What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Cẩm nang thực địa

Các trò lừa đảo bằng mã QR cần đề phòng năm 2026

Mã QR chỉ là một chuỗi được mã hóa. Nguy hiểm không nằm ở định dạng, mà nằm ở những gì chuỗi đó bảo điện thoại của bạn làm. Đây là mười kiểu lừa đảo đang hoạt động trong thực tế.

Kiểm tra QR ngay → Tiêu chuẩn QR chúng tôi giải mã →

1. Dán nhãn đè lên QR tại đồng hồ đỗ xe, thực đơn và trạm sạc EV

Trông như thế nào: Một nhãn dán nhỏ được dán gọn gàng lên QR hợp lệ trên máy đỗ xe, thực đơn nhà hàng, hoặc trạm sạc EV. QR dưới đó là thật; QR được dán lên là của kẻ lừa đảo.

Cách nhận biết: Nhìn vào QR. Nó được in trực tiếp lên bề mặt (khắc, in ép) hay là nhãn dán? Nhãn dán nổi lên, có thể bóc ra, hoặc không thẳng hàng là tín hiệu cảnh báo. Với thanh toán EMV, hãy xác nhận số tiền và tên người nhận trên màn hình thanh toán khớp với những gì được đăng ở bên cạnh máy.

Đọc thêm: QR thanh toán EMVCo →

2. Wi-Fi giả mạo tại sân bay, khách sạn và trung tâm hội nghị

Trông như thế nào: Một tờ in hoặc nhãn dán quảng cáo Wi-Fi miễn phí: "Airport_Free_WiFi" với QR bên dưới. Mạng là điểm phát sóng giả mạo được kiểm soát bởi kẻ tấn công. Lưu lượng của bạn đi qua thiết bị của họ.

Cách nhận biết: Xác nhận SSID khớp với những gì địa điểm đăng chính thức. Sân bay thường liệt kê mạng Wi-Fi chính thức trên biển báo ở cổng hoặc trang web của họ. Hỏi nhân viên nếu không chắc. Sử dụng VPN khi dùng Wi-Fi công cộng bất kể nguồn gốc.

Đọc thêm: QR thông tin đăng nhập Wi-Fi →

3. Lừa đảo passkey-QR

Trông như thế nào: Bạn đang đăng nhập vào một trang web trên máy tính để bàn. Trang hiển thị QR để "xác minh bằng điện thoại của bạn". Đây không phải là quy trình passkey thực sự — nó lừa bạn xác thực phiên trình duyệt của kẻ tấn công.

Cách nhận biết: Trước khi quét QR passkey, xác nhận URL của trang trong trình duyệt máy tính để bàn khớp chính xác với tên miền bạn muốn đăng nhập. Trình quản lý passkey và màn hình hệ điều hành sẽ hiển thị tên miền đang yêu cầu — đọc nó.

Đọc thêm: QR passkey FIDO2 →

4. Trộm cắp xuất authenticator

Trông như thế nào: Ai đó mượn điện thoại mở khóa của bạn "để chụp nhanh một bức ảnh". Họ mở ứng dụng authenticator của bạn, xuất tài khoản ra QR, và quét QR đó bằng thiết bị của họ. Tất cả các mã 2FA của bạn hiện nằm trong tay họ.

Cách nhận biết: Phòng thủ không phải là phát hiện QR — đó là không bao giờ để nó được tạo ra. Không bao giờ cho mượn điện thoại đã mở khóa cho người lạ. Hãy kiểm tra màn hình khi ai đó cầm điện thoại của bạn.

Đọc thêm: QR xuất otpauth-migration →

5. Đăng ảnh boarding pass

Trông như thế nào: Một hành khách đăng ảnh boarding pass lên Instagram hoặc Twitter để khoe chuyến bay đầu tiên hạng thương gia. PDF417 trên boarding pass chứa số đặt chỗ, tên đầy đủ và thông tin hàng ghế — tất cả những gì kẻ tấn công cần để thay đổi hoặc hủy chuyến bay, hoặc thu thập điểm Frequent Flyer.

Cách nhận biết: Đừng đăng ảnh boarding pass. Nếu bắt buộc, hãy làm mờ hoặc cắt bỏ mã vạch. Kiểm tra tài khoản hàng không của bạn sau khi đặt chỗ để phát hiện thay đổi không mong muốn.

Đọc thêm: QR boarding pass IATA BCBP →

6. Thu thập dữ liệu mã vạch giấy phép lái xe

Trông như thế nào: Quán bar, câu lạc bộ, cửa hàng thuốc lá điện tử, nhà thuốc hoặc cửa hàng giới hạn độ tuổi đặt máy quét tại lối vào. Thiết bị quét PDF417 trên giấy phép lái xe của bạn và đọc tên, ngày sinh, địa chỉ và số giấy phép — nhiều hơn những gì cần thiết để xác minh tuổi.

Cách nhận biết: Hỏi xem họ đang quét gì và tại sao. Một số địa điểm chỉ cần xác nhận độ tuổi; một số khác (câu lạc bộ lớn ở một số khu vực pháp lý) bắt buộc theo pháp luật phải lưu trữ dữ liệu. Hãy phản đối nếu địa điểm nhỏ và không chính thức. Nếu bạn có bằng lái xe trên điện thoại, hãy dùng nó — mDL hỗ trợ tiết lộ có chọn lọc (quán bar chỉ cần hỏi “trên 21 tuổi? có/không” mà không cần xem ngày sinh của bạn).

Đọc thêm: PDF417 giấy phép lái xe AAMVA →

7. QR crypto drainer tại sự kiện NFT và nghệ thuật vật lý

Trông như thế nào: Một QR tại buổi gặp gỡ NFT, khai mạc phòng trưng bày, gian hàng hội nghị, hoặc ảnh khuyến mãi trên mạng xã hội hứa hẹn "mint miễn phí" hoặc "nhận thưởng token". Giao dịch thực sự là phê duyệt token không giới hạn hoặc setApprovalForAll — trao toàn quyền kiểm soát ví cho hợp đồng của kẻ tấn công.

Cách nhận biết: Đọc kỹ lời nhắc giao dịch trong ví của bạn trước khi ký. Nếu nó yêu cầu phê duyệt token (đặc biệt là setApprovalForAll hoặc approve không giới hạn) cho một hợp đồng bạn không nhận ra, hãy từ chối. Các mã QR nhận NFT miễn phí tại các gian hàng ngẫu nhiên không đáng để mạo hiểm. Hãy dùng một ví “nóng” riêng biệt với số dư tối thiểu cho mọi tương tác trực tiếp; giữ tài sản thật của bạn trong ví mà bạn không bao giờ kết nối với các phiên QR.

8. Nhãn dán đè lên QR từ thiện / quyên góp

Trông như thế nào: Một tờ rơi cho một tổ chức từ thiện thật được dán ở nơi công cộng. Kẻ tấn công che QR gốc bằng một nhãn dán dẫn đến trang thanh toán giả mạo thu thập số thẻ hoặc gửi thanh toán crypto.

Cách nhận biết: Tương tự #1, QR có phải là nhãn dán đè lên phiên bản in, hay là một phần của thiết kế gốc? Đối với các tổ chức lớn, hãy điều hướng trực tiếp đến trang web của tổ chức thay vì quét.

9. QR hộ chiếu sản phẩm giả mạo

Trông như thế nào: Một mã QR trên vải, pin, thiết bị điện tử hoặc đồ nội thất tự nhận là Hộ chiếu Sản phẩm Kỹ thuật số EU của sản phẩm (yêu cầu ESPR, đang triển khai theo từng giai đoạn từ 2027–2030). Quét mã và một trang web bóng bẩy hiện ra cho bạn thấy xuất xứ, tỷ lệ tái chế, các tuyên bố về tính bền vững của sản phẩm. Tất cả đều là giả — nhà sản xuất hàng nhái chỉ đơn giản là trả tiền cho một trang đích kiểu DPP chung chung. Khi DPP mở rộng triển khai, hãy chuẩn bị cho quy mô này tăng lên: các cơ quan quản lý vẫn đang xây dựng sổ đăng ký EU để neo đậu tính xác thực.

Cách nhận biết: Kiểm tra xem trường nhà phát hành trong DPP có phân giải đến một nhà sản xuất đã đăng ký không. Ngày và số lô phải khớp với bao bì. Mua từ nhà phân phối được ủy quyền để giảm thiểu rủi ro.

Đọc thêm: Hộ chiếu sản phẩm kỹ thuật số EU →

10. Verifier mDL thù địch yêu cầu quá nhiều thông tin

Trông như thế nào: Bạn xuất trình giấy phép lái xe di động (mDL) tại quán bar hoặc cửa hàng bán lẻ. Máy quét của verifier yêu cầu các trường dữ liệu từ mDL của bạn — nhiều hơn mức cần thiết cho giao dịch.

Cách nhận biết: Đọc câu nhắc yêu cầu. Nếu verifier muốn nhiều hơn số trường cần thiết cho giao dịch (ví dụ: ngày sinh cho xác minh tuổi thay vì toàn bộ địa chỉ), hãy từ chối và hỏi tại sao.

Đọc thêm: Giấy phép lái xe di động (ISO 18013-5) →

Phải làm gì nếu bạn đã quét thứ gì đó xấu

Trang thanh toán: Nếu bạn đã nhập thông tin thẻ, liên hệ ngân hàng ngay để đánh dấu giao dịch. Yêu cầu thẻ thay thế. Cài đặt cảnh báo giao dịch nếu chưa có.
Wi-Fi: Quên mạng trên điện thoại. Kiểm tra nhanh các ứng dụng được sử dụng gần đây để phát hiện hành vi bất thường. Nếu bạn truy cập tài khoản ngân hàng hoặc công việc trong khi kết nối, hãy thay đổi mật khẩu.
Passkey: Đăng nhập vào tài khoản bị ảnh hưởng, vào cài đặt bảo mật, liệt kê các passkey đang hoạt động và thu hồi bất kỳ passkey nào bạn không nhận ra.
Xuất authenticator: Hãy coi đây là vi phạm toàn diện. Đặt lại 2FA trên mọi tài khoản được bảo vệ bởi authenticator bị ảnh hưởng. Liên hệ nhóm bảo mật của tổ chức nếu bất kỳ tài khoản nào là tài khoản công việc.
Boarding pass bị đăng: Liên hệ hãng hàng không, thay đổi mã đặt chỗ nếu có thể. Giám sát tài khoản Frequent Flyer để tránh bị đánh cắp điểm.
Ký giao dịch crypto drainer: Chuyển ngay tài sản còn lại sang ví mới. Thu hồi quyền phê duyệt token cho tất cả các hợp đồng được tương tác. Ghi lại hash giao dịch để báo cáo.

Kiểm tra trước khi quét

Thả bất kỳ QR nào (hình ảnh, dán, hoặc camera) vào máy quét của chúng tôi. Bạn sẽ thấy payload đã giải mã, chuỗi chuyển hướng đầy đủ, và kết quả an toàn trước khi thiết bị của bạn làm bất cứ điều gì với nó.

Mở máy quét →