Liên kết HTTPS trực tiếp đến trang Abundera thuộc sở hữu. Không có dịch vụ rút ngắn, không có chuyển hướng. Kết quả tốt nhất: Đã được xác nhận an toàn với khả năng thay đổi tĩnh và mức sàn thay đổi máy chủ đích thấp.
https://qr.abundera.ai/
Chống quishing · An toàn QR + URL + dịch vụ rút ngắn
Đừng tin một mã QR cho đến khi nó được xác nhận an toàn.
Một mã QR giống như người lạ đưa cho bạn một phong bì. Tương tự với bất kỳ URL rút ngắn nào, một bit.ly, t.co, hoặc liên kết trong tin nhắn. Mở mà không kiểm tra và bạn có thể đến trang lừa đảo thông tin đăng nhập, bẫy WiFi mở, giao dịch rút cạn ví, hoặc intent Android cài phần mềm độc hại. Chúng tôi theo dõi chuỗi, kiểm tra đích đến và cho bạn biết ai có thể thay đổi nó sau khi mã QR được in, câu hỏi quyết định liệu nhãn dán đồng hồ đỗ xe, URL rút ngắn được chuyển tiếp, thực đơn nhà hàng, hay tờ rơi MFA của công ty có thực sự an toàn không.
Không cần đăng ký, không cần tài khoản Payload không bao giờ được lưu trữ Giải mã camera vẫn ở cục bộ Ứng dụng Mac, Windows, iOS, Android sắp ra mắt
Chia sẻ công cụ này · hoặc lưu liên kết ngắn để quay lại
Quét mã QR bằng camera, tải lên hình ảnh, dán hình ảnh hoặc dán văn bản đã giải mã.
Camera và giải mã hình ảnh diễn ra trong trình duyệt của bạn. Chỉ văn bản được giải mã gửi đến bộ phân tích của chúng tôi.
Cài đặt trình quét
Đang tải bộ giải mã nâng cao… 0%
Lịch sử quét
Chỉ lưu trên thiết bị này, không bao giờ gửi đến máy chủ của chúng tôi. 25 lần quét gần nhất, lần cũ nhất tự động bị xóa. Lịch sử quét đồng bộ đám mây (nhiều thiết bị, 30 ngày) đang trong lộ trình cho các tầng Personal+.
Xem cách hoạt động
Nhấn "Thử quét này" để chạy ngay tại đây, hoặc hướng camera điện thoại vào mã QR, nó định tuyến qua trình quét của chúng tôi và kết quả xuất hiện trên điện thoại bạn. Không cần truy cập đâu trước.
Một mã QR định tuyến qua dịch vụ rút ngắn của chúng tôi trước khi đến đích cuối cùng. Kết quả hiển thị ai có thể thay đổi đích sau khi in, trục khả năng thay đổi mà không trình quét nào khác thể hiện.
https://aqr.net/demo-walmart
Liên kết được đảm bảo phân giải tại quốc gia khác với bạn (JavaScript thay đổi đích sau khi phát hiện vùng của bạn). Minh họa chip quốc gia theo từng bước, một chuỗi vượt qua biên giới bất ngờ là tín hiệu tin cậy mạnh hơn bất kỳ bước đơn lẻ nào.
https://www.bundestag.de/
Google duy trì URL này đặc biệt như một công cụ kiểm tra Safe Browsing. Nó được phân loại là SOCIAL_ENGINEERING bởi Safe Browsing, hữu ích để minh họa rằng công cụ tổng hợp danh tiếng và cơ chế leo thang kết quả thực sự hoạt động, mà không cần liên kết đến trang lừa đảo thật.
https://testsafebrowsing.appspot.com/s/phishing.html
Cách hoạt động
- 1
Giải mã
Trình duyệt của bạn giải mã mã QR cục bộ (jsQR). Hình ảnh không bao giờ rời khỏi thiết bị của bạn. Chúng tôi chỉ nhìn thấy payload văn bản.
- 2
Phân phối
Payload được phân loại theo lược đồ URI, tiền tố định dạng có cấu trúc hoặc heuristic nội dung vào một trong 48 danh mục phân tích cùng nhau nhận dạng 222 biến thể payload: HTTP URL (với hàng chục bộ nhận dạng theo máy chủ cụ thể), WiFi, vCard, điện thoại, thư, intent Android, tiền điện tử, nội dung có địa chỉ, dữ liệu nội tuyến, lịch, địa lý, kết nối Bluetooth, khởi tạo Matter, thanh toán merchant EMV (PIX, PayNow, PromptPay, UPI, & 30+ lược đồ quốc gia), cấu hình WireGuard, Thẻ sức khỏe thông minh, kích hoạt eSIM, ghép nối WalletConnect, hybrid passkey FIDO, lược đồ bị chặn cứng, hoặc văn bản thuần túy. Mỗi danh mục đến bộ phân tích chuyên dụng của nó.
- 3
Theo dõi + phân loại
Đối với các URL HTTP, chúng tôi theo dõi chuỗi chuyển hướng qua các dịch vụ gián tiếp (Bitly, Linktree, QR Tiger, & ~80 dịch vụ khác), ghi lại các bên trung gian theo từng bước, phân loại khả năng thay đổi (tĩnh / động-đơn / động-chuỗi / quảng cáo-xen kẽ / vòng lặp) và quy kết kiểm soát cho từng nhà vận hành dịch vụ gián tiếp. Song song, chúng tôi kiểm tra đích đến qua Google Safe Browsing và URLhaus.
- 4
Hợp nhất
Chúng tôi tạo ra một hình dạng kết quả duy nhất bất biến qua các loại payload:
threat_class,mutability,chain,attribution,sub_payloads,disclosurebằng ngôn ngữ thông thường. Các payload con được nhúng trong payload cha (URL trong trường NOTE của vCard, SSID chứa liên kết, v.v.) được phân phối đệ quy.
Những gì chúng tôi phát hiện mà công cụ chỉ-URL bỏ qua
Trình quét mối đe dọa dạng URL chỉ bao gồm một trong 48 danh mục payload mà mã QR có thể mang, và chỉ một bộ nhận dạng trong danh mục URL đó. Chúng tôi nhận dạng 222 biến thể payload trên tất cả 48 danh mục. Một số bên dưới; danh sách đầy đủ và lộ trình Tầng 2 có trên trang phạm vi.
Chuỗi chuyển hướng & khả năng thay đổi
Theo dõi từng bước chuyển hướng. Phát hiện chuỗi Bitly + Linktree. Xác định nhà vận hành dịch vụ gián tiếp. Chỉ ra những bên có thể thay đổi đích đến sau khi in.
Mã QR cấu hình WiFi
SSID + mã hóa được phân tích và chuẩn hóa. Mạng mở / WEP yếu / mạng ẩn được gắn cờ. Giải mã ký tự giả mạo để hiển thị các SSID trông giống nhau trong kết quả.
Công cụ rút cạn ví tiền điện tử
Xác thực định dạng địa chỉ + checksum theo từng chuỗi. Phát hiện bộ chọn hàm EVM (approve, setApprovalForAll, permit). Kiểm tra danh tiếng qua Chainabuse.
Khởi tạo nhà thông minh Matter
Giải mã payload khởi tạo base-38 MT:. Trích xuất ID nhà cung cấp + ID sản phẩm. Hiển thị cảnh báo "thiết bị này đăng ký vào mạng nhà bạn" để nhãn dán bị đánh tráo không thể bí mật kết nối vào mạng của kẻ tấn công.
Đánh tráo QR thanh toán merchant EMV
Phân tích payload EMVCo MPM / CPM (SGQR, PromptPay, PayNow, DuitNow, UPI). Xác thực CRC + hiển thị tên merchant, phát hiện tấn công đánh tráo nhãn dán, loại gian lận QR phổ biến nhất toàn cầu.
Chiếm đoạt tài khoản qua đăng nhập QR
Nhận dạng các điểm cuối đăng nhập bằng QR của WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub và AWS. Cảnh báo rằng quét mã này sẽ cấp quyền truy cập tài khoản của bạn cho người tạo mã QR.
Mã QR sạch hôm nay, trang lừa đảo ngày mai
Khi một mã QR đã được in trên nhãn dán, thực đơn hoặc tờ rơi, bạn không thể thu hồi việc in đó. Vì vậy kết quả quan trọng không chỉ là "liên kết có an toàn bây giờ không," mà là "ai có thể thay đổi điểm trỏ sau khi mực đã khô." Đó là khả năng thay đổi.
Mã QR tĩnh
walmart.com được mã hóa trực tiếp vào ma trận QR
Đích đến được mã hóa ngay trong hoa văn chấm của mã. Không bên thứ ba nào có thể thay đổi điểm đến. Những gì bạn quét hôm nay vẫn là vậy sau một năm.
Mã QR động (rủi ro)
aqr.net/demo-walmart → một dịch vụ rút ngắn → walmart.com
Mã QR chứa URL rút ngắn; chủ tài khoản dịch vụ rút ngắn đó chọn đích đến khi quét và có thể thay đổi trong 30 giây. Sạch hôm nay, lừa đảo ngày mai, cùng một nhãn dán vật lý. Chúng tôi hiển thị chuỗi, nêu tên nhà vận hành dịch vụ gián tiếp và cho bạn biết tài sản được in có đang bị kiểm soát bởi bên khác không.
Giá cả
Miễn phí cho sử dụng cá nhân, không cần đăng ký. Gói trả phí cho cá nhân, gia đình, nhóm, thương hiệu và triển khai doanh nghiệp.
THÀNH VIÊN SÁNG LẬP Mức giá của bạn. Cố định. Mãi mãi. Tiết kiệm 34% so với các tầng trả phí, thanh toán hàng năm, có hiệu lực đến ngày 1 tháng 9 năm 2026.
Ứng dụng gốc sắp ra mắt
Cùng một công cụ phân tích, chạy trên macOS, Windows, Linux, iOS và Android. Quét bằng camera xử lý ngay trên thiết bị; phân loại gửi đến cùng một điểm cuối. abundera.app →
Câu hỏi
Quishing là gì?
Quishing là lừa đảo qua mã QR: kẻ tấn công in, dán nhãn, gửi email hoặc nhắn tin một mã QR mà khi quét sẽ mở trang thu thập thông tin đăng nhập, giao dịch rút cạn ví, bẫy WiFi mở, hoặc intent Android cài phần mềm độc hại. Bản thân mã QR chỉ là một hình ảnh, nên bộ lọc liên kết email và cảnh báo trình duyệt không bao giờ nhìn thấy nó cho đến khi điện thoại nạn nhân đã mở đích đến. Phòng thủ phải xảy ra vào thời điểm quét, trước khi điện thoại theo liên kết.
Quishing khác lừa đảo thông thường như thế nào?
Ba điểm khác biệt. Vector tấn công là vật lý hoặc trực quan, một nhãn dán đè lên mã QR đồng hồ đỗ xe, tờ rơi in giả mạo đăng ký MFA, mã QR thực đơn nhà hàng bị thay đổi qua đêm, nên bỏ qua hoàn toàn các cổng lọc email. Nạn nhân tin tưởng mã QR hơn tin vào liên kết trong email; một mã QR có cảm giác như đích đến do người in bề mặt chọn. Và mã QR động định tuyến qua dịch vụ rút ngắn có thể trỏ lại trang lừa đảo sau khi tài sản in đã được phân phát, vậy nên một mã QR an toàn lúc in có thể trở nên nguy hiểm nhiều tháng sau. Trình quét liên kết tĩnh trả lời "URL này có độc hại ngay bây giờ không", không phải "ai có thể thay đổi điểm trỏ này".
Làm thế nào để kiểm tra mã QR có an toàn trước khi quét?
Đừng hướng camera gốc của điện thoại vào đó, vì điều đó sẽ mở đích đến ngay lập tức. Thay vào đó, mở check.qr.abundera.ai trên điện thoại, quét mã QR qua camera trong trang (giải mã diễn ra cục bộ; hình ảnh không bao giờ rời khỏi thiết bị của bạn) và đọc kết quả. Chúng tôi theo dõi từng bước chuyển hướng, phân loại liệu đích đến có bị kiểm soát bởi bên thứ ba sau khi mã QR được in không, và kiểm tra danh tiếng qua Google Safe Browsing cùng các công cụ tổng hợp khác. Kết quả Đã được xác nhận an toàn an toàn để mở; kết quả Thận trọng và Không tiếp tục cho bạn biết lý do.
Các ví dụ quishing trong thực tế là gì?
Nhãn dán đồng hồ đỗ xe và trạm sạc EV che đậy mã QR hợp lệ bằng mã trỏ đến trang thu thập thẻ tín dụng, mẫu được báo cáo nhiều nhất trong 2024-2025, quan sát tại Austin, San Antonio và khắp nước Anh. Mã QR thực đơn nhà hàng bị thay đổi thành trang lừa đảo qua đêm bởi kẻ tấn công thay thế thẻ bàn. Tờ rơi đăng ký MFA doanh nghiệp trong nhà vệ sinh văn phòng trông chính thức nhưng đăng ký thiết bị của kẻ tấn công. Mã QR trên thiệp cưới được phân phát nhiều tháng trước sự kiện, nơi xâm phạm tài khoản rút ngắn cho phép kẻ tấn công trỏ lại hàng nghìn tấm thiệp đã in. Mã QR thanh toán tiền điện tử tại điểm bán được phủ bằng địa chỉ ví của kẻ tấn công. Điểm chung: mã QR được in trông giống hệt mã an toàn.
Điều này khác Google Safe Browsing hay VirusTotal như thế nào?
Các công cụ hiện tại phân loại liệu URL hiện có độc hại không. Chúng tôi bổ sung thêm phân loại liệu đích đến có bị kiểm soát bởi bên thứ ba sau khi mã QR được in không, một thuộc tính chúng tôi gọi là khả năng thay đổi. Một mã QR động sạch định tuyến qua dịch vụ rút ngắn vẫn có rủi ro cao đối với nhãn dán đồng hồ đỗ xe hoặc thiệp cưới: chủ tài khoản rút ngắn có thể thay đổi đích đến bất cứ lúc nào. Chúng tôi trình bày trạng thái kiểm soát này như trường kết quả cấp đầu tiên bên cạnh kết quả nội dung mối đe dọa.
Bạn có lưu mã QR tôi đã quét không?
Không. Payload được giải mã truyền đến máy chủ của chúng tôi qua HTTPS để chúng tôi có thể theo dõi chuỗi và truy vấn cơ sở dữ liệu danh tiếng, đây là yêu cầu chức năng, không phải lựa chọn, nhưng nó không bao giờ được lưu trữ. Kết quả được lưu vào bộ đệm bằng hash SHA-256 của bộ phân biệt theo loại payload ghép nối với salt bí mật do máy chủ giữ. Payload gốc không thể được tái tạo từ bất kỳ mục nhập bộ đệm nào.
Tại sao lại dùng miền riêng thay vì qr.abundera.ai?
qr.abundera.ai là công cụ tạo mã cam kết mọi thứ chỉ chạy phía client: không có gì rời khỏi thiết bị của bạn. Trình kiểm tra an toàn này truyền payload được giải mã đến máy chủ vì cần thiết. Chúng tôi tách biệt hai bề mặt để cam kết chỉ phía client vẫn sạch trên miền máy tạo, và bề mặt mô hình quyền riêng tư đảo ngược được gắn nhãn rõ ràng tại đây.
Tính năng cảnh báo thay đổi là gì?
Tầng Pro. Gửi một mã QR để theo dõi, và chúng tôi sẽ theo dõi lại chuỗi theo định kỳ. Gửi email khi đích chuyển hướng, đích cuối cùng hoặc tập hợp nhà vận hành dịch vụ gián tiếp thay đổi. Điều này phát hiện mẫu quishing phổ biến nhất trong thực tế: in mã QR sạch, chuyển đích đến lừa đảo nhiều tháng sau, thu hoạch lượt quét từ tài sản đã in.
Tôi có thể nhúng tính năng này vào sản phẩm bảo mật của mình không?
Có, trên tầng Pro. API là RESTful, trả về kết quả JSON có cấu trúc với loại payload, lớp mối đe dọa, khả năng thay đổi, chuỗi chuyển hướng, quy kết kiểm soát theo từng bước và kết quả payload con. Được thiết kế để nhúng vào ứng dụng ví, bộ bảo mật di động, lọc URL doanh nghiệp và trình làm phong phú xem trước liên kết Slack / Teams của doanh nghiệp.
Mã nguồn mở?
Chưa có vào lúc này. Bộ phân loại là mã nguồn đóng trong khi công việc bằng sáng chế cơ bản đang trong quá trình xét duyệt. Chúng tôi có thể công bố các triển khai tham khảo của các thuật toán đã tiết lộ sau khi cấp bằng. Hợp đồng API là công khai và ổn định.