Quishing is QR-code phishing: an attacker prints, stickers, emails, or DMs a QR code that, when scanned, opens a credential-harvesting page, a wallet-drainer transaction, an open WiFi trap, or an Android intent that sideloads malware. The QR itself is just an image, so traditional email-link filters and browser warnings never see it until the victim's phone has already opened the destination. The defense has to happen at scan time, before the phone follows the link.

How is quishing different from regular phishing?

Three differences. First, the attack vector is physical or visual, a sticker over a parking-meter QR, a printed flyer impersonating an MFA enrollment, a restaurant menu QR replaced overnight, so it bypasses email gateways entirely. Second, victims trust QR codes more than they trust links in email; a QR feels like a destination chosen by whoever printed the surface, not a stranger's URL. Third, dynamic QR codes that route through a shortener can be repointed at a phishing destination after the printed asset has been distributed, so a QR that was safe at print time can become hostile months later. Static link-scanners don't catch that, they answer 'is this URL malicious right now', not 'who can change where this points'.

How do I check a QR code is safe before scanning?

Don't point your phone's native camera at it, that opens the destination immediately. Instead, open check.qr.abundera.ai on your phone, scan the QR through the in-page camera (decoding happens locally; the image never leaves your device), and read the verdict. We walk every redirect hop, classify whether the destination is controllable by a third party after the QR was printed (the mutability axis), and check reputation against Google Safe Browsing and other aggregators. Cleared verdicts are safe to open; Caution and Do-not-proceed verdicts tell you why.

What are real-world quishing examples?

Parking-meter and EV-charger stickers that overlay the legitimate QR with one pointing to a credit-card-harvesting page (the most-reported pattern of 2024-2025, observed in Austin, San Antonio, and across the UK). Restaurant menu QRs swapped to phishing pages overnight by an attacker physically replacing the table tent. Corporate MFA-enrollment flyers in office bathrooms that look official but enroll the attacker's device. Wedding-invitation QRs distributed months before the event, where a shortener-account compromise lets an attacker repoint thousands of printed cards. Crypto-payment QRs at point-of-sale terminals overlaid with the attacker's wallet address. The common thread: the printed QR looks identical to the safe one.

How is this different from Google Safe Browsing or VirusTotal?

Existing tools classify whether a URL is currently malicious. We additionally classify whether the destination is controllable by a third party after the QR was printed, a property we call mutability. A clean dynamic QR routed through a shortener is still high-risk for a parking-meter sticker or wedding invitation: the shortener account holder can change the destination to a phishing page at any moment. We surface this control-posture signal as a first-class verdict field, alongside the threat-content verdict.

What payload types are supported?

HTTP/HTTPS URLs, WiFi credentials (WIFI:), vCard and MeCard contact records, telephony URIs (tel:, sms:, mms:), mailto:, Android intent:// URIs, cryptocurrency URIs (bitcoin:, ethereum:, solana:, litecoin:, monero:, dogecoin:, tron:, ripple:, cardano:), content-addressed identifiers (magnet:, ipfs:, ipns:), inline data: URIs, calendar events (BEGIN:VEVENT / BEGIN:VCALENDAR), geo: URIs, Bluetooth pairing (BLUETOOTH: / BAU v1.0 Auracast), Matter onboarding (MT:), EMV payment QRs (SGQR / PromptPay / PayNow / DuitNow / UPI), WireGuard VPN configs, Smart Health Cards (shc:/), eSIM activation codes (LPA:), WalletConnect pairing (wc:), FIDO passkey cross-device (FIDO:), hard-blocked schemes (javascript:, file:, ftp:), and plain text with embedded URL / email / phone / crypto address extraction.

Do you store the QR I scanned?

No. The decoded payload travels to our server over HTTPS so we can walk the redirect chain and query reputation databases, that's a functional necessity, not a choice, but it is never persisted. Verdicts are cached by a SHA-256 hash of a per-payload-type discriminator concatenated with a server-held secret salt; the original payload cannot be reconstructed from any cache entry. Logs (if enabled) record only the hash and the verdict.

Is this free? What's the catch?

Anonymous use is free at 3 scans per IP per 24 hours, enough to check the QR you just scanned without signing up. Paid tiers (Personal $4.99, Family $12.99 for 5 seats, Starter $29, Pro $99, Business $499, Business Plus $799, Enterprise $2,500) raise the cap and add API access, mutation alerts, and paid reputation sources. Founding-member rates lock in 34% off forever, annual billing, available through September 1, 2026. Camera decoding in your browser is on the house, that's pure local compute and we don't meter it.

Why a separate domain from qr.abundera.ai?

qr.abundera.ai is a generator that promises everything-client-side: nothing leaves your device. This safety checker transmits the decoded payload to the server by necessity. We separate the two surfaces so the client-only promise stays clean on the generator domain, and the inverted-privacy-model surface stays clearly labeled here.

What's the mutation alert feature?

Pro tier feature (launching with Pro). When you submit a QR for tracking, we re-walk the chain on a periodic cadence and email you if the redirect targets, terminal destination, or the set of indirection-service operators changes. This catches the most common quishing pattern in the wild: print a clean QR, switch the destination to phishing months later, harvest scans from the printed asset.

Can I embed this in my security product?

Yes, on the Pro tier. The API is RESTful, returns a structured JSON verdict with payload-type, threat-class, mutability, redirect chain, per-hop control attribution, and sub-payload findings. Designed for embedding in wallet apps, mobile security suites, enterprise URL filtering, and corporate Slack / Teams link-preview enrichers. API access ships with the Pro tier at $99/mo; see /pricing/.

Защита от квишинга · Безопасность QR + URL + сокращателей

Не доверяйте QR, пока он не будет одобрен.

QR-код — это незнакомец, вручающий вам конверт. То же самое касается любого короткого URL — bit.ly, t.co или ссылки в сообщении. Откройте без проверки — и вы можете оказаться на фишинговой странице кражи учётных данных, в ловушке открытого WiFi, перед транзакцией дрейнера кошелька или намерением Android, которое незаметно загружает вредоносное ПО. Мы прослеживаем цепочку, проверяем назначение и сообщаем, кто может изменить его после печати QR — вопрос, от которого зависит, безопасна ли наклейка паркомата, пересланный короткий URL, меню ресторана или корпоративный флаер MFA.

Без регистрации и аккаунта Полезная нагрузка не сохраняется Декодирование камерой остаётся локальным Приложения для Mac, Windows, iOS, Android — скоро

Поделиться инструментом · или сохранить короткую ссылку для возврата

Отсканируйте QR-код с камерой, загрузите изображение, вставьте изображение или вставьте расшифрованный текст.

Загрузить изображение

Камера и декодирование изображений происходят в вашем браузере. На наш анализатор отправляется только расшифрованный текст.

Настройки сканера

Расширенный декодер Добавляет Micro QR, суффиксы ISBN и более надёжное сканирование размытых изображений. При первом включении загружает ~1 МБ.

Смотрите в действии

Нажмите «Попробовать это сканирование», чтобы запустить его здесь, или наведите камеру телефона на QR — он пройдёт через наш сканер, и вердикт появится на вашем телефоне. Ничего предварительно открывать не нужно.

Прямая HTTPS-ссылка на сайт Abundera первой стороны. Без сокращателей, без переадресаций. Лучший вердикт: Одобрено — со статической изменяемостью и низким порогом изменяемости сервера назначения.

https://qr.abundera.ai/

QR, маршрутизируемый через наш собственный сокращатель перед достижением конечного назначения. Вердикт раскрывает, кто может изменить назначение после печати — ось изменяемости, которую не показывает ни один другой сканер.

https://aqr.net/demo-walmart

Ссылка, которая гарантированно разрешается в стране, отличной от вашей (JS подменяет цель после определения вашего региона). Демонстрирует метку страны для каждого перехода — цепочка, неожиданно пересекающая границы, является более сильным сигналом доверия, чем любой отдельный переход.

https://www.bundestag.de/

QR-код, маршрутизируемый через check.qr.abundera.ai к https://www.bbc.co.uk/

Google поддерживает этот URL специально как тестовый образец Safe Browsing. Он классифицируется как SOCIAL_ENGINEERING в Safe Browsing — полезно для демонстрации работы агрегатора репутации и эскалации вердикта, без ссылки на реальный фишинговый сайт.

https://testsafebrowsing.appspot.com/s/phishing.html

Как это работает

1
Декодирование
Ваш браузер декодирует QR локально (jsQR). Изображение никогда не покидает ваше устройство. Мы видим только текстовую полезную нагрузку.
2
Диспетчеризация
Полезная нагрузка классифицируется по URI-схеме, префиксу структурированного формата или контентной эвристике в одну из 48 категорий анализаторов, которые вместе распознают 222 варианта полезной нагрузки: HTTP URL (с десятками распознавателей для конкретных хостов), WiFi, vCard, телефония, почта, намерение Android, криптовалюта, контентно-адресованные данные, встроенные данные, календарь, геолокация, сопряжение Bluetooth, подключение Matter, платёж продавца EMV (PIX, PayNow, PromptPay, UPI и 30+ схем по странам), конфигурация WireGuard, Smart Health Card, активация eSIM, сопряжение WalletConnect, гибридный FIDO passkey, заблокированная схема или простой текст. Каждая категория направляется к своему специализированному анализатору.
3
Трассировка + классификация
Для HTTP URL мы прослеживаем цепочку перенаправлений через сервисы переадресации (Bitly, Linktree, QR Tiger и ~80 других), записываем посредников на каждом переходе, классифицируем изменяемость (статическая / динамическая-одиночная / динамическая-цепочная / рекламный интерстициал / циклическая) и атрибутируем контроль каждому оператору сервиса переадресации. Параллельно проверяем назначение по Google Safe Browsing и URLhaus.
4
Унификация
Мы формируем единую форму вердикта, инвариантную по типам полезной нагрузки: threat_class, mutability, chain, attribution, sub_payloads, disclosure на понятном языке. Под-полезные нагрузки, встроенные в родительскую (URL в поле NOTE vCard, SSID, содержащий ссылку, и т.д.), рекурсивно диспетчеризируются.

Что мы обнаруживаем там, где инструменты только для URL бессильны

Сканеры угроз класса URL охватывают одну из 48 категорий полезной нагрузки, которую может содержать QR, и лишь один распознаватель внутри категории URL. Мы распознаём 222 варианта полезной нагрузки по всем 48 категориям. Небольшая выборка ниже; полный список и дорожная карта Tier 2 — на странице покрытия.

Цепочка переадресации и изменяемость

Отслеживайте каждый переход. Обнаруживайте цепочки Bitly + Linktree. Определяйте операторов сервисов переадресации. Показывайте стороны, которые могут изменить назначение после печати.

QR-коды WiFi-конфигурации

SSID + шифрование разобраны и нормализованы. Отмечены открытые / слабые WEP / скрытые сети. Похожие символы расшифрованы, чтобы омоглифные SSID отображались в результате.

Дрейнеры криптокошельков

Проверка формата адреса и контрольной суммы для каждой сети. Обнаружение селектора функций EVM (approve, setApprovalForAll, permit). Репутация Chainabuse.

Ввод в эксплуатацию умного дома Matter

Декодирование полезной нагрузки MT: base-38 для подключения устройств. Извлечение идентификатора производителя + идентификатора продукта. Отображение предупреждения «это подключает устройство к вашей домашней сети», чтобы заменённая наклейка не смогла тайно присоединиться к сети злоумышленника.

Подмена QR-платежа продавца EMV

Разбор полезных нагрузок EMVCo MPM / CPM (SGQR, PromptPay, PayNow, DuitNow, UPI). Проверка CRC + отображение имени продавца; обнаруживает атаку с заменой наклейки — наиболее распространённый мировой вид мошенничества с QR-кодами.

Перехват аккаунта через QR-вход

Распознавание конечных точек QR-входа WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub и AWS. Предупреждение о том, что сканирование предоставляет тому, кто создал QR, доступ к вашему аккаунту.

Все 222 типа полезной нагрузки →

Сегодня чистый QR, завтра фишинговая страница

Как только QR напечатан на наклейке, меню или флаере, его уже не «распечатать». Поэтому важен не только вопрос «безопасна ли ссылка сейчас», но и «кто может изменить, куда она ведёт, после того как чернила высохли». Это и есть изменяемость.

Статический QR

walmart.com закодирован непосредственно в матрице QR

Назначение закодировано прямо в точечном шаблоне. Ни одна третья сторона не может изменить, куда он ведёт. То, что вы сканируете сегодня, то же самое вы просканируете через год.

Динамический QR (риск)

aqr.net/demo-walmart → сокращатель → walmart.com

QR кодирует URL-сокращатель; владелец аккаунта сокращателя выбирает назначение в момент сканирования и может изменить его за 30 секунд. Сегодня безопасный, завтра фишинговый — та же физическая наклейка. Мы раскрываем цепочку, называем оператора сервиса переадресации и сообщаем, привязан ли печатный носитель к чужому контролю.

Тарифы

Бесплатно для личного использования, без регистрации. Платные планы для частных лиц, семей, команд, брендов и корпоративных развёртываний.

УЧРЕДИТЕЛЬНЫЙ УЧАСТНИК Ваш тариф. Зафиксирован. Навсегда. Экономия 34% на платных тарифах, годовая оплата, доступна до 1 сентября 2026 года.

Учредительные тарифы → Стандартные тарифы

Нативные приложения скоро выйдут

Тот же движок, нативный на macOS, Windows, Linux, iOS и Android. Сканирование через камеру остаётся на устройстве; классификация идёт на тот же конечный сервер. abundera.app →

Вопросы

Что такое квишинг?

Квишинг — это фишинг через QR-коды: злоумышленник печатает, наклеивает, отправляет по электронной почте или в сообщении QR-код, который при сканировании открывает страницу для кражи учётных данных, транзакцию дрейнера кошелька, ловушку открытого WiFi или намерение Android, подгружающее вредоносное ПО. Сам QR — это просто изображение, поэтому фильтры ссылок электронной почты и предупреждения браузера его не видят — пока телефон жертвы уже не открыл назначение. Защита должна происходить в момент сканирования, до того как телефон перейдёт по ссылке.

Чем квишинг отличается от обычного фишинга?

Три отличия. Вектор атаки физический или визуальный — наклейка поверх QR паркомата, напечатанный флаер, имитирующий регистрацию MFA, QR-меню ресторана, замена которого происходит ночью — поэтому он полностью обходит почтовые шлюзы. Жертвы доверяют QR-кодам больше, чем ссылкам в письмах; QR воспринимается как назначение, выбранное тем, кто напечатал поверхность. И динамические QR-коды, маршрутизируемые через сокращатель, могут быть перенаправлены на фишинговое назначение после распространения печатного носителя — так QR, безопасный в момент печати, может стать враждебным через месяцы. Статические сканеры ссылок отвечают на вопрос «является ли этот URL вредоносным прямо сейчас», но не «кто может изменить, куда он ведёт».

Как проверить безопасность QR-кода перед сканированием?

Не наводите нативную камеру телефона на него — это сразу откроет назначение. Вместо этого откройте check.qr.abundera.ai на телефоне, отсканируйте QR через встроенную камеру на странице (декодирование происходит локально; изображение никогда не покидает устройство) и прочитайте вердикт. Мы проходим каждый переход перенаправления, классифицируем, контролируется ли назначение третьей стороной после печати QR, и проверяем репутацию по Google Safe Browsing и другим агрегаторам. Вердикты Одобрено безопасны для открытия; вердикты Осторожно и Не переходите объясняют причину.

Какие реальные примеры квишинга существуют?

Наклейки на паркоматах и зарядных станциях для электромобилей, перекрывающие легитимный QR кодом, ведущим на страницу кражи данных банковской карты — наиболее распространённый паттерн 2024–2025 годов, зафиксированный в Остине, Сан-Антонио и по всей Великобритании. QR-меню ресторанов, заменённые фишинговыми страницами ночью злоумышленником, физически подменившим настольную карточку. Корпоративные флаеры регистрации MFA в офисных туалетах, выглядящие официально, но регистрирующие устройство злоумышленника. QR свадебных приглашений, распространённых за месяцы до события, где компрометация аккаунта сокращателя позволяет злоумышленнику перенаправить тысячи напечатанных открыток. QR криптоплатежей на торговых терминалах, перекрытых адресом кошелька злоумышленника. Общий знаменатель: напечатанный QR выглядит идентично безопасному.

Чем это отличается от Google Safe Browsing или VirusTotal?

Существующие инструменты классифицируют, является ли URL вредоносным в данный момент. Мы дополнительно классифицируем, контролируется ли назначение третьей стороной после печати QR — свойство, которое мы называем изменяемостью. Чистый динамический QR, маршрутизируемый через сокращатель, всё равно является высокорискованным для наклейки паркомата или свадебного приглашения: владелец аккаунта сокращателя может изменить назначение в любое время. Мы представляем эту позицию управления как первоклассное поле вердикта наряду с вердиктом об угрозе содержимого.

Вы сохраняете отсканированный QR?

Нет. Расшифрованная полезная нагрузка передаётся на наш сервер по HTTPS, чтобы мы могли пройти цепочку и запросить базы данных репутации — это функциональная необходимость, а не выбор, но она никогда не сохраняется. Вердикты кэшируются по хешу SHA-256 дискриминатора, специфичного для типа полезной нагрузки, сцепленного с секретной солью, хранимой на сервере. Исходную полезную нагрузку невозможно восстановить из любой записи кэша.

Зачем отдельный домен от qr.abundera.ai?

qr.abundera.ai — это генератор, который обещает полностью клиентскую работу: ничего не покидает ваше устройство. Этот проверщик безопасности передаёт расшифрованную полезную нагрузку на сервер по необходимости. Мы разделяем два сервиса, чтобы обещание «только клиент» оставалось чистым на домене генератора, а сервис с инвертированной моделью конфиденциальности был чётко обозначен здесь.

Что такое функция уведомления об изменениях?

Тарифный план Pro. Отправьте QR на отслеживание, и мы будем регулярно перепроходить цепочку. Уведомление по электронной почте при изменении целей перенаправления, конечного назначения или набора операторов сервисов переадресации. Это обнаруживает наиболее распространённый паттерн квишинга в реальных условиях: напечатать чистый QR, переключить назначение на фишинг через месяцы, собирать переходы с напечатанного носителя.

Могу ли я встроить это в свой продукт безопасности?

Да, на тарифном плане Pro. API является RESTful и возвращает структурированный JSON-вердикт с типом полезной нагрузки, классом угрозы, изменяемостью, цепочкой перенаправлений, атрибуцией контроля за каждый переход и результатами под-полезных нагрузок. Предназначен для встраивания в кошельковые приложения, мобильные пакеты безопасности, корпоративную фильтрацию URL и обогатители предварительного просмотра ссылок в корпоративных Slack / Teams.

Открытый исходный код?

Не на данный момент. Классификатор является закрытым исходным кодом, пока патентная работа находится на рассмотрении. Мы можем опубликовать эталонные реализации раскрытых алгоритмов после получения патента. Контракт API является публичным и стабильным.