ผู้ป้องกัน Quishing · ความปลอดภัย QR + URL + shortener

อย่าเชื่อถือ QR จนกว่าจะผ่านการตรวจสอบ

QR code เหมือนคนแปลกหน้าที่ยื่นซองจดหมายให้คุณ เช่นเดียวกับ short URL ไม่ว่าจะเป็น bit.ly, t.co หรือลิงก์ใน DM เปิดโดยไม่ตรวจสอบและคุณอาจลงเอยที่หน้าขโมยข้อมูล bếp WiFi เปิด ธุรกรรมล้างกระเป๋า หรือ Android intent ที่ติดตั้งมัลแวร์ เราติดตามสาย ตรวจสอบปลายทาง และบอกคุณว่าใครสามารถเปลี่ยนปลายทางได้หลังจากพิมพ์ QR ออกไปแล้ว นั่นคือคำถามที่ตัดสินว่าสติ๊กเกอร์มิเตอร์จอดรถ short URL ที่ forward มา เมนูร้านอาหาร หรือแผ่นพับ MFA ของบริษัทปลอดภัยจริงหรือไม่

ไม่ต้องสมัครสมาชิก ไม่ต้องมีบัญชี ไม่มีการเก็บ payload การถอดรหัสกล้องอยู่ในเครื่อง แอปสำหรับ Mac, Windows, iOS, Android เร็ว ๆ นี้
แชร์เครื่องมือนี้ · หรือบันทึกลิงก์สั้นเพื่อกลับมา

สแกน QR code โดยใช้กล้อง อัปโหลดภาพ วางภาพ หรือวางข้อความที่ถอดรหัสแล้ว

กล้องและการถอดรหัสภาพเกิดขึ้นในเบราว์เซอร์ของคุณ ส่งเฉพาะข้อความที่ถอดรหัสไปยัง analyzer ของเรา

การตั้งค่าเครื่องสแกน

ดูการทำงานจริง

แตะ “ลองสแกน” เพื่อรันที่นี่ หรือชี้กล้องโทรศัพท์ไปที่ QR ระบบจะกำหนดเส้นทางผ่านเครื่องสแกนของเราและผลลัพธ์จะแสดงบนโทรศัพท์ของคุณ ไม่ต้องเข้าเว็บใดก่อน

ลิงก์ HTTPS โดยตรงไปยังเว็บ Abundera ของเราเอง ไม่มี shortener ไม่มี redirect ผลลัพธ์ที่ดีที่สุด: ผ่านการตรวจสอบ ด้วย mutability แบบ static และ floor ของ destination-server-mutability ที่ต่ำ

https://qr.abundera.ai/

QR code เข้ารหัส https://qr.abundera.ai/

วิธีการทำงาน

  1. 1

    ถอดรหัส

    เบราว์เซอร์ของคุณถอดรหัส QR ในเครื่อง (jsQR) ภาพไม่ออกจากอุปกรณ์ของคุณ เราเห็นแค่ payload ที่เป็นข้อความ

  2. 2

    จัดส่ง

    payload ถูกจำแนกโดย URI scheme, structured-format prefix หรือ content heuristic ออกเป็นหนึ่งใน 48 หมวด analyzer ที่รับรู้ payload variant ทั้ง 222 แบบรวมกัน: HTTP URL (พร้อม recognizer เฉพาะ host หลายสิบตัว), WiFi, vCard, telephony, mail, Android intent, cryptocurrency, content-addressed, inline data, calendar, geo, Bluetooth pairing, Matter onboarding, EMV merchant payment (PIX, PayNow, PromptPay, UPI และโครงการ 30+ ประเทศ), WireGuard config, Smart Health Card, eSIM activation, WalletConnect pairing, FIDO passkey hybrid, hard-blocked scheme หรือ plain text แต่ละหมวดไปยัง analyzer เฉพาะของตัว

  3. 3

    ติดตาม + จำแนก

    สำหรับ HTTP URL เราติดตามสาย redirect ผ่าน indirection service (Bitly, Linktree, QR Tiger และ ~80 อื่น ๆ) บันทึก intermediary ต่อ hop จำแนก mutability (static / dynamic-single / dynamic-chained / ad-interstitial / cyclic) และระบุ control ให้กับผู้ให้บริการ indirection แต่ละราย พร้อมกันนั้นเราตรวจสอบปลายทางกับ Google Safe Browsing และ URLhaus

  4. 4

    รวมผล

    เราประกอบรูปร่าง verdict เดียวที่ไม่แปรเปลี่ยนตาม payload type: threat_class, mutability, chain, attribution, sub_payloads, disclosure ภาษาธรรมดา Sub-payload ที่ฝังอยู่ใน parent (URL ในฟิลด์ NOTE ของ vCard, SSID ที่มีลิงก์ ฯลฯ) ถูกจัดส่ง dispatch แบบ recursive

สิ่งที่เราตรวจพบที่เครื่องมือ URL เท่านั้นพลาด

เครื่องมือตรวจสอบ threat แบบ URL ครอบคลุมเพียงหนึ่งใน 48 หมวด payload ที่ QR สามารถบรรจุได้ และเป็นแค่ recognizer เดียวภายในหมวด URL นั้น เราจดจำ payload variant 222 แบบใน 48 หมวดทั้งหมด ตัวอย่างด้านล่าง รายการเต็มและ Tier 2 roadmap อยู่ที่ หน้า coverage

สาย redirect และ mutability

ติดตามทุก hop ตรวจจับสาย Bitly และ Linktree ระบุผู้ให้บริการ indirection แสดงรายชื่อผู้ที่สามารถเปลี่ยนปลายทางได้หลังจากพิมพ์ออกไปแล้ว

QR การตั้งค่า WiFi

SSID และการเข้ารหัสถูก parse และ normalize แล้ว เครือข่ายแบบเปิด / WEP อ่อนแอ / ซ่อน ถูกตั้งค่าสถานะไว้ ถอดรหัส confusable ให้ SSID ที่มีลักษณะคล้ายกันปรากฏในผลลัพธ์

ตัวล้างกระเป๋า Crypto

ตรวจสอบรูปแบบที่อยู่และ checksum ต่อสายเชน ตรวจจับ EVM function-selector (approve, setApprovalForAll, permit) ชื่อเสียงจาก Chainabuse

การเปิดใช้งาน Matter smart-home

ถอดรหัส payload onboarding MT: base-38 แยก vendor ID และ product ID แสดงกรอบ "นี่คือการลงทะเบียนอุปกรณ์เข้าสู่เครือข่ายบ้านของคุณ" เพื่อให้สติ๊กเกอร์ที่สลับไม่สามารถเชื่อมต่อกับเครือข่ายของผู้โจมตีโดยไม่รู้ตัว

การสลับ QR ชำระเงิน EMV

Parse payload EMVCo MPM / CPM (SGQR, PromptPay, PayNow, DuitNow, UPI) การตรวจสอบ CRC และแสดงชื่อร้านค้า จับการโจมตีแบบสลับสติ๊กเกอร์ ซึ่งเป็น QR fraud ที่มีปริมาณสูงสุดในโลก

การแฮ็กบัญชีผ่าน QR-login

จดจำ endpoint QR-login ของ WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub และ AWS device-code เตือนว่าการสแกนให้สิทธิ์เข้าถึงบัญชีของคุณแก่ผู้ที่สร้าง QR

ดู payload type ทั้ง 222 แบบ →

QR ที่สะอาดวันนี้ อาจเป็นหน้า phishing พรุ่งนี้

เมื่อ QR ถูกพิมพ์บนสติ๊กเกอร์ เมนู หรือแผ่นพับแล้ว คุณไม่สามารถเรียกคืนได้ ดังนั้นผลลัพธ์ที่สำคัญไม่ใช่แค่ "ลิงก์ปลอดภัยตอนนี้ไหม" แต่คือ "ใครสามารถเปลี่ยนปลายทางได้หลังจากหมึกแห้ง" นั่นคือ mutability

QR แบบ Static

walmart.com ถูกเข้ารหัสโดยตรงใน QR matrix

ปลายทางอยู่ในรูปแบบจุดของ QR เอง ไม่มีบุคคลที่สามที่สามารถเขียนทับปลายทางได้ สิ่งที่คุณสแกนวันนี้จะเหมือนกับที่คุณสแกนในอีกหนึ่งปี

QR แบบ Dynamic (ความเสี่ยง)

aqr.net/demo-walmart → shortener บางตัว → walmart.com

QR เข้ารหัส URL ของ shortener บัญชี shortener เลือกปลายทางตอนสแกนและสามารถเปลี่ยนได้ภายใน 30 วินาที สะอาดวันนี้ กลายเป็น phishing พรุ่งนี้ ด้วยสติ๊กเกอร์เดิม เราแสดงสาย ระบุผู้ให้บริการ indirection และบอกว่าทรัพย์สินที่พิมพ์ออกมาอยู่ภายใต้การควบคุมของผู้อื่นหรือไม่

ราคา

ฟรีสำหรับการใช้ส่วนตัว ไม่ต้องสมัครสมาชิก แผนชำระเงินสำหรับบุคคล ครอบครัว ทีม แบรนด์ และการเปิดตัวในองค์กร

FOUNDING MEMBER อัตราของคุณ ล็อคไว้ ตลอดไป ประหยัด 34% จาก paid tier การชำระเงินรายปี พร้อมให้บริการถึง 1 กันยายน 2026

ดูราคา Founding → ราคามาตรฐาน

แอปพลิเคชัน native เร็ว ๆ นี้

เอนจินเดียวกัน รองรับแบบ native บน macOS, Windows, Linux, iOS และ Android กล้องสแกนทำงานบนอุปกรณ์ของคุณ การจำแนกประเภทส่งไปยัง endpoint เดียวกัน abundera.app →

คำถาม

Quishing คืออะไร?

Quishing คือ QR-code phishing ผู้โจมตีพิมพ์ ติดสติ๊กเกอร์ ส่งอีเมล หรือ DM QR code ที่เมื่อสแกนแล้วจะเปิดหน้าขโมยข้อมูล ธุรกรรมล้างกระเป๋า bếp WiFi เปิด หรือ Android intent ที่ติดตั้งมัลแวร์ ตัว QR เป็นแค่ภาพ ดังนั้น email filter และคำเตือนเบราว์เซอร์จะไม่เห็นมันจนกว่าโทรศัพท์ของเหยื่อจะเปิดปลายทางไปแล้ว การป้องกันต้องเกิดขึ้นตอนสแกน ก่อนที่โทรศัพท์จะตามลิงก์

Quishing แตกต่างจาก phishing ทั่วไปอย่างไร?

มีความแตกต่างสามประการ ช่องทางการโจมตีเป็นแบบกายภาพหรือภาพ เช่น สติ๊กเกอร์ทับ QR มิเตอร์จอดรถ แผ่นพับปลอมเลียนแบบการลงทะเบียน MFA QR เมนูร้านอาหารที่ถูกเปลี่ยนข้ามคืน จึงหลีกเลี่ยง email gateway ได้โดยสิ้นเชิง เหยื่อเชื่อถือ QR มากกว่าลิงก์ในอีเมล เพราะ QR รู้สึกเหมือนปลายทางที่เลือกโดยผู้พิมพ์ และ QR แบบ dynamic ที่กำหนดเส้นทางผ่าน shortener สามารถชี้ไปที่ปลายทาง phishing ได้หลังจากสินทรัพย์ที่พิมพ์แจกจ่ายออกไปแล้ว ดังนั้น QR ที่ปลอดภัยตอนพิมพ์อาจกลายเป็นอันตรายในเวลาหลายเดือน เครื่องมือสแกน link แบบ static ตอบคำถามว่า "URL นี้เป็นอันตรายตอนนี้ไหม" ไม่ใช่ "ใครสามารถเปลี่ยนปลายทางนี้ได้"

ฉันจะตรวจสอบความปลอดภัยของ QR code ก่อนสแกนได้อย่างไร?

อย่าชี้กล้องดั้งเดิมของโทรศัพท์ไปที่มัน นั่นจะเปิดปลายทางทันที แทนที่ ให้เปิด check.qr.abundera.ai บนโทรศัพท์ สแกน QR ผ่านกล้องในหน้าเว็บ (การถอดรหัสเกิดขึ้นในเครื่อง ภาพไม่ออกจากอุปกรณ์ของคุณ) และอ่านผลลัพธ์ เราเดิน redirect ทุก hop จำแนกว่าปลายทางสามารถควบคุมได้โดยบุคคลที่สามหลังจากพิมพ์ QR หรือไม่ และตรวจสอบชื่อเสียงกับ Google Safe Browsing และ aggregator อื่น ๆ ผลลัพธ์ ผ่านการตรวจสอบ เปิดได้อย่างปลอดภัย ผลลัพธ์ ระวัง และ ห้ามดำเนินการต่อ จะบอกเหตุผล

ตัวอย่าง quishing ในโลกจริงมีอะไรบ้าง?

สติ๊กเกอร์มิเตอร์จอดรถและเครื่องชาร์จ EV ที่ทับ QR จริงด้วย QR ที่ชี้ไปยังหน้าขโมยบัตรเครดิต ซึ่งเป็นรูปแบบที่รายงานมากที่สุดในปี 2024-2025 พบใน Austin, San Antonio และทั่ว UK QR เมนูร้านอาหารที่ถูกสลับเป็นหน้า phishing ข้ามคืนโดยผู้โจมตีที่เปลี่ยนที่ตั้งเมนู แผ่นพับการลงทะเบียน MFA ขององค์กรในห้องน้ำสำนักงานที่ดูเป็นทางการแต่ลงทะเบียนอุปกรณ์ของผู้โจมตี QR คำเชิญงานแต่งงานที่แจกจ่ายหลายเดือนก่อนงาน ซึ่งการ compromise บัญชี shortener ช่วยให้ผู้โจมตีชี้ไปยังการ์ดที่พิมพ์หลายพันใบใหม่ QR ชำระเงิน crypto ที่ terminal จุดขายทับด้วยที่อยู่กระเป๋าของผู้โจมตี เส้นด้ายร่วม: QR ที่พิมพ์ดูเหมือนกันกับของจริง

แตกต่างจาก Google Safe Browsing หรือ VirusTotal อย่างไร?

เครื่องมือที่มีอยู่จำแนกว่า URL เป็นอันตรายในปัจจุบันหรือไม่ เราเพิ่มเติมการจำแนกว่าปลายทางสามารถควบคุมได้โดยบุคคลที่สามหลังจากพิมพ์ QR หรือไม่ คุณสมบัติที่เราเรียกว่า mutability QR แบบ dynamic ที่สะอาดที่กำหนดเส้นทางผ่าน shortener ยังคงมีความเสี่ยงสูงสำหรับสติ๊กเกอร์มิเตอร์จอดรถหรือคำเชิญงานแต่งงาน ผู้ถือบัญชี shortener สามารถเปลี่ยนปลายทางได้ตลอดเวลา เราแสดง control-posture นี้เป็นฟิลด์ผลลัพธ์ระดับแรกควบคู่กับผลลัพธ์ threat-content

คุณเก็บ QR ที่ฉันสแกนไว้ไหม?

ไม่ payload ที่ถอดรหัสเดินทางไปยังเซิร์ฟเวอร์ของเราผ่าน HTTPS เพื่อให้เราสามารถเดินสายและ query ฐานข้อมูลชื่อเสียง นั่นเป็นความจำเป็นในการทำงาน ไม่ใช่ทางเลือก แต่ไม่มีการ persist ไว้ ผลลัพธ์ถูก cache ด้วย SHA-256 hash ของ discriminator ต่อ payload-type ต่อกับ secret salt ที่เก็บในเซิร์ฟเวอร์ ไม่สามารถสร้าง payload ต้นฉบับจาก cache entry ใด ๆ ขึ้นมาใหม่ได้

ทำไมต้องใช้ domain แยกจาก qr.abundera.ai?

qr.abundera.ai คือ generator ที่สัญญาว่าทุกอย่างทำงาน client-side ไม่มีอะไรออกจากอุปกรณ์ของคุณ ตัวตรวจสอบความปลอดภัยนี้ส่ง payload ที่ถอดรหัสไปยังเซิร์ฟเวอร์โดยจำเป็น เราแยกสองพื้นผิวออกจากกัน เพื่อให้คำสัญญา client-only ยังคงสะอาดบน generator domain และพื้นผิว privacy-model ที่กลับด้านอยู่ที่นี่อย่างชัดเจน

ฟีเจอร์แจ้งเตือนการเปลี่ยนแปลงคืออะไร?

Pro tier ส่ง QR เพื่อติดตาม และเราจะเดินสายอีกครั้งเป็นระยะ อีเมลเมื่อเป้าหมาย redirect ปลายทาง หรือชุดผู้ให้บริการ indirection เปลี่ยนแปลง นี่จับรูปแบบ quishing ที่พบในธรรมชาติที่พบบ่อยที่สุด พิมพ์ QR ที่สะอาด สลับปลายทางไปยัง phishing เดือนต่อมา เก็บเกี่ยว scan จากสินทรัพย์ที่พิมพ์

ฉันสามารถฝังสิ่งนี้ในผลิตภัณฑ์ด้านความปลอดภัยของฉันได้ไหม?

ใช่ ใน Pro tier API เป็นแบบ RESTful คืน verdict JSON มีโครงสร้างพร้อม payload-type, threat-class, mutability, redirect chain, การระบุ control ต่อ hop และผลลัพธ์ sub-payload ออกแบบสำหรับฝังใน wallet app, mobile security suite, enterprise URL filtering และ corporate Slack / Teams link-preview enricher

Open-source?

ยังไม่มีในขณะนี้ classifier เป็นแบบ closed-source ระหว่างที่งานสิทธิบัตรพื้นฐานอยู่ในขั้นตอนการดำเนินคดี เราอาจเผยแพร่การนำ algorithm ที่เปิดเผยไปใช้อ้างอิงหลังจากได้รับสิทธิ์ สัญญา API เป็นสาธารณะและเสถียร