What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Saha rehberi

2026'da dikkat edilmesi gereken QR kodu dolandırıcılıkları

Bir QR kodu, yalnızca kodlanmış bir dizedir. Tehlike format değil; dizenin telefonunuza ne yapmasını söylediği ve genellikle okumadan taramanızdır. İşte şu an yaşanan on saldırı, her birinin gerçekte nasıl göründüğü ve dokunmadan önce nasıl fark edeceğiniz.

Şimdi bir QR kontrol edin → Kodu çözdüğümüz QR standartları →

1. Otopark saatleri, menüler ve EV şarj cihazlarında etiket takası

Nasıl görünür: Otopark saatine, restoran menüsüne, EV şarj istasyonuna veya self-servis kasaya yerleştirilen küçük bir yapışkan etiket, meşru QR'nin üstüne düzgünce yapıştırılmış. Etiket QR, gerçek görünümle aynıdır. Tarayın ve şehrin ya da restoranın sitesi gibi görünen bir ödeme sayfasına ulaşırsınız. Ödeyin, para saldırgana gider. Birkaç büyük ABD şehri bunu 2023-2024'te yaşadı (San Antonio, Austin, Houston); EV şarj cihazı etiketleri 2024-2025'te patladı.

Nasıl anlaşılır: QR'ye bakın. Doğrudan yüzeye mi yazdırılmış (oyulmuş, boyalı, laminat altına gömülmüş)? Yoksa etiket mi? Bir kenarına tırnağınızı sürün; kalkarsa etikettir. Gerçek otopark saati ve EV şarj cihazı QR'leri neredeyse her zaman kalıcıdır. Menüler için, hangi ödeme sayfasının gerçek olduğunu servise sorun; meşru operatörler bunu onaylamaktan memnuniyet duyar. Ve ödeme yapmadan önce QR'yi tarayıcımıza bırakın; kodu çözülen hedef ele verir.

Daha fazla bilgi: EMVCo satıcı ödeme QR'leri →

2. Havalimanları, oteller ve konferans merkezlerinde ikiz Wi-Fi

Nasıl görünür: Ücretsiz Wi-Fi'yi tanıtan basılı bir kart veya etiket: “Airport_Free_WiFi”, “Starbucks_Guest_2”, “ConferenceGuest”. QR'yi tarayın, telefonunuz ağa katılır, internetiniz olur. Ama ağ, aynı odada çalışan bir saldırganın telefon hotspot'udur. Trafiğinizi gerçek internete proxy'lerler, bu nedenle hiçbir şey bozuk görünmez ama DNS sorgularını, SNI hostname'lerini, HTTP geri dönüş trafiğini görürler ve kimlik bilgisi isteyen sahte captive portal'lar sunabilirler.

Nasıl anlaşılır: SSID'nin mekanın resmi olarak yayınladığıyla eşleştiğini doğrulayın. Havalimanları misafir Wi-Fi adlarını resmi web sitesinde listeler; oteller ön büfede listeler. Benzer adlar (ekstra karakter, değiştirilmiş harf, "Free" eklenmiş) saldırı imzasıdır. Tarayıcımız, benzer SSID'leri yüksek taklit marka adları listesiyle karşılaştırarak işaretler. Şüpheniz varsa, yalnızca mobil veri kullanın.

Daha fazla bilgi: Wi-Fi kimlik bilgisi QR'leri →

3. Geçiş anahtarı-QR kimlik avı

Nasıl görünür: Masaüstünde bir siteye giriş yapıyorsunuz. Site, telefonunuzun geçiş anahtarını eşleştirmek için bir QR gösteriyor. Sizi yanlış siteye yönlendirmeyi başaran bir saldırgan size kendi QR'sini gösterir; geçiş anahtarınızı gerçek sitedeki KENDİ aktif girişlerine eşler. Artık hesabınıza giriş yapmışlardır. Geçiş anahtarı QR'lerinin arkasındaki standart olan CTAP 2.2 hibrit taşıması kriptografik olarak güçlüdür; saldırı tamamen insan tarafındadır: sizi gerçekten düşündüğünüz site olmayan bir ekrandan QR taramanıza kandırmak.

Nasıl anlaşılır: Bir geçiş anahtarı QR'si taramadan önce, tarayıcı adres çubuğundaki sayfanın URL'sini doğrulayın. Kimlik avı siteleri genellikle yazım hatası (ekstra kısa çizgi, değiştirilmiş harf, .com yerine .co) kullanır. Geçiş anahtarı QR'nin kendisi sorunsuz; soru, onu gösteren sayfanın gerçek olup olmadığıdır. Ayrıca: geçiş anahtarı QR'leri kısa ömürlüdür (genellikle bir dakikadan az); statik bir yardım masası sayfasında saatlerce duran bir QR şüphelidir.

Daha fazla bilgi: FIDO2 geçiş anahtarı QR'leri →

4. Kimlik doğrulayıcı dışa aktarım hırsızlığı

Nasıl görünür: Biri "hızlı bir fotoğraf için" kilidi açık telefonunuzu ödünç alır. Google Authenticator'ı açar, Hesapları Aktar → Dışa Aktar'a dokunur, bir QR oluşturur ve kendi telefonuyla fotoğraflar. Sonra sizinkini geri verir. O QR, her kimlik doğrulayıcı tohumunu (Google, AWS, GitHub, bankanız, kripto borsanız) base64 kodlu bir protobuf olarak içerir. Artık her hesap için, siz her birini sıfırlayana kadar sonsuza kadar 6 haneli kodlarınızı üretebilirler.

Nasıl anlaşılır: Savunma QR'yi fark etmek değil, hiç oluşturulmamasını sağlamak. Kilidi açık bir telefonu teslim etmeyin. Bir şeyi paylaşmanız gerekiyorsa, kendiniz yapın. Ayrıca: çoğu kimlik doğrulayıcı uygulaması artık dışa aktarma akışında biyometrik kilid açma gerektirir, ancak Google'ınki 2023 sonlarına kadar gerektirmiyordu ve eski telefonlar hâlâ atlayabilir. Bunun yaşandığından şüpheleniyorsanız, tam ihlal olarak değerlendirin; kimlik doğrulayıcınızdaki her hesapta 2FA'yı sıfırlayın.

Daha fazla bilgi: otpauth-migration QR'leri →

5. Biniş kartı fotoğrafı paylaşımı

Nasıl görünür: Bir yolcu, biniş kartının fotoğrafını Instagram veya LinkedIn'de paylaşır: "Tokyo'ya gidiyorum!" Karttaki PDF417 barkod (veya QR), havayolu rezervasyon referansını (PNR) ve bilet numarasını düz metin olarak kodlar. Fotoğrafı ekran görüntüsü alan bir saldırgan barkodu çözer, havayolunun sitesinde rezervasyona bakar (PNR + soyadı genellikle yeterlidir) ve seyahati iptal edebilir, koltuğu değiştirebilir, tam güzergahı görebilir ya da para iadesi akışlarını tetikleyebilir.

Nasıl anlaşılır: Biniş kartı fotoğrafı paylaşmayın. Paylaşmanız gerekiyorsa, barkodu VE rezervasyon referansını (genellikle bir yerde 6 karakterli alfanümerik kod olarak yazdırılır) bulanıklaştırın veya kırpın. QR/barkod, herhangi bir telefon ekran görüntüsünden makine tarafından okunabildiği için mükemmel bir saldırı hedefidir.

Daha fazla bilgi: IATA BCBP biniş kartı QR'leri →

6. Sürücü belgesi barkod hasadı

Nasıl görünür: Bir bar, kulüp, vape dükkanı, dispanser veya yaş kısıtlamalı perakendeci, "yaşınızı kontrol etmek" için sürücü belgenizin arkasındaki PDF417 barkodu tarar. O barkod, lisanstaki HER özniteliği düz metin olarak kodlar: ad, adres, doğum tarihi, lisans numarası, boy, kilo, göz rengi. Bazı operatörler bu verileri saklar, pazarlama toplayıcılarına satar ya da ihlallerinde çalınır. Gerçek bir kapı görevlisinin bilmesi gereken tek şey: yasal yaşta mısınız. Adresinize gerek yoktur.

Nasıl anlaşılır: Neyin tarandığını ve neden sorduğunu sorun. Bazı mekanlar yalnızca yaşı doğrulaması gerektirir; diğerleri (bazı yargı bölgelerindeki büyük kulüpler) yasal olarak verileri saklamak zorundadır. Mekan küçük ve gayri resmiyse itiraz edin. Mobil sürücü belgeniz varsa kullanın; mDL'ler seçici açıklama destekler (bar, doğum tarihinizi görmeden yalnızca "21 üstü? evet/hayır" diye sorabilir).

Daha fazla bilgi: AAMVA sürücü belgesi PDF417 →

7. NFT etkinliklerinde ve fiziksel sanatta kripto boşaltıcı QR'ler

Nasıl görünür: Bir NFT buluşmasındaki, galeri açılışındaki, konferans standındaki veya fiziksel sanatın içine basılmış bir QR, size ücretsiz bir NFT basmayı veya bir airdrop talep etmeyi vaat eder. Tarayın; QR bir WalletConnect oturumu veya cüzdan uygulamanıza derin bir bağlantı açar ve bir işlem imzalamanız istenir. İşlem, cüzdanınızdaki her token'ı boşaltmak için kötü amaçlı bir sözleşmeyi onaylar. Boşaltma kitleri hazır yazılımdır; QR yalnızca dağıtım mekanizmasıdır.

Nasıl anlaşılır: İmzalamadan önce cüzdanınızdaki işlem istemine okuyun. Tanımadığınız bir sözleşme için token onayı istiyorsa (özellikle setApprovalForAll veya sınırsız approve harcaması), reddedin. Rastgele standlardaki ücretsiz-NFT-talep QR'leri riski almaya değmez. Gerçek varlıklarınızı hiçbir zaman QR oturumlarına bağlamadığınız bir cüzdanda tutun; yüz yüze etkileşimler için minimal bakiyeli ayrı bir "sıcak" cüzdan kullanın.

8. Hayır kurumu / bağış QR'sinin üzerine etiket

Nasıl görünür: Gerçek bir hayır kurumuna ait bir afiş, halka açık bir alanda asılıdır. Bir saldırgan, bağış QR'sini kontrol ettiği bir cüzdana ya da sahte bir bağış sayfasına yönlendiren kendi etiketiyle kapatır. Bağışlar saldırgana gider. Bu, en çok doğal afetler ve büyük haber olayları etrafında yaygındır; meşru hayır kurumu yoğun biçimde duyuruyorken saldırgan buna ortak olur.

Nasıl anlaşılır: #1 ile aynı: QR, basılı versiyonun üzerine bir etiket mi, yoksa orijinal baskının parçası mı? Ayrıca, hayır kurumunun URL'sini kendiniz tarayıcınıza yazarak bağış yapın ya da hayır kurumunun resmi uygulamasını kullanın. QR kodları uygun olsa da güven zinciri değildir.

9. Sahte ürün pasaportu QR

Nasıl görünür: Bir tekstil, pil, elektronik cihaz veya mobilya üzerindeki bir QR, ürünün AB Dijital Ürün Pasaportu (2027-2030 arasında yürürlüğe girecek ESPR gereksinimi) olduğunu iddia eder. Tarayın; şık bir web sayfası size ürünün provansını, geri dönüştürülmüş içeriğini, sürdürülebilirlik iddialarını gösterir. Hiçbiri gerçek değildir; sahte ürünün üreticisi yalnızca genel bir DPP temalı açılış sayfası için ödeme yapmıştır. DPP yaygınlaştıkça bu ölçeklenecektir: düzenleyiciler hâlâ özgünlüğü sabitleyen AB kaydını oluşturuyor.

Nasıl anlaşılır: DPP'deki ihraçcı alanının kayıtlı bir AB ekonomik operatörüne çözümlenip çözümlenmediğini kontrol edin. AB Komisyonu, 2026 ortası itibarıyla konsolide kayıt defterini henüz yayınlamamıştır; o zamana kadar DPP iddialarını doğrulanmış değil, tavsiye niteliğinde değerlendirin. Tarayıcımız, bu aramayı yapabilmeniz için ihraçcı alanını ve DPP sunucu URL'sini çıkarır.

Daha fazla bilgi: AB Dijital Ürün Pasaportu →

10. Çok fazla bilgi isteyen düşmanca mDL doğrulayıcı

Nasıl görünür: Bir bar veya perakende satış sayacında mobil sürücü belgenizi (mDL) sunuyorsunuz. Doğrulama uygulamaları, işlem yalnızca yaş doğrulaması gerektirirken tam ad, tam doğum tarihi, lisans numarası, adres VE fotoğrafınızı istiyor. Alışkanlıkla onaylıyorsunuz. Artık küçük bir işletmenin dosyasında tam kimliğiniz var; ne kadar süre saklandığı ve kime satıldığı belirsiz. Standart, cüzdanın istek listesini size göstermesini gerektirir ama toplu açıklamaları onaylamanızı engellemez.

Nasıl anlaşılır: İstek istemine okuyun. Doğrulayıcı işlemin gerektirdiğinden fazlasını istiyorsa (adresinizi soran bir bar, lisans numaranızı isteyen bir perakende kasiyeri), reddedip minimal versiyonu (yalnızca age_over_21) isteyin. Reddederlerse bir politika kararı vermeniz gerekir: gerekenden fazlasını verin ya da ayrılın. Standart sizin tarafınızda; doğrulayıcı tarafı ekosistemi henüz düzenlenmemiş.

Daha fazla bilgi: Mobil sürücü belgesi (ISO 18013-5) →

Zaten kötü bir şey taradıysanız ne yapmalısınız

Ödeme sitesi: Kart bilgilerini girdiyseniz, işlemi işaretlemek ve kartı yeniden düzenlemek için hemen bankanızla iletişime geçin. Tahsilatın tamamlanmasını beklemeyin.
Wi-Fi: Ağı telefonunuzda unutun. Son kullanılan uygulamalarda kimlik bilgisi isteyen istemleri hızlıca kontrol edin. Bağlıyken kullandığınız her şeyin, özellikle HTTP'ye geri düşen her şeyin şifrelerini değiştirin.
Geçiş anahtarı: Etkilenen hesaba giriş yapın, güvenlik ayarlarına gidin, aktif geçiş anahtarlarını listeleyin, tanımadığınız her şeyi kaldırın. Site izin veriyorsa şifrenizi de sıfırlayın.
Kimlik doğrulayıcı dışa aktarımı: Bunu tam bir ihlal olarak değerlendirin. Kimlik doğrulayıcıdaki her hesapta 2FA'yı sıfırlayın. Yüksek değerli olanlardan başlayın (banka, e-posta, kripto borsası, GitHub, AWS).
Yayınlanan biniş kartı: Havayoluyla iletişime geçin, mümkünse rezervasyon referansını değiştirin ve birinin rezervasyonu değiştirip değiştirmediğini fark etmek için uçuş durumu uyarısı kurun.
İmzalanan kripto boşaltıcı: Kalan varlıkları hemen yeni bir cüzdana taşıyın. Kullandığınız her zincirdeki sözleşme onaylarını iptal edin (revoke.cash ve benzer araçlar çoğu zinciri destekler). Boşaltılan token'lar genellikle kurtarılamaz.

Taramadan önce kontrol edin

Herhangi bir QR'yi (görüntü, yapıştır veya kamera) tarayıcımıza bırakın. Kodu çözülmüş yükü, bir URL ise yeniden yönlendirme zincirini, ilerleyen süreçte hedefi kimin değiştirebileceğini ve itibar işaretlerini göreceksiniz. Karar sizin; bilgi siz harekete geçmeden önce ekranda.

Tarayıcıyı aç →