پہلی پارٹی Abundera سائٹ کا براہ راست HTTPS لنک۔ کوئی شارٹنر نہیں، کوئی ریڈائریکٹ نہیں۔ بہترین نتیجہ: صاف جامد تبدیلپذیری اور کم منزلیسرورتبدیلپذیری فلور کے ساتھ۔
https://qr.abundera.ai/
Quishing محافظ · QR + URL + شارٹنر حفاظت
QR پر اس وقت تک اعتماد نہ کریں جب تک صاف نہ ہو۔
QR کوڈ ایک اجنبی کا دیا ہوا لفافہ ہے۔ یہی بات کسی بھی مختصر URL پر لاگو ہوتی ہے — bit.ly، t.co، یا DM میں لنک۔ بغیر جانچے کھولیں اور آپ اعتمادیکشی صفحے، کھلے WiFi ٹریپ، والیٹڈرینر ٹرانزیکشن، یا Android intent پر اتر سکتے ہیں جو میلویئر سائڈلوڈ کرتا ہے۔ ہم زنجیر ٹریس کرتے ہیں، منزل اسکرین کرتے ہیں، اور بتاتے ہیں کہ پرنٹ کے بعد اسے کون بدل سکتا ہے — وہ سوال جو طے کرتا ہے کہ پارکنگمیٹر اسٹیکر، بھیجا گیا مختصر URL، ریستوران مینو، یا کارپوریٹ MFA فلائیر واقعی محفوظ ہے یا نہیں۔
بغیر سائناپ، بغیر اکاؤنٹ پےلوڈ کبھی محفوظ نہیں کیمرا ڈیکوڈنگ مقامی رہتی ہے Mac، Windows، iOS، Android ایپس جلد
یہ ٹول شیئر کریں · یا واپسی کے لیے مختصر لنک محفوظ کریں
اپنے کیمرے سے QR کوڈ اسکین کریں، تصویر اپلوڈ کریں، تصویر پیسٹ کریں، یا ڈیکوڈ شدہ متن پیسٹ کریں۔
کیمرا اور تصویر ڈیکوڈنگ آپ کے براؤزر میں ہوتی ہے۔ صرف ڈیکوڈ شدہ متن ہمارے تجزیہ کار کو بھیجا جاتا ہے۔
اسکینر سیٹنگز
بہتر ڈیکوڈر ڈاؤنلوڈ ہو رہا ہے… 0%
اسکین تاریخ
صرف اس ڈیوائس پر محفوظ، کبھی ہمارے سرورز پر نہیں بھیجا گیا۔ آخری 25 اسکین، پرانے خودبخود حذف۔ Personal+ ٹیرز کے لیے کلاؤڈسنکڈ اسکین تاریخ (کراسڈیوائس، 30 دن) روڈمیپ پر ہے۔
عمل میں دیکھیں
"یہ اسکین آزمائیں" دبائیں اور یہاں چلائیں، یا اپنے فون کیمرے سے QR کوڈ اسکین کریں، یہ ہمارے اسکینر سے گزرتا ہے اور نتیجہ آپ کے فون پر آتا ہے۔ پہلے کچھ وزٹ کرنے کی ضرورت نہیں۔
ایک QR جو اپنی آخری منزل تک پہنچنے سے پہلے ہمارے اپنے شارٹنر سے گزرتا ہے۔ نتیجہ ظاہر کرتا ہے کہ پرنٹ کے بعد منزل کون بدل سکتا ہے — وہ تبدیلپذیری محور جو کوئی اور اسکینر نہیں دکھاتا۔
https://aqr.net/demo-walmart
ایک لنک جو آپ کے ملک سے مختلف ملک میں ریزالو ہونے کی ضمانت ہے (JS آپ کا خطہ دریافت کر کے ہدف بدلتا ہے)۔ فیہاپ ملکی چپ ظاہر کرتا ہے — سرحدیں پار کرنے والی زنجیر کسی ایک ہاپ سے زیادہ مضبوط اعتماد کا اشارہ ہے۔
https://www.bundestag.de/
Google یہ URL خاص طور پر Safe Browsing ٹیسٹ فکسچر کے طور پر رکھتا ہے۔ اسے Safe Browsing نے SOCIAL_ENGINEERING درجہ بند کیا ہے — کسی حقیقی فشنگ سائٹ سے لنک کیے بغیر ساکھ ایگریگیٹر اور نتیجہ اسکیلیشن کا مظاہرہ کرنے کے لیے مفید۔
https://testsafebrowsing.appspot.com/s/phishing.html
یہ کیسے کام کرتا ہے
- 1
ڈیکوڈ
آپ کا براؤزر QR مقامی طور پر ڈیکوڈ کرتا ہے (jsQR)۔ تصویر آپ کی ڈیوائس نہیں چھوڑتی۔ ہم صرف متنی پےلوڈ دیکھتے ہیں۔
- 2
ڈسپیچ
پےلوڈ URI اسکیم، منظمفارمیٹ سابقے، یا مواد ہیورسٹک کے ذریعے 48 تجزیاتی زمروں میں سے ایک میں درجہ بند ہوتا ہے جو مل کر 222 پےلوڈ اقسام پہچانتے ہیں: HTTP URL (درجنوں ہوسٹمخصوص پہچان والوں کے ساتھ)، WiFi، vCard، ٹیلیفونی، میل، Android intent، کرپٹوکرنسی، موادپتہشدہ، انلائن ڈیٹا، کیلنڈر، geo، Bluetooth پیئرنگ، Matter آنبورڈنگ، EMV تاجر ادائیگی (PIX، PayNow، PromptPay، UPI، اور 30+ ملکی اسکیمیں)، WireGuard کنفگ، Smart Health Card، eSIM ایکٹیویشن، WalletConnect پیئرنگ، FIDO پاسکی ہائبرڈ، سختبلاک اسکیم، یا سادہ متن۔
- 3
ٹریس + درجہ بندی
HTTP URLs کے لیے، ہم بالواسطہ سروسز (Bitly، Linktree، QR Tiger، اور ~80 دیگر) کے ذریعے ریڈائریکٹ زنجیر ٹریس کرتے ہیں، فیہاپ وسطی ریکارڈ کرتے ہیں، تبدیلپذیری درجہ بند کرتے ہیں (جامد / متحرکواحد / متحرکزنجیر / اشتہاربینی / گولائی)، اور ہر بالواسطہ سروس آپریٹر کو کنٹرول منسوب کرتے ہیں۔ ساتھ ساتھ Google Safe Browsing اور URLhaus کے خلاف منزل اسکرین کرتے ہیں۔
- 4
یکجا
ہم ایک واحد نتیجہ شکل تیار کرتے ہیں جو پےلوڈ اقسام میں ثابت ہے:
threat_class،mutability،chain،attribution،sub_payloads، سادہ زبانdisclosure۔ والدین میں شامل ذیلی پےلوڈز (vCard NOTE فیلڈ میں URLs، لنک والے SSIDs وغیرہ) بازگشتی طور پر ڈسپیچ ہوتے ہیں۔
صرفURL ٹولز جو چھوڑتے ہیں وہ ہم پکڑتے ہیں
URLکلاس خطرہ اسکینرز 48 پےلوڈ زمروں میں سے صرف ایک کا احاطہ کرتے ہیں جو QR لے جا سکتا ہے۔ ہم تمام 48 میں 222 پےلوڈ اقسام پہچانتے ہیں۔ ذیل میں ایک جھلک؛ مکمل فہرست اور Tier 2 روڈمیپ کوریج صفحے پر ہے۔
ریڈائریکٹ زنجیر اور تبدیلپذیری
ہر قدم کا پتہ لگائیں۔ Bitly + Linktree کی زنجیریں دریافت کریں۔ بالواسطہ سروس آپریٹرز کی شناخت کریں۔ ان فریقین کو سامنے لائیں جو پرنٹ کے بعد منزل بدل سکتے ہیں۔
WiFi کنفگ QR کوڈز
SSID + خفیہ نگاری تجزیہ اور معیاری کاری۔ کھلی / کمزور-WEP / پوشیدہ نیٹ ورک نشاندہی کیے گئے۔ مشابہ حروف کی ڈیکوڈنگ تاکہ ہمشکل SSIDs نتیجے میں ظاہر ہوں۔
کرپٹو والیٹ ڈرینرز
فیزنجیر پتہ فارمیٹ + چیکسم تصدیق۔ EVM فنکشن سلیکٹر دریافت (approve، setApprovalForAll، permit)۔ Chainabuse ساکھ۔
Matter سمارٹہوم کمیشننگ
MT: بیس38 آنبورڈنگ پےلوڈز ڈیکوڈ کریں۔ وینڈر ID + پروڈکٹ ID نکالیں۔ "یہ آپ کے گھریلو نیٹ ورک میں ایک ڈیوائس شامل کرتا ہے" کا فریم ظاہر کریں تاکہ بدلا گیا اسٹیکر خاموشی سے حملہ آور کے نیٹ ورک میں شامل نہ ہو۔
EMV تاجرQR ادائیگی تبادلہ
EMVCo MPM / CPM پےلوڈز تجزیہ (SGQR، PromptPay، PayNow، DuitNow، UPI)۔ CRC تصدیق + تاجر نام کی نمائش، اسٹیکرسوئیپ حملے کو پکڑتا ہے، جو عالمی سطح پر سب سے زیادہ حجم کا QR فراڈ ہے۔
QRلاگن اکاؤنٹ ہائیجیک
WhatsApp Web، Telegram، Signal، Microsoft 365، Google، GitHub اور AWS ڈیوائسکوڈ QR لاگان endpoints کی شناخت کریں۔ خبردار کریں کہ اسکین کرنے سے QR بنانے والے کو آپ کے اکاؤنٹ تک رسائی مل جاتی ہے۔
آج صاف QR، کل فشنگ صفحہ
ایک بار جب QR اسٹیکر، مینو، یا فلائیر پر پرنٹ ہو جاتا ہے تو آپ اسے انپرنٹ نہیں کر سکتے۔ اس لیے جو نتیجہ اہمیت رکھتا ہے وہ صرف "کیا لنک ابھی محفوظ ہے" نہیں، بلکہ "روشنائی سوکھنے کے بعد اسے کون تبدیل کر سکتا ہے" ہے۔ یہ تبدیلپذیری ہے۔
جامد QR
walmart.com براہ راست QR میٹرکس میں انکوڈ
منزل ڈاٹ پیٹرن میں موجود ہے۔ کوئی تیسرا فریق اسے تبدیل نہیں کر سکتا۔ آج جو اسکین کریں وہ ایک سال بعد بھی وہی رہے گا۔
متحرک QR (خطرہ)
aqr.net/demo-walmart ← کسی شارٹنر → walmart.com
QR ایک شارٹنر URL انکوڈ کرتا ہے؛ شارٹنر کا اکاؤنٹ ہولڈر اسکین کے وقت منزل چنتا ہے اور 30 سیکنڈ میں بدل سکتا ہے۔ آج صاف، کل فشنگ، اسی اسٹیکر کے ساتھ۔ ہم زنجیر دکھاتے ہیں، بالواسطہ سروس آپریٹر کی نشاندہی کرتے ہیں، اور بتاتے ہیں کہ پرنٹ شدہ اثاثہ قابو میں ہے یا نہیں۔
قیمتیں
ذاتی استعمال کے لیے مفت، بغیر سائناپ۔ افراد، خاندانوں، ٹیموں، برانڈز اور انٹرپرائز رولآؤٹس کے لیے ادا شدہ منصوبے۔
بانی رکن آپ کا ریٹ۔ مقفل۔ ہمیشہ کے لیے۔ ادا شدہ ٹیرز پر 34% بچائیں، سالانہ بلنگ، یکم ستمبر 2026 تک دستیاب۔
مقامی ایپس جلد آ رہی ہیں
وہی انجن، macOS، Windows، Linux، iOS اور Android پر مقامی۔ کیمرا اسکین ڈیوائس پر رہتا ہے؛ درجہ بندی اسی endpoint پر جاتی ہے۔ abundera.app →
سوالات
Quishing کیا ہے؟
Quishing یعنی QRکوڈ فشنگ: حملہ آور ایک QR کوڈ پرنٹ، اسٹیکر، ایمیل یا DM کرتا ہے جو اسکین ہونے پر ایک اعتمادیکشی صفحے، والیٹڈرینر ٹرانزیکشن، کھلے WiFi ٹریپ، یا Android intent پر لے جاتا ہے جو میلویئر سائڈلوڈ کرتا ہے۔ QR خود صرف ایک تصویر ہے، لہٰذا ایمیل لنک فلٹرز اور براؤزر وارننگز اسے نہیں دیکھتے جب تک کہ شکار کا فون منزل نہ کھول لے۔ دفاع اسکین کے وقت ہونا چاہیے، فون کے لنک فالو کرنے سے پہلے۔
Quishing عام فشنگ سے کیسے مختلف ہے؟
تین فرق۔ حملے کا ذریعہ جسمانی یا بصری ہے — پارکنگ میٹر QR پر اسٹیکر، MFA اندراج کا نقالی پرنٹ شدہ فلائیر، رات بھر میں بدلا گیا ریستوران مینو QR — اس لیے یہ ایمیل گیٹویز کو مکمل طور پر نظرانداز کرتا ہے۔ شکار QR کوڈز پر ایمیل لنکس سے زیادہ اعتماد کرتے ہیں۔ اور متحرک QR جو شارٹنر سے گزرتے ہیں، پرنٹ شدہ اثاثے کی تقسیم کے بعد فشنگ منزل پر دوبارہ نشانہ لگائے جا سکتے ہیں — اس لیے پرنٹ کے وقت محفوظ QR مہینوں بعد نقصاندہ ہو سکتا ہے۔
اسکین سے پہلے QR کوڈ کی حفاظت کیسے جانچوں؟
اپنے فون کے مقامی کیمرے سے نشانہ نہ لگائیں، یہ فوراً منزل کھولتا ہے۔ بجائے اس کے، اپنے فون پر check.qr.abundera.ai کھولیں، صفحے کے اندر کیمرے سے QR اسکین کریں (ڈیکوڈنگ مقامی طور پر ہوتی ہے؛ تصویر آپ کی ڈیوائس نہیں چھوڑتی)، اور نتیجہ پڑھیں۔ ہم ہر ریڈائریکٹ ہاپ چلتے ہیں، درجہ بندی کرتے ہیں کہ منزل کوئی تیسرا فریق قابو کر سکتا ہے یا نہیں، اور ساکھ جانچتے ہیں۔ صاف نتائج کھولنے کے لیے محفوظ ہیں؛ احتیاط اور آگے نہ بڑھیں نتائج وجہ بتاتے ہیں۔
حقیقی دنیا کے Quishing کے مثالیں کیا ہیں؟
پارکنگ میٹر اور EV چارجر اسٹیکرز جو قانونی QR پر کریڈٹ کارڈ ہارویسٹنگ صفحے والا اسٹیکر لگاتے ہیں — 2024-2025 کا سب سے زیادہ رپورٹ کیا جانے والا پیٹرن، آسٹن، سان انتونیو اور UK بھر میں۔ ریستوران مینو QRs رات بھر میں فشنگ صفحوں پر بدلے گئے۔ دفتری باتھ رومز میں کارپوریٹ MFA اندراج فلائیرز جو سرکاری لگتے ہیں لیکن حملہ آور کی ڈیوائس داخل کرتے ہیں۔ شادی دعوت نامہ QRs جو مہینوں پہلے تقسیم ہوئے، جہاں شارٹنر اکاؤنٹ سمجھوتہ ہزاروں پرنٹ شدہ کارڈز کو دوبارہ نشانہ لگا سکتا ہے۔ نقطہ فروخت ٹرمینل پر کرپٹو ادائیگی QRs جو حملہ آور کے والیٹ پتے پر لگائے گئے۔
یہ Google Safe Browsing یا VirusTotal سے کیسے مختلف ہے؟
موجودہ ٹولز درجہ بندی کرتے ہیں کہ URL ابھی نقصاندہ ہے یا نہیں۔ ہم اضافی طور پر درجہ بندی کرتے ہیں کہ آیا منزل کوئی تیسرا فریق پرنٹ کے بعد قابو کر سکتا ہے — ایک خاصیت جسے ہم تبدیلپذیری کہتے ہیں۔ شارٹنر سے گزرنے والا صاف متحرک QR پھر بھی پارکنگ میٹر اسٹیکر یا شادی دعوت نامے کے لیے اعلی خطرے پر ہے: شارٹنر اکاؤنٹ ہولڈر کسی بھی وقت منزل بدل سکتا ہے۔
کیا آپ میرا اسکین شدہ QR محفوظ کرتے ہیں؟
نہیں۔ ڈیکوڈ شدہ پےلوڈ ہمارے سرور پر HTTPS کے ذریعے جاتا ہے تاکہ ہم زنجیر چل سکیں اور ساکھ ڈیٹا بیس سے استفسار کر سکیں — یہ ایک فنکشنل ضرورت ہے، کوئی انتخاب نہیں، لیکن اسے کبھی محفوظ نہیں کیا جاتا۔ نتائج SHA-256 ہیش سے کیشڈ ہوتے ہیں جو فیپےلوڈقسم ڈسکریمینیٹر + سرورمحفوظ خفیہ نمک سے بنتا ہے۔ اصل پےلوڈ کسی کیش انٹری سے دوبارہ نہیں بن سکتا۔
qr.abundera.ai سے الگ ڈومین کیوں؟
qr.abundera.ai ایک جنریٹر ہے جو ہر چیز کلائنٹسائیڈ کا وعدہ کرتا ہے: کچھ بھی آپ کی ڈیوائس نہیں چھوڑتا۔ یہ سیفٹی چیکر ضرورتاً ڈیکوڈ شدہ پےلوڈ سرور پر بھیجتا ہے۔ ہم دونوں سطحیں الگ رکھتے ہیں تاکہ جنریٹر ڈومین پر کلائنٹاونلی وعدہ صاف رہے، اور الٹاپرائیویسیماڈل سطح یہاں واضح طور پر لیبل شدہ رہے۔
تبدیلی الرٹ فیچر کیا ہے؟
Pro ٹیر۔ ٹریکنگ کے لیے QR جمع کریں، اور ہم وقفے وقفے سے زنجیر دوبارہ چلاتے ہیں۔ ایمیل جب ریڈائریکٹ اہداف، آخری منزل، یا بالواسطہ سروس آپریٹرز کا سیٹ بدلے۔ یہ سب سے عام فطریQuishing پیٹرن پکڑتا ہے: صاف QR پرنٹ کریں، مہینوں بعد منزل فشنگ پر بدلیں، پرنٹ شدہ اثاثے سے اسکین کاٹیں۔
کیا میں اسے اپنے سیکیورٹی پروڈکٹ میں شامل کر سکتا ہوں؟
ہاں، Pro ٹیر پر۔ API RESTful ہے، ایک منظم JSON نتیجہ واپس کرتا ہے جس میں پےلوڈقسم، خطرہکلاس، تبدیلپذیری، ریڈائریکٹ زنجیر، فیہاپ کنٹرول انتساب، اور ذیلی پےلوڈ نتائج ہیں۔ والیٹ ایپس، موبائل سیکیورٹی سوئٹس، انٹرپرائز URL فلٹرنگ، اور کارپوریٹ Slack / Teams لنکپریویو انرچرز میں شامل کرنے کے لیے ڈیزائن کیا گیا۔
اوپنسورس؟
ابھی نہیں۔ درجہ بندی کنندہ قریبی پیٹنٹ کارروائی کے دوران بند مصدر ہے۔ اجازت کے بعد ظاہر الگورتھم کے حوالہ نفاذ شائع کر سکتے ہیں۔ API معاہدہ عوامی اور مستحکم ہے۔