karty, natychmiast skontaktuj sie ze swoim bankiem. Zastrzez karte i monitoruj konto w poszukiwaniu nieautoryzowanych obciazen.
Wi-Fi: Zapomnij siec na telefonie. Przeprowadz szybkie skanowanie urzadzenia pod katem zlosliwego oprogramowania. Jesli logowaes sie na jakies konta przez te siec, zmien hasla.
Passkey: Zaloguj sie na zaatakowane konto, przejdz do ustawien bezpieczenstwa i usun nieznanego klucza dostepu. Sprawdz aktywnosc konta pod katem nieautoryzowanych dzialan.
Eksport aplikacji uwierzytelniajaccej: Traktuj to jak pelny wyciek danych. Natychmiast zresetuj 2FA na kazdym koncie, ktorego dotyczy eksport. Skontaktuj sie z dostawcami tych kont.
Karta pokladowa opublikowana: Skontaktuj sie z liniami lotniczymi, zmien numer miejsca w rezerwacji i usun wpis ze wszystkich platform mediow spolecznosciowych.
Drainer kryptowalut: Natychmiast przenies pozostale aktywa do nowego portfela. Cofniecie transakcji jest niemozliwe — skontaktuj sie z gielda w sprawie wszelkich zwiazanych rachunkow.

Sprawdz przed skanowaniem

Wrzuc dowolny QR (obraz, wklej lub kamera) do naszego skanera. Zobaczysz zdekodowany ladunek, werdykt bezpieczenstwa i szczegoly dotyczace ewentualnych zagrozen — zanim cokolwiek otworzysz.

Otworz skaner →