What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

فیلڈ گائیڈ

2026 میں دیکھنے کے لیے QR کوڈ گھوٹالے

QR کوڈ صرف ایک encoded string ہے۔ خطرہ فارمیٹ میں نہیں ہے، یہ اس بات میں ہے کہ string آپ کے فون کو کیا کرنے کو کہتی ہے، اور یہ کہ آپ عام طور پر بغیر پڑھے اسکین کر لیتے ہیں۔ یہ ہیں دس حملے جو ابھی ہو رہے ہیں، ہر ایک کیسا دکھتا ہے، اور اسے tap کرنے سے پہلے کیسے پکڑیں۔

ابھی QR چیک کریں ← QR standards جو ہم ڈیکوڈ کرتے ہیں ←

1. پارکنگ میٹرز، menus، اور EV chargers پر Sticker swap

کیسا دکھتا ہے: ایک چھوٹا چپکنے والا sticker پارکنگ میٹر، ریستوران مینو، EV چارجنگ اسٹیشن، یا self-checkout terminal پر جائز QR کے اوپر لگایا جاتا ہے۔ sticker QR اصلی جیسا دکھتا ہے۔ اسے اسکین کریں اور آپ ایک payment page پر پہنچتے ہیں جو شہر یا ریستوران کی لگتی ہے۔ ادائیگی کریں، اور پیسہ حملہ آور کو جاتا ہے۔ کئی بڑے US شہروں کو 2023-2024 میں یہ مسئلہ آیا (San Antonio، Austin، Houston)؛ EV-charger stickers 2024-2025 میں پھیل گئے۔

کیسے پکڑیں: QR کو دیکھیں۔ کیا یہ surface پر براہ راست پرنٹ ہے (engraved، painted، laminate کے نیچے)؟ یا یہ sticker ہے؟ کنارے پر ناخن چلائیں، اگر اٹھتا ہے تو sticker ہے۔ اصلی parking-meter اور EV-charger QRs تقریباً ہمیشہ permanent ہوتے ہیں۔ menus کے لیے، server سے پوچھیں کہ کون سا payment page اصلی ہے؛ جائز operators خوشی سے تصدیق کرتے ہیں۔ اور tap pay کرنے سے پہلے QR ہمارے سکینر میں ڈالیں، ڈیکوڈ شدہ destination ظاہر کرتا ہے۔

2. ہوائی اڈوں، ہوٹلوں، اور conference centres میں Evil-twin Wi-Fi

کیسا دکھتا ہے: مفت Wi-Fi کا اشتہار دیتا ایک پرنٹ شدہ کارڈ یا sticker: "Airport_Free_WiFi"، "Starbucks_Guest_2"، "ConferenceGuest"۔ QR اسکین کریں، آپ کا فون نیٹ ورک سے جڑتا ہے، آپ کے پاس انٹرنیٹ ہے۔ لیکن نیٹ ورک ایک حملہ آور کا phone hotspot ہے جو اسی کمرے میں چل رہا ہے۔ وہ آپ کے traffic کو اصلی انٹرنیٹ سے proxy کرتے ہیں تاکہ کچھ ٹوٹا محسوس نہ ہو، لیکن وہ DNS queries، SNI hostnames، کوئی بھی HTTP-fallback traffic دیکھتے ہیں، اور credentials مانگنے والے fake captive portals serve کر سکتے ہیں۔

کیسے پکڑیں: تصدیق کریں کہ SSID venue کی official post سے ملتا ہے۔ ہوائی اڈے اپنا guest Wi-Fi نام official ویب سائٹ پر فہرست کرتے ہیں؛ ہوٹل اسے front desk پر فہرست کرتے ہیں۔ Lookalike نام (اضافی حروف، بدلے ہوئے حروف، "Free" لگا ہوا) حملے کی علامت ہیں۔ ہمارا سکینر high-mimicry brand names کی فہرست کے خلاف lookalike SSIDs flag کرتا ہے۔ شک میں، صرف mobile data استعمال کریں۔

مزید پڑھیں: Wi-Fi credential QRs ←

3. Passkey-QR فشنگ

کیسا دکھتا ہے: آپ desktop پر کسی سائٹ میں سائن ان کر رہے ہیں۔ سائٹ آپ کے فون کا passkey pair کرنے کے لیے QR دکھاتی ہے۔ ایک حملہ آور جس نے آپ کو غلط سائٹ پر پہنچایا اپنا QR دکھاتا ہے، آپ کا passkey اصلی سائٹ پر ان کے فعال login سے pair کرتا ہے۔ وہ اب آپ کے account میں سائن ان ہیں۔ CTAP 2.2 hybrid transport (passkey QRs کے پیچھے معیار) cryptographically درست ہے؛ حملہ خالص انسانی طرف ہے، آپ کو ایسی اسکرین سے QR اسکین کروانا جو واقعی آپ کے خیال کی سائٹ نہیں۔

کیسے پکڑیں: passkey QR اسکین کرنے سے پہلے، اپنے براؤزر address bar میں page کا URL confirm کریں۔ phishing سائٹیں اکثر typosquat استعمال کرتی ہیں (اضافی hyphen، بدلے ہوئے حروف، .com کی بجائے .co)۔ passkey QR خود ٹھیک ہے؛ سوال یہ ہے کہ آیا اسے دکھانے والا page اصلی ہے۔ نیز: passkey QRs قلیل مدتی ہوتے ہیں (عام طور پر ایک منٹ سے کم)، گھنٹوں تک static help-desk page پر بیٹھا QR مشکوک ہے۔

مزید پڑھیں: FIDO2 passkey QRs ←

4. Authenticator export چوری

کیسا دکھتا ہے: کوئی آپ کا غیر مقفل فون "ایک فوری تصویر" کے لیے مانگتا ہے۔ وہ Google Authenticator کھولتا ہے، Transfer Accounts → Export tap کرتا ہے، QR بناتا ہے، اور اپنے فون سے تصویر لیتا ہے۔ پھر آپ کا فون واپس کرتا ہے۔ اس QR میں ہر authenticator seed (Google، AWS، GitHub، آپ کا بینک، آپ کا crypto exchange) protobuf میں base64-encoded موجود ہے۔ وہ اب ہر account کے لیے آپ کے 6-digit codes جنریٹ کر سکتے ہیں، ہمیشہ کے لیے، جب تک آپ ہر ایک reset نہیں کرتے۔

کیسے پکڑیں: دفاع QR پکڑنا نہیں ہے، یہ کبھی بھی اسے generate نہ ہونے دینا ہے۔ غیر مقفل فون نہ دیں۔ اگر آپ کو کچھ شیئر کرنا ہے تو خود کریں۔ نیز: زیادہ تر authenticator apps اب export flow پر biometric unlock مانگتے ہیں، لیکن Google کا 2023 کے اواخر تک نہیں کرتا تھا اور پرانے فونز اسے skip کر سکتے ہیں۔ اگر آپ کو شک ہے کہ یہ ہوا، تو اسے مکمل breach سمجھیں، authenticator میں موجود ہر account پر 2FA reset کریں۔

مزید پڑھیں: otpauth-migration QRs ←

5. Boarding-pass تصویر پوسٹنگ

کیسا دکھتا ہے: ایک مسافر Instagram یا LinkedIn پر اپنے boarding pass کی تصویر پوسٹ کرتا ہے، "Tokyo جا رہا ہوں!" pass پر PDF417 بارکوڈ (یا QR) airline booking reference (PNR) اور ticket number plaintext میں encode کرتا ہے۔ ایک حملہ آور جو تصویر screenshot کرتا ہے بارکوڈ ڈیکوڈ کرتا ہے، airline کی سائٹ پر booking دیکھتا ہے (PNR + last name عام طور پر کافی ہے)، اور سفر cancel کر سکتا ہے، seat تبدیل کر سکتا ہے، مکمل itinerary دیکھ سکتا ہے، یا refund flows trigger کر سکتا ہے۔

کیسے پکڑیں: boarding passes کی تصاویر پوسٹ نہ کریں۔ اگر کرنا ضروری ہو، تو بارکوڈ اور booking reference دونوں blur یا crop کریں (عام طور پر 6-character alphanumeric code کہیں پرنٹ ہوتا ہے)۔ QR/بارکوڈ ایک بہترین attack target ہے کیونکہ یہ کسی بھی فون screenshot سے machine-readable ہے۔

6. Driver-license بارکوڈ harvesting

کیسا دکھتا ہے: ایک بار، کلب، vape shop، dispensary، یا age-restricted retailer آپ کے driver's license کے پیچھے PDF417 بارکوڈ اسکین کرتا ہے "عمر جانچنے" کے لیے۔ وہ بارکوڈ license کی ہر صفت plaintext میں encode کرتا ہے، نام، پتہ، DOB، license number، قد، وزن، آنکھ کا رنگ۔ کچھ operators وہ data محفوظ رکھتے ہیں، marketing aggregators کو فروخت کرتے ہیں، یا انہیں breaches میں چوری کروا لیتے ہیں۔ ایک اصلی bouncer کو ایک چیز جاننی ہے: کیا آپ قانونی عمر کے ہیں۔ انہیں آپ کے پتے کی ضرورت نہیں۔

کیسے پکڑیں: پوچھیں کیا اسکین ہو رہا ہے اور کیوں۔ کچھ venues کو صرف عمر کی تصدیق کی ضرورت ہے؛ دیگر (کچھ jurisdictions میں بڑے clubs) قانوناً data رکھنے کے پابند ہیں۔ اگر venue چھوٹا اور غیر رسمی ہو تو واپس دھکیلیں۔ اگر آپ کے پاس mobile driver license ہے تو اسے استعمال کریں، mDLs selective disclosure کی حمایت کرتے ہیں (بار صرف "21 سے اوپر؟ ہاں/نہیں" پوچھ سکتا ہے آپ کا DOB دیکھے بغیر)۔

7. NFT events اور physical art پر Crypto drainer QRs

کیسا دکھتا ہے: NFT meetup، gallery opening، conference booth، یا physical art کے اندر پرنٹ شدہ QR آپ کو مفت NFT mint یا airdrop claim کا دعوی کرتا ہے۔ اسے اسکین کریں، QR ایک WalletConnect session یا آپ کے wallet app کا deep-link کھولتا ہے، اور آپ سے transaction sign کرنے کو کہا جاتا ہے۔ transaction ایک malicious contract کو آپ کے wallet میں ہر token drain کرنے کی منظوری دیتا ہے۔ Drainer kits commodity software ہیں؛ QR صرف delivery mechanism ہے۔

کیسے پکڑیں: sign کرنے سے پہلے اپنے wallet میں transaction prompt پڑھیں۔ اگر یہ token approvals مانگتا ہے (خاص طور پر setApprovalForAll یا unlimited approve spend) کسی ایسے contract کے لیے جسے آپ نہیں پہچانتے، انکار کریں۔ random booths پر Free-NFT-claim QRs خطرے کے قابل نہیں۔ کسی بھی in-person interactions کے لیے minimal balance کے ساتھ الگ "hot" wallet استعمال کریں؛ اپنے اصلی assets ایسے wallet میں رکھیں جسے آپ کبھی QR sessions سے connect نہ کریں۔

8. Charity / donation QR پر Sticker

کیسا دکھتا ہے: کسی اصلی charity کا flyer عوامی جگہ پر لگایا جاتا ہے۔ ایک حملہ آور donation QR کو اپنے sticker سے ڈھانپتا ہے جو ان کے control والے wallet، یا fake donation page کی طرف اشارہ کرتا ہے۔ عطیات حملہ آور کو جاتے ہیں۔ یہ قدرتی آفات اور بڑے خبر کے واقعات کے آس پاس سب سے عام ہے، جائز charity سخت تشہیر کر رہی ہے، حملہ آور اس پر سوار ہو جاتا ہے۔

کیسے پکڑیں: #1 جیسا، کیا QR پرنٹ شدہ ورژن پر sticker ہے، یا اصلی پرنٹ کا حصہ؟ نیز، خود اپنے براؤزر میں charity URL ٹائپ کر کے عطیہ دیں، یا charity کی official app استعمال کریں۔ QR codes آسان ہیں لیکن یہ trust کی chain نہیں ہیں۔

9. جعلی product-passport QR

کیسا دکھتا ہے: کسی کپڑے، بیٹری، الیکٹرانک ڈیوائس، یا فرنیچر پر QR دعوی کرتا ہے کہ یہ پروڈکٹ کا EU Digital Product Passport ہے (ESPR requirement، 2027-2030 میں شروع)۔ اسکین کریں اور ایک چکنا چوند ویب پیج آپ کو پروڈکٹ کا provenance، recycled content، sustainability دعوے دکھاتا ہے۔ کچھ بھی اصلی نہیں، جعلسازی کے manufacturer نے صرف ایک generic DPP-styled landing page کے لیے ادائیگی کی۔ جیسے جیسے DPP آگے بڑھے گا، توقع ہے یہ بڑھے گا: regulators ابھی EU registry بنا رہے ہیں جو authenticity کی بنیاد ہے۔

کیسے پکڑیں: چیک کریں کہ آیا DPP میں issuer field کسی registered EU economic operator سے resolve ہوتا ہے۔ EU Commission نے 2026 کے وسط تک consolidated registry ابھی شائع نہیں کی؛ اس وقت تک، DPP دعووں کو verified کی بجائے advisory سمجھیں۔ ہمارا سکینر issuer field اور DPP server URL نکالتا ہے تاکہ آپ وہ lookup کر سکیں۔

10. Hostile mDL verifier بہت زیادہ مانگ رہا ہے

کیسا دکھتا ہے: آپ بار یا retail counter پر اپنا mobile driver license (mDL) پیش کرتے ہیں۔ ان کا verifier app مکمل نام، مکمل DOB، license number، پتہ، اور تصویر مانگتا ہے جبکہ لین دین کو صرف عمر کی تصدیق کی ضرورت ہے۔ آپ عادت سے approve کر لیتے ہیں۔ اب ایک چھوٹے کاروبار کے پاس آپ کی مکمل شناخت محفوظ ہے، کتنے عرصے تک، کسے فروخت کی گئی — نامعلوم۔ معیار wallet کو request فہرست دکھانے کا تقاضہ کرتا ہے، لیکن یہ آپ کو blanket disclosures approve کرنے سے نہیں روکتا۔

کیسے پکڑیں: request prompt پڑھیں۔ اگر verifier لین دین سے زیادہ مانگتا ہے (بار آپ کا پتہ مانگتا ہے، retail clerk آپ کا license number مانگتا ہے)، انکار کریں اور کم سے کم ورژن (صرف age_over_21) مانگیں۔ اگر وہ انکار کریں، تو آپ کے پاس ایک پالیسی فیصلہ ہے: ضرورت سے زیادہ دیں، یا چلے جائیں۔ معیار آپ کی طرف ہے؛ verifier-side ecosystem ابھی تنظیم شدہ نہیں۔

کیا کریں اگر آپ پہلے ہی کچھ برا اسکین کر چکے ہیں

Payment سائٹ: اگر آپ نے کارڈ تفصیلات درج کی ہیں، تو ابھی اپنے بینک سے رابطہ کریں کہ لین دین کو flag کریں اور کارڈ دوبارہ جاری کریں۔ charge clear ہونے کا انتظار نہ کریں۔
Wi-Fi: اپنے فون پر نیٹ ورک بھول جائیں۔ حال ہی میں استعمال ہونے والے apps کی فوری جانچ کریں کہ credentials مانگنے والے prompts ہیں یا نہیں۔ connected رہتے ہوئے استعمال کی گئی ہر چیز کے پاس ورڈ تبدیل کریں، خاص طور پر وہ جو HTTP پر fall back ہوئی۔
Passkey: متاثرہ account میں سائن ان کریں، security settings پر جائیں، فعال passkeys کی فہرست بنائیں، جو کچھ آپ نہیں پہچانتے اسے ہٹائیں۔ اگر سائٹ پیش کرے تو اپنا پاس ورڈ بھی reset کریں۔
Authenticator export: اسے مکمل breach سمجھیں۔ authenticator میں موجود ہر account پر 2FA reset کریں۔ اعلی اہمیت (بینک، ای میل، crypto exchange، GitHub، AWS) سے شروع کریں۔
بورڈنگ پاس پوسٹ کیا: ایئرلائن سے رابطہ کریں، اگر ممکن ہو تو booking reference تبدیل کریں، flight-status الرٹ سیٹ کریں تاکہ اگر کوئی booking میں ترمیم کرے تو آپ کو معلوم ہو۔
Crypto drainer signed: باقی assets فوری طور پر نئے wallet میں منتقل کریں۔ ہر chain پر contract approvals revoke کریں جو آپ نے استعمال کیا (revoke.cash اور اسی طرح کے tools زیادہ تر chains کو سنبھالتے ہیں)۔ drain شدہ tokens عام طور پر ناقابل بازیابی ہوتے ہیں۔

اسکین کرنے سے پہلے چیک کریں

کوئی بھی QR (امیج، paste، یا کیمرہ) ہمارے سکینر میں ڈالیں۔ آپ ڈیکوڈ شدہ payload دیکھیں گے، اگر یہ URL ہے تو redirect chain، آگے destination کون تبدیل کر سکتا ہے، اور reputation flags۔ فیصلہ آپ کا ہے؛ معلومات عمل کرنے سے پہلے اسکرین پر ہے۔

سکینر کھولیں ←