En direkt HTTPS-länk till en Abundera-ägd sida. Inga kortlänkar, inga omdirigeringar. Bästa möjliga utfall: Godkänd med statisk föränderbarhet och ett lågt destinationsserverföränderbarhetsvärde.
https://qr.abundera.ai/
Quishing-försvar · QR + URL + kortlänkssäkerhet
Lita inte på en QR förrän den är godkänd.
En QR-kod är en okänd person som räcker dig ett kuvert. Detsamma gäller alla korta URL:er — en bit.ly, en t.co eller en länk i ett DM. Öppna den utan att kontrollera och du kan hamna på en sida för att stjäla inloggningsuppgifter, en öppen WiFi-fälla, en plånbokstömmar-transaktion eller en Android-intent som sidoladdas med skadlig kod. Vi spårar kedjan, granskar destinationen och berättar vem som kan ändra den efter att QR-koden trycktes — frågan som avgör om ett parkeringsautomatklistermärke, en vidarebefordrad kortlänk, en restaurangmeny eller en MFA-flyer faktiskt är säker.
Ingen registrering, inget konto Payload lagras aldrig Kameraavkodning sker lokalt Mac, Windows, iOS, Android-appar snart
Dela det här verktyget · eller spara en kort länk för att komma tillbaka
Skanna en QR-kod med kameran, ladda upp en bild, klistra in en bild eller klistra in avkodad text.
Kamera och bildavkodning sker i din webbläsare. Bara den avkodade texten skickas till vår analyserare.
Scannerinställningar
Laddar ner förbättrad avkodare… 0%
Skanningshistorik
Lagras enbart på den här enheten, skickas aldrig till våra servrar. De senaste 25 skanningarna; äldre rensas automatiskt. Molnsynkad skanningshistorik (flerenheter, 30 dagar) finns på färdplanen för Personal+-nivåer.
Se det i praktiken
Tryck på "Prova den här skanningen" för att köra den här, eller peka din mobil mot QR-koden — den dirigeras genom vår scanner och resultatet visas på din telefon. Du behöver inte besöka något först.
En QR som dirigeras via vår egen kortlänk innan den når sin slutdestination. Utfallet visar vem som kan ändra destinationen efter utskrift — föränderbarhetsdimensionen ingen annan scanner visar.
https://aqr.net/demo-walmart
En länk som garanterat löses upp i ett annat land än ditt (JS byter mål efter att din region detekterats). Demonstrerar per-hopp-landschipet — en kedja som oväntat korsar gränser är en starkare tillitssignal än ett enskilt hopp.
https://www.bundestag.de/
Google underhåller den här URL:en specifikt som en Safe Browsing-testfixtur. Den klassificeras som SOCIAL_ENGINEERING av Safe Browsing — användbar för att visa att ryktesammanställaren och utfallseskalationen faktiskt fungerar, utan att länka till en riktig phishing-sida.
https://testsafebrowsing.appspot.com/s/phishing.html
Så här fungerar det
- 1
Avkoda
Din webbläsare avkodar QR-koden lokalt (jsQR). Bilden lämnar aldrig din enhet. Vi ser bara den textbaserade payloaden.
- 2
Dirigera
Payloaden klassificeras av URI-schema, strukturerat formatprefix eller innehållsheuristik i en av 48 analyserarkategorier som tillsammans känner igen 222 payload-varianter: HTTP URL (med dussintals värd-specifika igenkännare), WiFi, vCard, telefoni, e-post, Android-intent, kryptovaluta, innehållsadresserad, inbäddad data, kalender, geo, Bluetooth-parkoppling, Matter-driftsättning, EMV-handlarbetalning (PIX, PayNow, PromptPay, UPI och 30+ landsscheman), WireGuard-konfiguration, Smart Health Card, eSIM-aktivering, WalletConnect-parkoppling, FIDO-lösenordsnyckel hybrid, hårt blockerat schema eller vanlig text. Varje kategori skickas till sin dedikerade analyserare.
- 3
Spåra + klassificera
För HTTP URL:er spårar vi omdirigeringskedjan via omdirigeringstjänster (Bitly, Linktree, QR Tiger och ca 80 andra), registrerar per-hopp-mellanhänder, klassificerar föränderbarhet (statisk / dynamisk-enkel / dynamisk-kedja / annons-interstitiell / cyklisk) och tillskriver kontroll till varje omdirigeringstjänstoperatör. Parallellt granskar vi destinationen mot Google Safe Browsing och URLhaus.
- 4
Förena
Vi sammanställer ett enda utfallsformat som är invariant över payload-typer:
threat_class,mutability,chain,attribution,sub_payloads, klarspråkigdisclosure. Sub-payloads inbäddade i en förälder (URL:er i ett vCard NOTE-fält, SSID:er som innehåller en länk, osv.) dirigeras rekursivt.
Vad vi fångar som URL-verktyg missar
URL-klassens hotscannrar täcker en av 48 payload-kategorier som en QR-kod kan bära, och en enda igenkännare inom URL-kategorin dessutom. Vi känner igen 222 payload-varianter över alla 48. Ett urval nedan; hela listan och Tier 2-färdplanen finns på täckningssidan.
Omdirigeringskedja & föränderbarhet
Spåra varje hopp. Identifiera Bitly- och Linktree-kedjor. Identifiera operatörer av omdirigeringstjänster. Visa vilka parter som kan ändra destinationen efter utskrift.
WiFi-konfigurations-QR:er
SSID och kryptering tolkas och normaliseras. Öppna, svaga WEP- och dolda nätverk flaggas. Förväxlingsbara SSID:er avkodas och visas i resultatet.
Krypto-plånbokstömmare
Adressformat och kontrollsumma per kedja valideras. EVM-funktionsselektor-igenkänning (approve, setApprovalForAll, permit). Chainabuse-rykte.
Matter smart-hem-driftsättning
Avkodar MT:-base-38-onboarding-payloads. Extraherar tillverkar-ID och produkt-ID. Visar "den här enheten ansluts till ditt hemnätverk"-kontexten så att ett utbytt klistermärke inte tyst kan gå med i ett angreppsnätverk.
EMV-handlare-QR-betalningsbyte
Tolkar EMVCo MPM/CPM-payloads (SGQR, PromptPay, PayNow, DuitNow, UPI). CRC-validering och handelsnamn visas; fångar klistermärkesbytet, den mest utbredda QR-bedrägeritaktiken globalt.
QR-inloggning kontokapning
Identifierar WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub och AWS device-code QR-inloggningsendpoints. Varnar för att skanning ger den som skapade QR-koden tillgång till ditt konto.
En ren QR i dag, en phishing-sida i morgon
När en QR-kod väl är tryckt på ett klistermärke, en meny eller en flyer kan den inte tryckas bort. Så utfallet som spelar roll är inte bara "är länken säker nu" — det är "vem kan ändra vart den pekar efter att bläcket torkat". Det är föränderbarhet.
Statisk QR
walmart.com kodat direkt i QR-matrisen
Destinationen sitter i prickmönstret självt. Ingen tredje part kan ändra vart det leder. Det du skannar i dag är det du skannar om ett år.
Dynamisk QR (risken)
aqr.net/demo-walmart → kortlänk → walmart.com
QR-koden kodar en kortlänk; kortlänkskontots ägare väljer destination vid skanning och kan byta den på 30 sekunder. Ren i dag, phishing i morgon, samma fysiska klistermärke. Vi visar kedjan, namnger omdirigeringstjänstens operatör och berättar om den utskrivna tillgången är lättmanipulerad.
Prissättning
Gratis för personligt bruk, ingen registrering. Betalda planer för privatpersoner, familjer, team, varumärken och enterprise-utrullningar.
GRUNDARMEDLEM Ditt pris. Låst. För alltid. Spara 34% på betalda nivåer, årsdebitering, tillgängligt till och med 1 september 2026.
Native-appar kommer snart
Samma motor, nativ på macOS, Windows, Linux, iOS och Android. Kameraskanningen stannar på enheten; klassificeringen skickas till samma endpoint. abundera.app →
Frågor
Vad är quishing?
Quishing är QR-kodsphishing: en angripare skriver ut, klistrar, mejlar eller skickar en QR-kod som, när den skannas, öppnar en sida för att stjäla inloggningsuppgifter, en plånbokstömmar-transaktion, en öppen WiFi-fälla eller en Android-intent som sidoladdas med skadlig kod. QR-koden är bara en bild, så e-postlänkfilter och webbläsarvarningar ser den aldrig förrän offrets telefon redan har öppnat destinationen. Försvaret måste ske vid skanningen, innan telefonen följer länken.
Hur skiljer sig quishing från vanlig phishing?
Tre skillnader. Attackvektorn är fysisk eller visuell — ett klistermärke över en parkeringsautomats QR-kod, en utskriven flyer som utger sig för att vara MFA-registrering, en restaurangs meny-QR utbytt natten — så den kringgår e-postgateways helt. Offer litar mer på QR-koder än på länkar i e-post; en QR uppfattas som ett mål valt av den som tryckt ytan. Och dynamiska QR-koder som dirigeras via en kortlänk kan pekas om till en phishing-destination efter att det utskrivna materialet distribuerats, så en QR som var säker vid utskrift kan bli fientlig månader senare. Statiska länkscannrar svarar på "är denna URL skadlig just nu", inte "vem kan ändra vart den pekar".
Hur kontrollerar jag att en QR-kod är säker innan jag skannar?
Rikta inte din telefons inbyggda kamera mot den — det öppnar destinationen omedelbart. Öppna istället check.qr.abundera.ai på din telefon, skanna QR-koden via sidans kamera (avkodning sker lokalt; bilden lämnar aldrig din enhet) och läs utfallet. Vi går igenom varje omdirigeringshopp, klassificerar om destinationen är kontrollerbar av en tredje part efter att QR-koden trycktes, och kontrollerar ryktet mot Google Safe Browsing och andra sammanställare. Godkänd utfall är säkra att öppna; Varning och Gå inte vidare berättar varför.
Vad finns det för verkliga quishing-exempel?
Parkeringsautomater och laddstationsklistermärken som täcker den legitima QR-koden med en som pekar till en sida för att stjäla kortuppgifter — det mest rapporterade mönstret 2024–2025, observerat i Austin, San Antonio och i hela Storbritannien. Restaurangens meny-QR:er bytta till phishing-sidor natten av en angripare som fysiskt byter bordstent. Företags MFA-registreringsflyers på kontorsbathrum som ser officiella ut men registrerar angriparens enhet. Bröllopsinbjudans QR:er distribuerade månader före evenemanget, där ett kortlänkskontobyte låter en angripare peka om tusentals utskrivna kort. Krypto-betalnings-QR:er vid kassaterminaler övertäckta med angriparens plånboksadress. Den gemensamma tråden: den utskrivna QR-koden ser identisk ut med den säkra.
Hur skiljer sig detta från Google Safe Browsing eller VirusTotal?
Befintliga verktyg klassificerar om en URL för tillfället är skadlig. Vi klassificerar dessutom om destinationen är kontrollerbar av en tredje part efter att QR-koden trycktes — en egenskap vi kallar föränderbarhet. En ren dynamisk QR dirigerad via en kortlänk är fortfarande högrisk för ett parkeringsautomatklistermärke eller ett bröllopskort: kortlänkskontots ägare kan ändra destinationen när som helst. Vi visar denna kontrollposition som ett förstklassigt utfallsfält bredvid hotinnehållsutfallet.
Lagrar ni QR-koden jag skannade?
Nej. Den avkodade payloaden skickas till vår server via HTTPS så att vi kan gå igenom kedjan och fråga ryktes databaser — det är en funktionell nödvändighet, inte ett val, men den lagras aldrig. Utfall cachas med en SHA-256-hash av en per-payload-typ-diskriminator sammankopplad med ett serverhållet hemligt salt. Den ursprungliga payloaden kan inte rekonstrueras från någon cache-post.
Varför en separat domän från qr.abundera.ai?
qr.abundera.ai är en generator som lovar allt-klientsidan: inget lämnar din enhet. Den här säkerhetschecken skickar den avkodade payloaden till servern av nödvändighet. Vi separerar de två ytorna så att löftet om klientexklusivitet förblir rent på generatordomänen, och ytan med omvänt integritetsmodell är tydligt märkt här.
Vad är mutationsaviseringsfunktionen?
Pro-nivå. Skicka in en QR för spårning, och vi går igenom kedjan på nytt med jämna mellanrum. E-post när omdirigeringsmålen, slutdestinationen eller uppsättningen av omdirigeringstjänstoperatörer ändras. Det fångar det vanligaste quishing-i-naturen-mönstret: skriv ut en ren QR, byt destination till phishing månader senare, skörda skanningar från det utskrivna materialet.
Kan jag bädda in detta i min säkerhetsprodukt?
Ja, på Pro-nivå. API:et är RESTful, returnerar ett strukturerat JSON-utfall med payload-typ, hotklass, föränderbarhet, omdirigeringskedja, per-hopp-kontrollattribuering och sub-payload-fynd. Utformat för inbäddning i plånboksappar, mobilsäkerhetssviter, enterprise-URL-filtrering och Slack/Teams-länkförhandsgranskning för företag.
Öppen källkod?
Inte för tillfället. Klassificeraren är sluten källkod medan det underliggande patentarbetet fortfarande behandlas. Vi kan publicera referensimplementationer av redovisade algoritmer efter beviljande. API-kontraktet är offentligt och stabilt.