What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

คู่มือภาคสนาม

การโกงผ่าน QR code ที่ต้องระวังในปี 2026

QR code คือสตริงที่เข้ารหัสแล้ว อันตรายไม่ได้อยู่ที่รูปแบบ แต่อยู่ที่สิ่งที่ payload ชี้ไป นี่คือการโจมตีในโลกจริงที่เกิดขึ้นบ่อยและวิธีตรวจสอบก่อนที่คุณจะสแกน

ตรวจสอบ QR ตอนนี้ → มาตรฐาน QR ที่เราถอดรหัสได้ →

1. การสับเปลี่ยนสติกเกอร์บนมิเตอร์จอดรถ, เมนู และตู้ชาร์จรถยนต์ไฟฟ้า

มันดูเป็นอย่างไร: สติกเกอร์เล็ก ๆ ทับ QR ที่พิมพ์ไว้บนมิเตอร์จอดรถ, เมนูร้านอาหาร หรือตู้ชาร์จรถยนต์ไฟฟ้า

วิธีสังเกต: ดู QR นั้น ถ้ามันเป็นสติกเกอร์ ลอกออกและดูว่ามี QR อื่นอยู่ข้างใต้ไหม

อ่านเพิ่มเติม: QR ชำระเงิน EMVCo สำหรับร้านค้า →

2. Evil-twin Wi-Fi ที่สนามบิน, โรงแรม และศูนย์การประชุม

มันดูเป็นอย่างไร: การ์ดหรือสติกเกอร์ที่พิมพ์ไว้ที่สนามบิน, โรงแรม หรือสถานที่จัดงาน

วิธีสังเกต: ตรวจสอบว่า SSID ตรงกับสิ่งที่พนักงานยืนยัน เครือข่ายที่ถูกต้องจะไม่ขอรายละเอียดบัญชีหลังการเชื่อมต่อ

อ่านเพิ่มเติม: QR ข้อมูลรหัสผ่าน Wi-Fi →

3. ฟิชชิ่ง passkey-QR

มันดูเป็นอย่างไร: คุณกำลังเข้าสู่ระบบบริการที่รองรับ passkey บนคอมพิวเตอร์สาธารณะและเห็น QR สำหรับสแกนด้วยโทรศัพท์

วิธีสังเกต: ก่อนสแกน QR passkey ให้ตรวจสอบว่าโดเมนตรงกับบริการที่คุณตั้งใจจะเข้าสู่ระบบ

อ่านเพิ่มเติม: QR passkey FIDO2 →

4. การขโมยข้อมูลส่งออก authenticator

มันดูเป็นอย่างไร: มีคนยืมโทรศัพท์ที่ปลดล็อกของคุณและเปิด app authenticator ของคุณ

วิธีสังเกต: การป้องกันไม่ใช่การสังเกตเห็น มันคือการล็อก app authenticator ด้วย biometric แยกต่างหาก

อ่านเพิ่มเติม: QR otpauth-migration →

5. การโพสต์ภาพ boarding pass

มันดูเป็นอย่างไร: นักเดินทางโพสต์ภาพถ่ายของ boarding pass บนโซเชียลมีเดีย

วิธีสังเกต: อย่าโพสต์ภาพถ่ายของ boarding pass ที่ยังมีบาร์โค้ดบนโซเชียลมีเดีย

อ่านเพิ่มเติม: QR boarding pass IATA BCBP →

6. การเก็บเกี่ยวบาร์โค้ดใบอนุญาตขับขี่

มันดูเป็นอย่างไร: บาร์ คลับ ร้านขายบุหรี่ไฟฟ้า หรือร้านค้าอื่น ๆ สแกนด้านหลังของใบอนุญาตขับขี่ของคุณ

วิธีสังเกต: ถามว่าสแกนอะไรและทำไม บางสถานที่ต้องการแค่ยืนยันอายุเท่านั้น บางแห่ง (คลับขนาดใหญ่ในบางเขตอำนาจ) มีข้อกำหนดทางกฎหมายให้เก็บข้อมูล ปฏิเสธหากสถานที่นั้นเล็กและไม่เป็นทางการ หากคุณมี ใบขับขี่ดิจิทัล ให้ใช้มันแทน เพราะ mDL รองรับการเปิดเผยข้อมูลเฉพาะส่วน (บาร์สามารถถามแค่ "อายุเกิน 21? ใช่/ไม่" โดยไม่เห็นวันเกิดของคุณ)

อ่านเพิ่มเติม: บาร์โค้ด PDF417 ใบอนุญาตขับขี่ AAMVA →

7. QR drainer crypto ในงาน NFT และงานศิลปะกายภาพ

มันดูเป็นอย่างไร: QR ในงาน NFT, crypto meetup หรือบนงานศิลปะกายภาพที่เชื่อมกับ wallet

วิธีสังเกต: อ่านคำแจ้งธุรกรรมในกระเป๋าเงินของคุณก่อนลงนาม หากขอการอนุมัติ token (โดยเฉพาะ setApprovalForAll หรือการอนุมัติ approve แบบไม่จำกัด) สำหรับสัญญาที่คุณไม่รู้จัก ให้ปฏิเสธ QR สำหรับรับ NFT ฟรีที่บูธแบบสุ่มไม่คุ้มกับความเสี่ยง ใช้กระเป๋า "hot" แยกต่างหากที่มียอดน้อยสำหรับการโต้ตอบแบบพบหน้า และเก็บทรัพย์สินจริงในกระเป๋าที่คุณไม่เคยเชื่อมต่อกับ QR session

8. สติกเกอร์ทับ QR ของการกุศล / การบริจาค

มันดูเป็นอย่างไร: ใบปลิวสำหรับองค์กรการกุศลจริง ๆ หรือกล่องบริจาคที่มี QR ที่ถูกเปลี่ยน

วิธีสังเกต: เหมือนกับ #1 QR นั้นเป็นสติกเกอร์ไหม? ผู้รับการบริจาคที่ถูกต้องจะลงทะเบียนชื่อเสียง

9. QR passport ผลิตภัณฑ์ปลอม

ลักษณะที่ปรากฏ: QR บนสิ่งทอ แบตเตอรี่ อุปกรณ์อิเล็กทรอนิกส์ หรือเฟอร์นิเจอร์อ้างว่าเป็น EU Digital Product Passport ของผลิตภัณฑ์ (ข้อกำหนด ESPR ที่จะใช้งานระหว่างปี 2027-2030) เมื่อสแกนแล้ว หน้าเว็บที่สวยงามจะแสดงแหล่งที่มาของผลิตภัณฑ์ เนื้อหารีไซเคิล และข้อกล่าวอ้างด้านความยั่งยืน ซึ่งล้วนเป็นของปลอม เพราะผู้ผลิตสินค้าเลียนแบบเพียงแค่จ่ายเงินสำหรับหน้า landing page ที่ออกแบบให้ดูเหมือน DPP เมื่อ DPP ขยายตัว คาดว่าปัญหานี้จะเพิ่มขึ้น เพราะหน่วยงานกำกับดูแลยังคงสร้าง EU registry ที่ใช้รับรองความถูกต้องอยู่

วิธีสังเกต: ตรวจสอบว่า URL ของผู้ออกตรงกับโดเมนแบรนด์อย่างเป็นทางการ DPP ปลอมมักนำไปสู่แบบฟอร์มการรับประกันที่เก็บข้อมูลส่วนตัวของคุณ

อ่านเพิ่มเติม: EU Digital Product Passport →

10. ผู้ตรวจสอบ mDL ที่ขอข้อมูลมากเกินไป

มันดูเป็นอย่างไร: คุณแสดงใบอนุญาตขับขี่บนโทรศัพท์ที่จุดตรวจสอบ และ app ของผู้ตรวจสอบขอมากกว่าที่คาดไว้

วิธีสังเกต: อ่าน prompt คำขอ ถ้า app ขอวันเกิดและที่อยู่เพื่อตรวจสอบว่าอายุเกิน 18 นั่นเป็นสัญญาณเตือน

อ่านเพิ่มเติม: Mobile driver license (ISO 18013-5) →

จะทำอย่างไรถ้าคุณสแกนสิ่งที่ไม่ดีไปแล้ว

เว็บไซต์ชำระเงิน: หากคุณป้อนรายละเอียดบัตร ให้ล็อกบัตรและแจ้งธนาคารทันที ตรวจสอบรายการผิดปกติ
Wi-Fi: ลืมเครือข่ายบนโทรศัพท์ของคุณ รีบูตเราเตอร์บ้านถ้าคุณอยู่ที่บ้าน สแกนหา malware
Passkey: เข้าสู่ระบบบัญชีที่ได้รับผลกระทบ ไปที่การตั้งค่าความปลอดภัย และลบอุปกรณ์ที่ไม่รู้จักออก
การส่งออก Authenticator: ถือว่านี่คือการโอนบัญชีทั้งหมด เพิกถอน 2FA บนทุกบัญชีที่ถูกนำออก แล้วตั้งค่าใหม่
โพสต์ boarding pass: ติดต่อสายการบิน ขอเปลี่ยน PNR locator และตรวจสอบว่าไม่มีการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต
Crypto drainer ลงนามแล้ว: ย้าย asset ที่เหลือออกจาก wallet นั้นทันที รายงานที่อยู่ที่ ChainAbuse

ตรวจสอบก่อนสแกน

ลาก QR ใด ๆ (ภาพ, วาง หรือกล้อง) ลงใน scanner ของเรา คุณจะได้รับผลตัดสินภายในไม่กี่วินาที

เปิด scanner →