Mga QR Code Scam (Quishing): Ang Banta na Nakatago sa Harap

Ang mga QR code scam, tinatawag na quishing, ay sumisigla sa 2026. Alamin kung paano nagnanakaw ng iyong pera at data ang mga pekeng QR code, kung saan inilalagay ng mga scammer ang mga ito, at kung paano ligtas na mag-scan bago mag-tap.

· Truvizy Research Team · 8 min read

TL;DR

Ang quishing ay QR code phishing: pinapalitan ng mga scammer ang mga lehitimong QR code sa mga menu ng restaurant, parking meter, label ng pakete, at pampublikong poster ng mga code na nagre-redirect sa mga website na nagnanakaw ng kredensyal. Dahil nagpapakita lang ang camera ng iyong telepono ng maliit na URL bago mo buksan ito, karamihan sa mga tao ay hindi napapansin ang pagpapalit. Laging suriin ang destination URL bago buksan ang anumang QR code link, gumamit ng QR scanner na may built-in na safety check, at kung may pag-aalangan ay i-type nang manu-mano ang opisyal na web address.

Pumunta ka sa isang parking garage, na-scan ang QR code sa payment kiosk, at naglagay ng iyong credit card para bayaran ang iyong espasyo. Tila natuloy ang transaksyon. Nang gabing iyon, tumawag ang iyong bangko tungkol sa tatlong mapanlinlang na singil mula sa ibang bansa. Hindi mo ibinigay ang iyong card sa sinuman. Hindi ka nag-click ng kahina-hinalang email. Ang ginawa mo lang ay mag-scan ng QR code, at iyon ay sapat na. Maligayang pagdating sa quishing: ang pinaka-mabilis na lumalagong scam na karamihan sa mga tao ay hindi pa narinig.

Ang mga QR code ay idinisenyo para sa kaginhawaan, i-scan at pumunta. Ngunit ang parehong walang-friction na karanasang nagpapaging kaakit-akit sa mga ito para sa mga negosyo ay nagpapaging mapanganib din sa mga ito sa mga kamay ng mga scammer. Hindi tulad ng isang kahina-hinalang email link na maaari mong i-hover para sa preview, ang isang QR code ay hindi nagpapakita ng kahit ano hanggang matapos mong ituro ang iyong camera dito. Sa oras na makita mo ang destination URL, marami nang biktima ang naka-tap na ng "buksan". Ang split-second na agwat na iyon ay eksaktong pinagsamantalahan ng quishing.

Ano ang Quishing?

Ang quishing, isang portmanteau ng "QR" at "phishing", ay ang gawain ng pag-embed ng mga malisyosong URL sa loob ng mga QR code para i-redirect ang mga biktima sa mga mapanlinlang na website. Maaaring kumuha ng ilang anyo ang scam: pisikal na pagpapalit ng isang lehitimong code ng isang pekeng sticker sa mga pampublikong espasyo, pagpapadala ng mga QR code sa pamamagitan ng email o text na lumalampas sa mga tradisyonal na spam filter, o paglikha ng mga pekeng dokumento (mga invoice, abiso ng parking, paunawa ng pakete) na prominenteng nagtatampok ng mga mapanlinlang na code.

Tinukoy ng Internet Crime Complaint Center ng FBI ang quishing bilang isang umuusbong na priority threat noong 2024, at ang mga numero ay lumala pa mula noon. Ang mga kumpanya ng cybersecurity ay nagdokumento ng 587% na pagtaas sa mga QR-code-based na phishing attack sa pagitan ng 2024 at 2025. Ang teknik ay naging popular sa mga organisadong fraud ring dahil mura itong ipatupad, mahirap matukoy sa malawak na sukat, at espesipikong idinisenyo para mapalibutan ang mga email security tool na hindi makabasa ng mga URL na naka-embed sa larawan.

Ang quishing ay bahagi ng mas malawak na pagbabago sa mga taktika ng scam tungo sa mga mobile-first na atake. Tulad ng aming na-dokumento sa aming pagsusuri ng kung paano pinapabilis ng AI ang sophistication ng scam, ang mga manloloko ay espesipikong nagta-target ng mga tool at gawi na pinagtibay ng mga tao sa panahon ng smartphone, at ang mga QR code ay isa sa mga pinakamalawak na pinagtibay na mobile na gawi ng nakalipas na limang taon.

Paano Gumagana ang Mga QR Code Scam

Ang mekanika ng isang quishing attack ay mapanlinlang na simple. Ang isang attacker ay bumubuo ng QR code na nag-e-encode ng isang malisyosong URL, karaniwang isang clone na bersyon ng pahina ng pag-log in ng bangko, payment portal, o serbisyo ng gobyerno. Ang pekeng pahina ay idinisenyo para magmukhang kapareho ng lehitimo, kumukuha ng anumang kredensyal o impormasyon sa pagbabayad na inilalagay ng biktima.

Sa mga pisikal na atake, nag-i-print ang scammer ng mapanlinlang na code sa isang sticker at inilalagay ito sa ibabaw ng lehitimong code sa isang parking meter, restaurant table tent, o pampublikong bulletin board. Ang pagpapalit ay tumatagal ng ilang segundo. Ang attacker ay maaaring umalis sa lugar at mangolekta ng mga nakawin na data nang malayuan. Ang isang mahusay na nakalagay na sticker sa isang abalang parking meter ay maaaring makahuli ng dose-dosenang biktima sa isang araw.

Diagram na nagpapakita kung paano pinapalitan ng isang scammer ang isang lehitimong QR code sticker ng isang mapanlinlang sa isang parking meter
Diagram na nagpapakita kung paano pinapalitan ng isang scammer ang isang lehitimong QR code sticker ng isang mapanlinlang sa isang parking meter

Ang email-based na quishing ay sumusunod sa ibang playbook. Nagpapadala ang mga attacker ng mga mensahe na nagpapanggap bilang mga bangko, departamento ng HR, o mga carrier ng parsel, na nagsasabing kailangang i-verify ng tatanggap ang kanilang account o subaybayan ang isang delivery, at nagsasama ng QR code para "i-scan gamit ang iyong telepono para sa karagdagang seguridad". Ang instruksyon na ito ay sadyain: ang paglipat ng interaksyon sa isang mobile device ay inaalis ang biktima mula sa corporate na computer na may mga security tool nito at sa isang personal na telepono na may mas kaunting proteksyon.

Sa pekeng pahina, ang biktima ay haharapin ng isang polished na credential-harvesting form. Gumagamit ang mas advanced na mga atake ng mga real-time relay technique: habang inilalagay ng biktima ang kanilang username at password, sabay na isinasaksak ng attacker ang mga kredensyal na iyon sa tunay na website, pagkatapos ay ini-relay ang two-factor authentication prompt pabalik sa biktima, ganap na lumalampas sa mga proteksyon ng 2FA.

Hindi sigurado tungkol sa isang link mula sa isang QR code? I-paste ang URL sa Truvizy para suriin ito para sa mga phishing indicator bago maglagay ng anumang impormasyon.

Saan Lumalabas ang Mga Pekeng QR Code

Ang mga parking meter at payment kiosk ay kabilang sa mga pinaka-targeted na lokasyon sa US. Nagdokumento ang Texas Department of Transportation ng dose-dosenang pekeng QR code sticker sa mga parking meter sa mga pangunahing lungsod noong 2024. Naglagay ang mga biktima ng buong detalye ng credit card na umaasahang magbayad para sa parking at sa halip ay direktang ibinigay ang kanilang financial data sa mga scammer. Gumagana nang lalo ang scam dahil ang pagbabayad ng parking ay nakakaistres, ang mga driver ay madalas na nagmamadali at hindi maingat na sinisiyasat ang interface ng pagbabayad.

Ang mga table tent at menu ng restaurant ay naging isang pangunahing vector habang kumalat ang contactless na pagkain pagkatapos ng pandemya. Ang isang sticker na may mapanlinlang na QR code na nakalagay sa ibabaw ng o katabi ng isang lehitimo ay maaaring mag-redirect ng mga kumakain sa isang pekeng menu o pahina ng pagbabayad. Sa ilang mga kaso, ang pekeng pahina ay nagpapakita pa ng isang nakaka-kumbinsing menu bago mag-redirect sa isang credential-harvesting form na nag-aangking lumipat ang restaurant sa online ordering.

Ang mga label ng pagbabalik ng pakete ay kumakatawan sa isang mabilis na lumalaking kategorya ng atake. Nakakatanggap ng mga pakete ang mga biktima, minsan ay hindi hiniling, minsan bilang bahagi ng isang pekeng kampanya ng premyo, na naglalaman ng mga label ng pagbabalik na may mga QR code. Ang pag-scan ng code ay dapat mag-simulate ng pagbabalik ngunit sa halip ay humahantong sa isang pekeng retailer portal na humihiling ng impormasyon ng credit card para sa "pagpoproseso ng refund".

Ang pampublikong transportasyon at mga himpilan ng bus ay nagdadala ng malaking panganib dahil ang mga karatula ay pinamamahalaan ng mga munisipalidad na may limitadong kapasidad ng pagsubaybay. Ang mga mapanlinlang na code sa mga mapa ng transit, ticketing kiosk, o mga screen ng pagbabayad ng pamasahe ay maaaring hindi mapansin sa loob ng mga araw bago tanggalin. Sa UK, nag-alis ang Transport for London ng daan-daang mapanlinlang na QR code mula sa mga istasyon noong 2025.

Ang mga atake batay sa email at dokumento ay nagta-target ng mga negosyo nang kasing dami ng mga consumer. Ang mga pekeng invoice na naglalaman ng mga QR code para sa "secure na pagbabayad", mga mapanlinlang na abiso ng HR na nangangailangan sa mga empleyado na mag-scan ng code para i-update ang impormasyon ng payroll, at mga pekeng abiso ng paghahatid ng pakete ay lahat ng karaniwang enterprise attack vector. Tulad ng tinalakay sa aming gabay sa pagtukoy ng phishing na email, ang mga atake batay sa email ay nagiging mas sopistikado sa kanilang paggamit ng mga visual na elemento para maiwasan ang automated na filtering.

Ang mga pekeng flyer ng kawanggawa at fundraising ay nagsasamantala sa kagandahang-loob. Pagkatapos ng mga natural na kalamidad o malalaking balita, ang mga mapanlinlang na flyer na may mga QR code ng donasyon ay lumalabas sa mga pampublikong bulletin board ng komunidad, sa mga supermarket, at sa social media. Ang mga code ay nag-li-link sa mga nakaka-kumbinsing pekeng pahina ng pagbabayad ng kawanggawa na kumukuha ng mga donasyon at detalye ng card nang hindi kailanman gumagawa ng tunay na donasyon.

Bakit Napakaepektibo ng Mga QR Scam

Ang bisa ng quishing ay nagmumula sa isang pundamental na pagkakamali ng tiwala. Ang mga QR code ay nauugnay sa kaginhawaan at modernidad, inilalagay ang mga ito ng mga lehitimong negosyo sa mga opisyal na materyales. Ang mga tao ay sinanay sa pamamagitan ng maraming taon ng paggamit na magtiwala sa pisikal na konteksto ng isang QR code nang higit pa kaysa magtiwala sa isang random na email link. Ang isang code sa isang mesa ng restaurant o isang parking meter ay nagdadala ng implicit na endorsement mula sa mismong lokasyon.

Ang mga camera app ay nagbibigay ng minimal na friction. Karamihan sa mga smartphone ay awtomatikong nakikilala ang mga QR code at nagpapakita ng maliit na URL preview na instinctively na hindi pinapansin ng mga user nang hindi binabasa. Maliit ang preview window, ang URL ay madalas na mahaba o pinaikli, at ang natural na tendency ng utak na mag-pattern-match ay nangangahulugang madalas na nakikita ng mga user ang inaasahan nila kaysa sa kung ano ang talagang naroon. Ang isang URL tulad ng "secure-payment-parkingzone.com" ay nababasa bilang "parking" para sa isang abalang user kahit na nagtatanda ito ng panganib para sa isang maingat na tao.

Dumating ka sa isang parking meter at na-scan ang QR code. Nagpapakita ang camera ng iyong telepono ng preview URL: 'parking-pay-secure-city.com/pay'. Ang meter ay nasa isang pangunahing lungsod sa US. Ano ang dapat mong gawin?

  1. Buksan agad ang link, binabanggit nito ang lungsod kaya lehitimo ito
  2. Maingat na suriin ang URL: tumutugma ba ito sa opisyal na domain ng iyong lungsod?
  3. Balewalain ang preview at magpatuloy dahil palaging ligtas ang mga parking meter
  4. Tawagan ang numero ng customer service na nasa parking meter

Answer: Ang mga generic na tunog na domain tulad ng 'parking-pay-secure-city.com' ay isang malaking senyales ng babala. Ang opisyal na sistema ng parking ng iyong lungsod ay magkakaroon ng tiyak, kilalang domain (hal., paybyphone.com o opisyal na.gov site ng iyong lungsod). Laging i-verify na tumutugma ang destination URL sa inaasahang opisyal na domain bago maglagay ng anumang impormasyon sa pagbabayad, o gumamit ng pisikal na card slot kung available.

Inaalis din ng mobile context ang marami sa mga security tool na mayroon ang mga tao sa mga desktop computer. Ang corporate endpoint protection, mga browser extension na nagmamarka ng mga phishing site, at ang ugali ng pag-hover sa mga link para ma-preview ang mga ito ay hindi nagsasalin sa mobile. Sa isang telepono, ang user ay halos nag-iisa.

Paano Matukoy ang isang Pekeng QR Code

Pisikal na siyasatin ang code. Maghanap ng mga sticker na nakalagay sa ibabaw ng mga naka-print na materyales. Ang mga pekeng sticker ay madalas na may bahagyang naiibang stock ng papel, bahagyang maling pagkakaayos sa mga nakapaligid na elemento ng disenyo, o mga nakikitang gilid kung saan ang sticker ay sumasaklaw sa naka-print na teksto. Patakbuhin ang iyong kuko sa kahabaan ng ibabaw, ang isang may layer na sticker ay karaniwang magkakaroon ng isang mahinang tumaas na gilid.

Basahin ang buong URL bago mag-tap. Pagkatapos ma-scan ng iyong camera ang isang code, lumalabas ang isang preview na abiso o banner. Huminto bago ito i-tap at basahin ang buong URL. Maghanap ng: inaasahang pangalan ng negosyo sa domain (hindi isang suffix o prefix), isang lehitimong top-level na domain (.com,.gov,.org, hindi mga hindi karaniwang extension tulad ng.xyz o.top), at ang kawalan ng mga karagdagang salita tulad ng "secure", "login", "verify", o "payment" na nakadugtong sa kung ano ang mukhang pangalan ng brand.

Maging maingat sa pagkaapurahan. Ang mga code na sinasamahan ng wikang tulad ng "I-scan agad", "Limitadong oras na alok", o "Kinakailangan para sa access" ay idinisenyo para mapagkilos ka bago mag-isip. Ang mga lehitimong negosyo ay karaniwang hindi gumagamit ng urgent, mataas na presyon na wika sa paligid ng mga QR payment code.

I-cross-reference sa mga opisyal na channel. Bago mag-scan ng QR code mula sa isang email o dokumento na nag-aangking galing sa iyong bangko, departamento ng HR, o isang carrier, suriin kung talagang nagpadala ng komunikasyon ang organisasyong iyon sa pamamagitan ng direktang pakikipag-ugnayan sa kanila sa pamamagitan ng kanilang opisyal na website o app. Huwag kailanman gumamit ng impormasyon sa pakikipag-ugnayan na ibinigay sa parehong mensaheng naglalaman ng QR code. Para sa pagtatasa ng mga kahina-hinalang link at nilalaman mula sa hindi kilalang pinagmulan, ang scanning tool ng Truvizy ay makatutulong sa iyo na tasahin ang panganib bago mag-commit sa anumang aksyon.

Gumamit ng alternatibo kung available. Kung ang QR code ang nag-iisang opsyon sa pagbabayad sa isang parking meter o kiosk, isaalang-alang ang paggamit ng pisikal na card slot, pagbabayad sa pamamagitan ng isang dedicated na opisyal na app na na-download mo mula sa isang na-verify na app store, o paghahanap ng isa pang paraan. Ang kaginhawaan ay hindi dapat kailanman magtagumpay sa seguridad kapag ang pagbabayad o personal na impormasyon ay kasangkot.

Checklist para sa ligtas na pag-scan ng mga QR code, i-verify ang URL, siyasatin ang pisikal na code, gumamit ng mga opisyal na app
Checklist para sa ligtas na pag-scan ng mga QR code, i-verify ang URL, siyasatin ang pisikal na code, gumamit ng mga opisyal na app

Ano ang Gagawin Kung Na-scam Ka

Kung nag-scan ka ng code, binuksan ang link, at naglagay ng impormasyon, kumilos nang mabilis. Bawat minuto ng pagkaantala ay nagbibigay sa attacker ng mas maraming oras para gamitin ang iyong data.

Kung naglagay ka ng detalye ng payment card: Tumawag agad sa fraud line ng iyong bangko (gamitin ang numero sa likod ng iyong card, hindi anumang numero mula sa kahina-hinalang site). Humiling ng card freeze o kapalit. Hilingin sa bangko na markahan ang anumang singil mula sa sandaling naglagay ka ng impormasyon.

Kung naglagay ka ng mga login credential: Palitan agad ang iyong password mula sa isang hiwalay, pinagkakatiwalaang device. I-enable ang two-factor authentication kung hindi pa ito aktibo. Suriin ang anumang hindi pamilyar na device o session na naka-log in sa account at alisin ang mga ito. Kung parehong password ang ginagamit mo sa ibang lugar, palitan din ang mga iyon.

Maglagay ng fraud alert sa iyong credit file sa isa sa tatlong pangunahing bureau (Equifax, Experian, TransUnion), awtomatiko nitong inaabisuhan ang dalawa pa. Kung naniniwala kang nakompromiso ang iyong pagkakakilanlan, isaalang-alang ang isang credit freeze, na libre at pumipigil na mabuksan ang mga bagong account sa iyong pangalan. Ang aming komprehensibong gabay sa pag-iwas sa pagnanakaw ng pagkakakilanlan ay sumasaklaw sa buong proseso ng pagbawi nang detalyado.

Protektahan ang iyong sarili mula sa mga QR code scam at iba pang mga mobile na banta gamit ang AI-powered na pagtukoy ng fraud.

Pagprotekta sa Sarili Mula Rito

Ang pinakamahalagang ugali ay ang huminto bago mag-tap. Ang buong disenyo ng quishing ay umaasa sa katotohanan na ang pag-scan ng QR ay pakiramdam na awtomatiko at agaran. Ang pagbasag ng automatic na tugon na iyon, kahit dalawang segundo lang para basahin ang URL, ay nagtatalo sa atake. Gawin itong isang patakaran: suriin muna ang preview URL, pagkatapos ay buksan.

Gumamit ng dedicated na QR scanner app na gumaganap ng real-time na safety check sa decoded na URL bago ipakita sa iyo. Ang mga app na ito, makukuha nang libre mula sa mga pangunahing security vendor, ay gumagana tulad ng isang URL-checker na built-in sa iyong workflow ng pag-scan. Ang mobile equivalent sila ng pag-hover sa isang link bago mag-click.

Panatilihing updated ang OS at browser ng iyong telepono. Ang mga security patch ay madalas na nagsasara ng mga kahinaan na pinagsasamantalahan ng mga drive-by download attack kapag binibisita ang isang malisyosong site. Ang isang hindi na-patch na telepono ay mas madaling kapitan sa ikalawang yugto ng isang quishing attack, kahit na nananatiling ligtas ang iyong mga kredensyal.

I-enable ang two-factor authentication gamit ang isang authenticator app, hindi ang SMS. Tulad ng aming napansin sa aming gabay sa smishing at mga text scam, maaaring ma-intercept ang SMS-based na 2FA. Ang isang authenticator app ay lokal na gumagawa ng mga code sa iyong device, na ginagawang mas mahirap ang mga real-time relay attack.

Iulat ang mga kahina-hinalang code kahit saan mo makita. Kung napansin mo ang isang sticker na mukhang kahina-hinala sa isang pampublikong QR code, kunan ng larawan ang lokasyon at iulat ito sa negosyo o lokal na awtoridad. Ang pag-alis ng isang malisyosong sticker sa loob ng ilang oras ay maaaring magprotekta ng dose-dosenang iba pang potensyal na biktima.

Key Takeaways

Ang mga QR code ay hindi mawawala, at ganoon din ang mga scammer na nagsasamantala sa kanila. Habang ang mga contactless na pagbabayad, mga digital na menu, at mga serbisyong mobile-first ay nagiging mas naka-embed sa pang-araw-araw na buhay, ang quishing ay magiging mas sopistikado at mas laganap. Ang lunas ay kamalayan: alam na ang anumang pisikal na QR code ay maaaring palitan, ang anumang code sa isang email ay maaaring mag-link kahit saan, at ang dalawang segundong kinukuha para basahin ang isang URL bago mag-tap ay maaaring ang dalawang segundong nagliligtas sa iyo mula sa isang napaka-mahal na aralin.

Kasama sa mga plano ng proteksyon ng Truvizy ang mga tool para sa pag-analyze ng mga kahina-hinalang URL at link, i-paste ang isang URL na na-decode mula sa anumang QR code sa Truvizy bago buksan ito at makakuha ng instant na AI-powered na pagtatasa ng lehitimidad nito. Sa isang landscape ng banta kung saan nagtatago ang mga scammer ng mga malisyosong link sa loob ng mga larawan, ang pagkakaroon ng tool na nagtatasa ng tunay na destinasyon ay hindi na opsyonal, ito ay mahalaga.

Smishing: Bakit Scam ang Text Mula sa Iyong Bangko — Ang text-based na phishing na may parehong sikolohikal na playbook bilang quishing.

Pagtukoy ng Phishing na Email — Paano matukoy ang mga atake batay sa email, kabilang ang mga gumagamit ng mga QR code para lampasan ang mga filter.

Mga Social Engineering Attack — Ang mga teknik ng sikolohikal na manipulasyon sa likod ng quishing at lahat ng modernong scam.

FAQ

Ano ang quishing?

Ang quishing ay QR code phishing, isang scam kung saan pinapalitan o gumagawa ng mga pekeng QR code ang mga attacker na nagre-redirect sa mga biktima sa mga malisyosong website na idinisenyo para magnakaw ng mga login credential, impormasyon sa pagbabayad, o mag-install ng malware sa kanilang device.

Paano ko malalaman kung peke ang isang QR code bago ito i-scan?

Suriin ang code nang pisikal: maghanap ng mga sticker na nakalagay sa ibabaw ng orihinal na code, pinsala sa nakapaligid na materyal, o mga code na mukhang bahagyang naiiba kumpara sa mga kalapit. Pagkatapos mag-scan, laging suriin ang buong destination URL sa preview ng iyong camera app bago mag-tap ng "buksan". Kung ang URL ay hindi eksaktong tumutugma sa inaasahang domain ng negosyo, huwag ituloy.

Maaari bang mag-install ng malware sa aking telepono ang pag-scan ng QR code?

Ang simpleng pag-scan ng QR code gamit ang iyong camera ay hindi nag-i-install ng malware, ngunit ang pagbubukas ng resultang link ay maaari. Ang mga malisyosong site ay maaaring sumubok ng mga drive-by download, credential phishing, o mag-prompt sa iyo na mag-install ng pekeng app. Panatilihing updated ang OS ng iyong telepono, iwasang payagan ang pag-install ng app mula sa mga hindi kilalang pinagmulan, at gumamit ng QR scanner na may built-in na URL safety checking.

Anong mga lokasyon ang may pinakamataas na panganib ng mga pekeng QR code?

Kasama sa mga high-risk na lokasyon ang mga parking meter, mesa at menu ng restaurant, himpilan ng pampublikong sasakyan, label ng pagbabalik ng pakete, lobby ng hotel, at mga flyer na naka-post sa publiko. Anumang hindi nababantayang pisikal na espasyo kung saan maaaring palitan ng isang tao ang isang code sa gabi nang hindi natutuklas ay isang potensyal na target.

Ano ang dapat kong gawin kung nag-scan na ako at naglagay ng impormasyon sa isang kahina-hinalang site?

Kumilos agad: palitan ang anumang password na inilagay mo, makipag-ugnayan sa iyong bangko kung nagbigay ka ng detalye ng pagbabayad, i-enable ang two-factor authentication sa mga apektadong account, at subaybayan ang iyong ulat ng kredito. I-report ang insidente sa FTC sa reportfraud.ftc.gov at, kung nasa property ito ng negosyo, alertuhin ang negosyo para mapalitan nila ang nakompromisong code.