What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Fältguide

QR-bedrägerier att vara vaksam på 2026

En QR-kod är bara en kodad sträng. Faran är inte formatet – det är vad strängen säger åt din telefon att göra, och att du vanligtvis skannar utan att läsa. Här är de tio attackerna som sker just nu, hur var och en ser ut i verkligheten och hur du känner igen den innan du trycker.

Kontrollera en QR nu → QR-standarder vi avkodar →

1. Etikettbyte på parkeringsautomater, menyer och elbilsladdare

Så här ser det ut: En liten självhäftande etikett placeras prydligt över den legitima QR på en parkeringsautomat, restaurangmeny, elbilsladdare eller självbetjäningskassa. Etikett-QR:en ser identisk ut med den äkta. Skanna den och du hamnar på en betalsida som ser ut som stadens eller restaurangens. Betala och pengarna går till angriparen. Flera stora amerikanska städer drabbades av detta 2023–2024 (San Antonio, Austin, Houston); etiketter på elbilsladdare exploderade 2024–2025.

Hur du känner igen det: Titta på QR:en. Är den tryckt direkt på ytan (graverad, målad, inbäddad under laminat)? Eller är det en etikett? Dra ett nagel längs en kant – lyfter det sig är det en etikett. Äkta parkeringsautomat- och elbilsladdare-QR:er är nästan alltid permanenta. För menyer, fråga servitören vilken betalsida som är riktig; legitima operatörer bekräftar gärna. Och lägg QR:en i vår skanner innan du trycker på betala – det avkodade målet avslöjar allt.

Läs mer: EMVCo-handlarbetalnings-QR:er →

2. Evil-twin Wi-Fi på flygplatser, hotell och konferenscentrum

Så här ser det ut: Ett tryckt kort eller en etikett med annons om gratis Wi-Fi: "Airport_Free_WiFi", "Starbucks_Guest_2", "ConferenceGuest". Skanna QR:en, din telefon ansluter till nätverket, du har internet. Men nätverket är en angripares telefonhotspot som körs i samma rum. De vidarebefordrar din trafik till det riktiga internet så att inget känns konstigt, men de ser DNS-förfrågningar, SNI-värdnamn, all HTTP-fallback-trafik och kan visa falska captive-portaler som ber om inloggningsuppgifter.

Hur du känner igen det: Kontrollera att SSID:t stämmer med vad anläggningen officiellt publicerar. Flygplatser listar sitt gäst-Wi-Fi-namn på den officiella flygplatswebbplatsen; hotell listar det i receptionen. Liknande namn (extra tecken, utbytta bokstäver, "Free" tillagt) är attackens signum. Vår skanner flaggar liknande SSID:n mot en lista med varumärken som ofta efterliknas. Om du är osäker, använd bara mobildata.

Läs mer: Wi-Fi-inloggnings-QR:er →

3. Nätfiske via lösenordsnyckel-QR

Så här ser det ut: Du loggar in på en webbplats på en dator. Webbplatsen visar en QR för att para ihop din telefons lösenordsnyckel. En angripare som lurat dig till fel webbplats visar sin QR och parar ihop din lösenordsnyckel med DERAS aktiva inloggning på den riktiga webbplatsen. De är nu inloggade på ditt konto. CTAP 2.2 hybridtransport (standarden bakom lösenordsnyckel-QR:er) är kryptografiskt sund; attacken sker helt på den mänskliga sidan – att få dig att skanna en QR från en skärm som inte är den webbplats du tror.

Hur du känner igen det: Bekräfta sidans URL i webbläsarens adressfält innan du skannar en lösenordsnyckel-QR. Nätfiskesajter använder ofta ett typosquat (extra bindestreck, utbytta bokstäver, .co istället för .com). Lösenordsnyckel-QR:en i sig är okej; frågan är om sidan som visar den är äkta. Dessutom: lösenordsnyckel-QR:er är kortlivade (typiskt under en minut) – en QR som sitter på en statisk hjälpdesksida i timmar är misstänkt.

Läs mer: FIDO2-lösenordsnyckel-QR:er →

4. Stöld av autentiseringsexport

Så här ser det ut: Någon lånar din olåsta telefon för "ett snabbt foto". De öppnar Google Authenticator, trycker på Överför konton → Exportera, genererar en QR och fotograferar den med sin telefon. Sedan ger de tillbaka din. Den QR:en innehåller varje autentiseringsfrö (Google, AWS, GitHub, din bank, din kryptobörsen) base64-kodat i en protobuf. De kan nu generera dina 6-siffriga koder för varje konto, för alltid, tills du återställer var och en.

Hur du känner igen det: Försvaret handlar inte om att se QR:en – det handlar om att aldrig låta den genereras. Lämna inte ifrån dig en olåst telefon. Om du behöver dela något, gör det själv. Dessutom: de flesta autentiserarAppar kräver nu biometrisk upplåsning vid exportflödet, men Googles gjorde det inte förrän i slutet av 2023 och äldre telefoner kan fortfarande hoppa över det. Om du misstänker att detta hänt, behandla det som ett fullständigt intrång och återställ 2FA på varje konto du har i autentiseraren.

Läs mer: otpauth-migration-QR:er →

5. Publicering av foto på boardingkort

Så här ser det ut: En resenär publicerar ett foto av sitt boardingkort på Instagram eller LinkedIn – "på väg till Tokyo!". PDF417-streckkoden (eller QR) på kortet kodar flygbolagets bokningsreferens (PNR) och biljettnummer i klartext. En angripare som skärmdumpar fotot avkodar streckkoden, slår upp bokningen på flygbolagets webbplats (PNR + efternamn räcker vanligtvis) och kan avboka resan, ändra sätet, se hela resplanen eller utlösa återbetalningsflöden.

Hur du känner igen det: Publicera inte foton på boardingkort. Om du måste, sudda ut eller beskär bort streckkoden OCH bokningsreferensen (vanligtvis tryckt någonstans som en 6-teckens alfanumerisk kod). QR:en/streckkoden är ett perfekt attackmål eftersom den är maskinläsbar från vilken telefons skärmdump som helst.

Läs mer: IATA BCBP-boardingkort-QR:er →

6. Insamling av körkortsstreckkod

Så här ser det ut: En bar, nattklubb, vapebutik, dispensär eller ålderskontrollerad återförsäljare skannar PDF417-streckkoden på baksidan av ditt körkort för att "kontrollera din ålder". Den streckkoden kodar ALLA attribut på körkortet i klartext: namn, adress, födelsedatum, körkortsnummer, längd, vikt, ögonfärg. Vissa operatörer behåller dessa uppgifter, säljer dem till marknadsföringsaggregatorer eller förlorar dem i dataintrång. En riktig dörrvakt behöver veta en sak: är du myndig. De behöver inte din adress.

Hur du känner igen det: Fråga vad som skannas och varför. Vissa anläggningar behöver bara bekräfta ålder; andra (stora klubbar i vissa jurisdiktioner) är lagligt skyldiga att behålla uppgifter. Ifrågasätt om anläggningen är liten och informell. Om du har ett mobilt körkort, använd det – mDL:er stöder selektivt avslöjande (baren kan fråga bara "över 18? ja/nej" utan att se ditt födelsedatum).

Läs mer: AAMVA-körkort PDF417 →

7. Kryptodränare-QR:er vid NFT-evenemang och fysisk konst

Så här ser det ut: En QR vid ett NFT-möte, gallerioöppning, konferensbås eller tryckt inuti fysisk konst påstår sig ge dig ett gratis NFT eller ett airdrop. Skanna den – QR:en öppnar en WalletConnect-session eller en djuplänk till din plånboks-app, och du ombeds signera en transaktion. Transaktionen godkänner ett skadligt kontrakt att tömma varje token i din plånbok. Dränarkit är standardprogramvara; QR:en är bara leveransmekanismen.

Hur du känner igen det: Läs transaktionsuppmaningen i din plånbok innan du signerar. Om den ber om tokengodkännanden (särskilt setApprovalForAll eller obegränsad approve-utgift) för ett kontrakt du inte känner igen – avböj. Gratis-NFT-QR:er vid slumpmässiga mässbås är inte värda risken. Använd en separat "varm" plånbok med minimalt saldo för interaktioner på plats; förvara dina riktiga tillgångar i en plånbok du aldrig ansluter till QR-sessioner.

8. Etikett över en välgörenhets-/donations-QR

Så här ser det ut: En flygblad för en riktig välgörenhetsorganisation sätts upp på en offentlig plats. En angripare täcker donations-QR:en med sin egen etikett som pekar på en plånbok de kontrollerar eller en falsk donationssida. Donationer går till angriparen. Det är vanligast kring naturkatastrofer och stora nyhetshändelser – den legitima välgörenhetsorganisationen marknadsför intensivt och angriparen åker med.

Hur du känner igen det: Samma som #1 – är QR:en en etikett över den tryckta versionen eller en del av det ursprungliga trycket? Donera också gärna genom att skriva välgörenhetsorganisationens URL direkt i webbläsaren eller använd deras officiella app. QR-koder är smidiga men de är ingen förtroendekedja.

9. Förfalskad produktpass-QR

Så här ser det ut: En QR på ett textilplagg, batteri, elektronisk enhet eller möbel påstår sig vara produktens EU:s digitala produktpass (ESPR-krav, inträder successivt 2027–2030). Skanna den och en snygg webbsida visar produktens ursprung, återvunnet innehåll och hållbarhetspåståenden. Inget av det är äkta – förfalskningens tillverkare betalade bara för en generisk DPP-utformad landningssida. I takt med att DPP rullas ut bör man förvänta sig att detta skalas upp: myndigheter håller fortfarande på att bygga det EU-register som förankrar äkthet.

Hur du känner igen det: Kontrollera om utfältet i DPP löser upp till en registrerad EU-ekonomisk operatör. EU-kommissionen hade inte publicerat det konsoliderade registret i mitten av 2026; behandla tills vidare DPP-påståenden som rådgivande snarare än verifierade. Vår skanner extraherar utfältet och DPP-server-URL:en så att du kan göra den sökningen.

Läs mer: EU:s digitala produktpass →

10. Fientlig mDL-verifierare som begär för mycket

Så här ser det ut: Du visar ditt mobila körkort (mDL) på en bar eller i en butik. Deras verifieringsapp ber om fullständigt namn, fullständigt födelsedatum, körkortsnummer, adress OCH foto, fast transaktionen bara kräver åldersverifiering. Du godkänner av vana. Nu har ett litet företag din fullständiga identitet arkiverad, sparad vem-vet-hur-länge, såld till vem-vet-vem. Standarden kräver att plånboken visar dig förfrågelistan, men den hindrar dig inte från att godkänna blankettavslöjanden.

Hur du känner igen det: Läs förfrågeuppmaningen. Om verifieraren vill ha mer än transaktionen kräver (en bar som frågar om din adress, en butikstjänsteman som frågar om ditt körkortsnummer) – avböj och be om den minimala versionen (enbart age_over_21). Om de vägrar har du ett policybeslut att ta: lämna ut mer än nödvändigt eller gå därifrån. Standarden är på din sida; verifierarsidans ekosystem är ännu inte reglerat.

Läs mer: Mobilt körkort (ISO 18013-5) →

Vad du ska göra om du redan skannat något skadligt

Betalsajt: Om du angav kortuppgifter, kontakta din bank nu för att flagga transaktionen och utfärda ett nytt kort. Vänta inte på att beloppet bekräftas.
Wi-Fi: Glöm nätverket på din telefon. Kontrollera snabbt om nyligen använda appar visar uppmaningar om inloggningsuppgifter. Byt lösenord på allt du använde medan du var ansluten, särskilt allt som föll tillbaka till HTTP.
Lösenordsnyckel: Logga in på det berörda kontot, gå till säkerhetsinställningar, lista aktiva lösenordsnycklar och ta bort allt du inte känner igen. Återställ även ditt lösenord om webbplatsen erbjuder det.
Autentiseringsexport: Behandla detta som ett fullständigt intrång. Återställ 2FA på alla konton som fanns i autentiseraren. Börja med de mest värdefulla (bank, e-post, kryptobörsen, GitHub, AWS).
Boardingkort publicerat: Kontakta flygbolaget, ändra bokningsreferensen om möjligt och sätt upp en flygsstatusavisering så att du märker om någon ändrar bokningen.
Kryptodränering signerad: Flytta återstående tillgångar till en ny plånbok omedelbart. Återkalla kontraktsgodkännanden på varje kedja du använde (revoke.cash och liknande verktyg täcker de flesta kedjor). De dränerade tokens är vanligtvis oåterkalleliga.

Kontrollera innan du skannar

Lägg vilken QR som helst (bild, inklistring eller kamera) i vår skanner. Du ser den avkodade payloaden, omdirigeringskedjan om det är en URL, vem som kan ändra målet framöver och ryktesmarkeringar. Beslutet är ditt; informationen finns på skärmen innan du agerar.

Öppna skanner →