Penipuan Kod QR (Quishing): Ancaman yang Tersembunyi di Depan Mata

Penipuan kod QR, dipanggil quishing, sedang melonjak pada 2026. Pelajari cara kod QR palsu mencuri wang dan data anda, di mana penipu meletakkannya, dan cara mengimbas dengan selamat sebelum mengetuk.

· Truvizy Research Team · 8 min read

TL;DR

Quishing adalah pancingan data kod QR: penipu menggantikan kod QR yang sah pada menu restoran, meter parkir, label pakej, dan poster awam dengan kod yang mengubah hala ke laman web pencurian kelayakan. Kerana kamera telefon anda hanya mempratonton URL kecil sebelum anda membukanya, kebanyakan orang tidak pernah perasan pertukaran itu. Sentiasa semak URL destinasi sebelum membuka mana-mana pautan kod QR, gunakan pengimbas QR dengan pemeriksaan keselamatan terbina dalam, dan apabila ragu-ragu taip alamat web rasmi secara manual.

Anda masuk ke tempat letak kereta, mengimbas kod QR pada kiosk pembayaran, dan memasukkan kad kredit anda untuk membayar tempat anda. Transaksi kelihatan berjaya. Petang itu, bank anda menghubungi tentang tiga caj penipuan dari luar negara. Anda tidak pernah menyerahkan kad kepada sesiapa. Anda tidak pernah mengklik e-mel yang mencurigakan. Semua yang anda lakukan adalah mengimbas kod QR, dan itu sudah cukup. Selamat datang ke quishing: penipuan yang berkembang paling pesat yang kebanyakan orang tidak pernah dengar.

Kod QR direka untuk kemudahan, imbas dan pergi. Tetapi pengalaman tanpa geseran yang sama yang menjadikannya menarik untuk perniagaan juga menjadikannya berbahaya di tangan penipu. Tidak seperti pautan e-mel yang mencurigakan yang boleh anda arahkan kursor untuk pratonton, kod QR tidak mendedahkan apa-apa sehingga selepas anda telah menghala kamera ke arahnya. Pada masa anda melihat URL destinasi, ramai mangsa sudah pun mengetuk 'buka'. Jurang sepersaat itulah yang dieksploitasi oleh quishing.

Apakah Quishing?

Quishing, gabungan 'QR' dan 'phishing', adalah amalan menanam URL berniat jahat di dalam kod QR untuk mengubah hala mangsa ke laman web penipuan. Penipuan ini boleh mengambil beberapa bentuk: secara fizikal menggantikan kod yang sah dengan pelekat palsu di ruang awam, menghantar kod QR melalui e-mel atau teks yang memintas penapis spam tradisional, atau mencipta dokumen palsu (invois, tanda amaran parkir, notis pakej) yang menampilkan kod penipuan secara menonjol.

Pusat Aduan Jenayah Internet FBI menandakan quishing sebagai ancaman keutamaan yang muncul pada 2024, dan angkanya hanya memburuk sejak itu. Firma keselamatan siber mendokumentasikan peningkatan 587% dalam serangan pancingan data berasaskan kod QR antara 2024 dan 2025. Teknik ini telah menjadi popular dengan kumpulan penipuan terorganisir kerana ia murah untuk dilaksanakan, sukar dikesan pada skala, dan direka khusus untuk mengelakkan alat keselamatan e-mel yang tidak dapat membaca URL yang tertanam dalam imej.

Quishing adalah sebahagian daripada perubahan yang lebih luas dalam taktik penipuan ke arah serangan mudah alih-dahulu. Seperti yang kami dokumentasikan dalam analisis kami tentang cara AI mempercepatkan kecanggihan penipuan, penipu secara khusus menyasarkan alat dan tabiat yang telah diterima pakai orang semasa era telefon pintar, dan kod QR adalah salah satu tabiat mudah alih yang paling meluas diterima pakai dalam lima tahun lalu.

Cara Penipuan Kod QR Berfungsi

Mekanik serangan quishing adalah mudah secara mengelirukan. Penyerang menjana kod QR yang mengekod URL berniat jahat, biasanya versi klon halaman log masuk bank, portal pembayaran, atau perkhidmatan kerajaan. Halaman palsu direka untuk kelihatan sama dengan yang sah, menangkap sebarang kelayakan atau maklumat pembayaran yang dimasukkan oleh mangsa.

Dalam serangan fizikal, penipu mencetak kod penipuan pada pelekat dan meletakkannya di atas kod yang sah pada meter parkir, tenda meja restoran, atau papan buletin awam. Pertukaran mengambil masa beberapa saat. Penyerang kemudian boleh meninggalkan kawasan itu dan mengumpul data yang dicuri dari jauh. Satu pelekat yang diletakkan dengan baik pada meter parkir yang sibuk boleh menangkap berpuluh-puluh mangsa sehari.

Diagram menunjukkan cara penipu menggantikan pelekat kod QR yang sah dengan pelekat penipuan pada meter parkir
Diagram menunjukkan cara penipu menggantikan pelekat kod QR yang sah dengan pelekat penipuan pada meter parkir

Quishing berasaskan e-mel mengikuti buku peraturan yang berbeza. Penyerang menghantar mesej yang menyamar sebagai bank, jabatan HR, atau pembawa bungkusan, mendakwa penerima perlu mengesahkan akaun mereka atau menjejak penghantaran, dan menyertakan kod QR untuk 'diimbas dengan telefon anda untuk keselamatan tambahan'. Arahan ini adalah disengajakan: memindahkan interaksi ke peranti mudah alih membawa mangsa jauh dari komputer korporat dengan alat keselamatannya dan ke telefon peribadi dengan lebih sedikit perlindungan.

Setelah berada di halaman palsu, mangsa berhadapan dengan borang pemanenan kelayakan yang digilap. Serangan yang lebih canggih menggunakan teknik geganti masa nyata: apabila mangsa memasukkan nama pengguna dan kata laluan mereka, penyerang memasukkan kelayakan tersebut ke dalam laman web sebenar secara serentak, kemudian menyampaikan prompt pengesahan dua faktor kembali kepada mangsa, memintas perlindungan 2FA sepenuhnya.

Tidak pasti tentang pautan dari kod QR? Tampal URL ke dalam Truvizy untuk menyemak petunjuk pancingan data sebelum anda memasukkan sebarang maklumat.

Di Mana Kod QR Palsu Muncul

Meter parkir dan kiosk pembayaran adalah antara lokasi yang paling banyak disasarkan di AS. Jabatan Pengangkutan Texas mendokumentasikan berpuluh-puluh pelekat kod QR palsu pada meter parkir di seluruh bandar besar pada 2024. Mangsa memasukkan butiran kad kredit penuh dengan mengharapkan untuk membayar parkir dan sebaliknya menyerahkan data kewangan mereka terus kepada penipu. Penipuan ini berfungsi dengan sangat baik kerana pembayaran parkir adalah situasi yang penuh tekanan, pemandu sering tergesa-gesa dan tidak memeriksa antara muka pembayaran dengan teliti.

Tenda meja dan menu restoran menjadi vektor utama apabila makan tanpa sentuhan merebak pasca pandemik. Pelekat dengan kod QR penipuan yang diletakkan di atas atau di sebelah kod yang sah boleh mengubah hala pengunjung ke menu palsu atau halaman pembayaran. Dalam sesetengah kes, halaman palsu bahkan memaparkan menu yang meyakinkan sebelum mengubah hala ke borang pemanenan kelayakan yang mendakwa restoran telah beralih kepada pesanan dalam talian.

Label pemulangan pakej mewakili kategori serangan yang berkembang pesat. Mangsa menerima bungkusan, kadang-kadang tidak diminta, kadang-kadang sebagai sebahagian daripada kempen hadiah palsu, yang mengandungi label pemulangan dengan kod QR. Mengimbas kod sepatutnya memulakan pemulangan tetapi sebaliknya membawa ke portal peruncit palsu yang meminta maklumat kad kredit untuk 'pemprosesan bayaran balik'.

Transit awam dan perhentian bas membawa risiko yang besar kerana papan tanda diurus oleh pihak berkuasa tempatan dengan kapasiti pemantauan yang terhad. Kod penipuan pada peta transit, kiosk tiket, atau skrin pembayaran tambang boleh tidak disedari selama beberapa hari sebelum dibuang. Di UK, Transport for London membuang ratusan kod QR penipuan dari stesen pada 2025.

Serangan berasaskan e-mel dan dokumen menyasarkan perniagaan sama seperti pengguna. Invois palsu yang mengandungi kod QR untuk 'pembayaran selamat', pemberitahuan HR penipuan yang memerlukan pekerja mengimbas kod untuk mengemas kini maklumat gaji, dan notis penghantaran pakej palsu semuanya adalah vektor serangan perusahaan yang biasa. Seperti yang dibincangkan dalam panduan kami tentang pengesanan e-mel pancingan data, serangan berasaskan e-mel menjadi lebih canggih dalam penggunaan elemen visual untuk mengelakkan penapisan automatik.

Risalah amal palsu dan pengumpulan dana mengeksploitasi kemurahan hati. Selepas bencana alam atau peristiwa berita besar, risalah penipuan dengan kod QR derma muncul di papan buletin komuniti, pasar raya, dan media sosial. Kod itu memaut ke halaman pembayaran amal palsu yang meyakinkan yang menangkap derma dan butiran kad tanpa pernah membuat derma sebenar.

Mengapa Penipuan QR Begitu Berkesan

Keberkesanan quishing berpunca dari ketidakpadanan kepercayaan yang asas. Kod QR dikaitkan dengan kemudahan dan kemodenan, ia diletakkan oleh perniagaan yang sah pada bahan rasmi. Orang telah dilatih melalui bertahun-tahun penggunaan untuk mempercayai konteks fizikal kod QR lebih daripada pautan e-mel rawak. Kod pada meja restoran atau meter parkir membawa endorsemen tersirat dari lokasi itu sendiri.

Aplikasi kamera memberikan geseran yang minimum. Kebanyakan telefon pintar secara automatik mengenali kod QR dan memaparkan pratonton URL kecil yang pengguna secara naluri menolak tanpa membacanya. Tetingkap pratonton adalah kecil, URL sering panjang atau dipendekkan, dan kecenderungan semula jadi otak untuk memadankan corak bermakna pengguna sering melihat apa yang mereka jangkakan dan bukannya apa yang sebenarnya ada. URL seperti 'secure-payment-parkingzone.com' dibaca sebagai 'parking' kepada pengguna yang tidak fokus walaupun ia memberi isyarat bahaya kepada pengguna yang berhati-hati.

Anda tiba di meter parkir dan mengimbas kod QR. Kamera telefon anda menunjukkan URL pratonton: 'parking-pay-secure-city.com/pay'. Meter itu berada di bandar besar AS. Apa yang perlu anda lakukan?

  1. Buka pautan dengan segera, ia menyebut bandar itu jadi ia mesti sah
  2. Semak URL dengan teliti: adakah ia sepadan dengan domain parkir rasmi bandar anda?
  3. Gunakan slot kad fizikal atau gunakan aplikasi rasmi yang dimuat turun dari kedai aplikasi yang disahkan
  4. Ambil foto meter sebelum mengimbas kod QR dan meneruskan pembayaran

Answer: Domain yang kedengaran generik seperti 'parking-pay-secure-city.com' adalah tanda amaran utama. Sistem parkir rasmi bandar anda akan mempunyai domain tertentu yang dikenali (contohnya paybyphone.com atau tapak.gov rasmi bandar anda). Sentiasa sahkan URL destinasi sepadan dengan domain rasmi yang dijangkakan sebelum memasukkan sebarang maklumat pembayaran, atau gunakan slot kad fizikal jika tersedia.

Konteks mudah alih juga menghapuskan banyak alat keselamatan yang dimiliki orang pada komputer desktop. Perlindungan titik akhir korporat, sambungan pelayar yang menandakan tapak pancingan data, dan tabiat mengarahkan kursor ke atas pautan untuk pratonton tidak diterjemahkan ke mudah alih. Pada telefon, pengguna sebahagian besarnya bergantung pada diri sendiri.

Cara Mengesan Kod QR Palsu

Periksa kod secara fizikal. Cari pelekat yang diletakkan di atas bahan bercetak. Pelekat palsu sering mempunyai stok kertas yang sedikit berbeza, sedikit penjajaran yang salah dengan elemen reka bentuk sekeliling, atau tepi yang kelihatan di mana pelekat bertindih dengan teks bercetak. Jalankan kuku jari anda di sepanjang permukaan, pelekat berlapis biasanya akan mempunyai tepi yang sedikit terangkat.

Baca URL penuh sebelum mengetuk. Selepas kamera anda mengimbas kod, pemberitahuan atau sepanduk pratonton muncul. Berhenti sebelum mengetuknya dan baca URL penuh. Cari: nama perniagaan yang dijangkakan dalam domain (bukan akhiran atau awalan), domain peringkat atas yang sah (.com,.gov,.org, bukan sambungan luar biasa seperti.xyz atau.top), dan ketiadaan kata-kata tambahan seperti 'secure', 'login', 'verify', atau 'payment' yang ditambahkan kepada apa yang kelihatan seperti nama jenama.

Bersikap skeptikal terhadap kemendesakan. Kod yang digandingkan dengan bahasa seperti 'Imbas segera', 'Tawaran terhad masa', atau 'Diperlukan untuk akses' direka untuk membuat anda bertindak sebelum berfikir. Perniagaan yang sah biasanya tidak menggunakan bahasa yang mendesak dan bertekanan tinggi di sekeliling kod pembayaran QR.

Rujuk silang dengan saluran rasmi. Sebelum mengimbas kod QR dari e-mel atau dokumen yang mendakwa dari bank, jabatan HR, atau pembawa anda, semak sama ada organisasi itu benar-benar menghantar komunikasi dengan menghubungi mereka secara langsung melalui laman web atau aplikasi rasmi mereka. Jangan sesekali menggunakan maklumat hubungan yang disediakan dalam mesej yang sama yang mengandungi kod QR. Untuk menilai pautan dan kandungan yang mencurigakan dari sumber yang tidak diketahui, alat pengimbasan Truvizy boleh membantu anda menilai risiko sebelum melakukan sebarang tindakan.

Gunakan alternatif apabila tersedia. Jika kod QR adalah satu-satunya pilihan pembayaran di meter parkir atau kiosk, pertimbangkan untuk menggunakan slot kad fizikal, membayar melalui aplikasi rasmi khusus yang anda muat turun dari kedai aplikasi yang disahkan, atau mencari kaedah lain. Kemudahan tidak boleh mengalahkan keselamatan apabila pembayaran atau maklumat peribadi terlibat.

Senarai semak untuk mengimbas kod QR dengan selamat, sahkan URL, periksa kod fizikal, gunakan aplikasi rasmi
Senarai semak untuk mengimbas kod QR dengan selamat, sahkan URL, periksa kod fizikal, gunakan aplikasi rasmi

Apa yang Perlu Dilakukan Jika Anda Ditipu

Jika anda mengimbas kod, membuka pautan, dan memasukkan maklumat, bergerak dengan pantas. Setiap minit kelewatan memberikan penyerang lebih banyak masa untuk menggunakan data anda.

Jika anda memasukkan butiran kad pembayaran: Hubungi talian penipuan bank anda dengan segera (gunakan nombor di belakang kad anda, bukan sebarang nombor dari tapak yang mencurigakan). Minta pembekuan atau penggantian kad. Minta bank menandakan sebarang caj dari saat anda memasukkan maklumat.

Jika anda memasukkan kelayakan log masuk: Tukar kata laluan anda dengan segera dari peranti yang berasingan dan dipercayai. Aktifkan pengesahan dua faktor jika ia belum aktif. Semak sebarang peranti atau sesi yang tidak dikenali yang log masuk ke akaun dan keluarkan. Jika anda menggunakan kata laluan yang sama di tempat lain, tukar juga.

Letakkan amaran penipuan pada fail kredit anda dengan salah satu daripada tiga biro utama (Equifax, Experian, TransUnion), ini memberitahu dua yang lain secara automatik. Jika anda percaya identiti anda telah terjejas, pertimbangkan pembekuan kredit, yang percuma dan menghalang akaun baru dibuka atas nama anda. Panduan komprehensif kami tentang pencegahan kecurian identiti merangkumi proses pemulihan penuh secara terperinci.

Lindungi diri anda daripada penipuan kod QR dan ancaman mudah alih lain dengan pengesanan penipuan berkuasa AI.

Melindungi Diri Anda pada Masa Hadapan

Tabiat terpenting adalah berhenti sebelum mengetuk. Keseluruhan reka bentuk quishing bergantung pada hakikat bahawa pengimbasan QR terasa automatik dan serta-merta. Memecahkan tindak balas automatik itu, walaupun dua saat untuk membaca URL, mengganggu serangan. Jadikan ia peraturan: pratonton URL dahulu, buka kedua.

Gunakan aplikasi pengimbas QR khusus yang melakukan pemeriksaan keselamatan masa nyata pada URL yang dinyahkod sebelum mempersembahkannya kepada anda. Aplikasi ini, tersedia secara percuma dari vendor keselamatan utama, berfungsi seperti pemeriksa URL yang dibina ke dalam aliran kerja imbasan anda. Ia adalah setara mudah alih dengan mengarahkan kursor ke atas pautan sebelum mengklik.

Pastikan OS dan pelayar telefon anda dikemas kini. Tampalan keselamatan kerap menutup kelemahan yang dieksploitasi oleh serangan muat turun drive-by apabila tapak berniat jahat dilawati. Telefon yang tidak ditampal jauh lebih terdedah kepada peringkat kedua serangan quishing, walaupun kelayakan anda kekal selamat.

Aktifkan pengesahan dua faktor menggunakan aplikasi pengesah, bukan SMS. Seperti yang kami nyatakan dalam panduan kami tentang smishing dan penipuan teks, 2FA berasaskan SMS boleh dipintas. Aplikasi pengesah menjana kod secara tempatan pada peranti anda, menjadikan serangan geganti masa nyata jauh lebih sukar.

Laporkan kod yang mencurigakan di mana sahaja anda menemuinya. Jika anda melihat pelekat yang kelihatan mencurigakan pada kod QR awam, fotografikan lokasi dan laporkan kepada perniagaan atau pihak berkuasa tempatan. Mengeluarkan pelekat berniat jahat dalam beberapa jam boleh melindungi berpuluh-puluh mangsa berpotensi yang lain.

Key Takeaways

Kod QR tidak akan hilang, dan begitu juga penipu yang mengeksploitasinya. Apabila pembayaran tanpa sentuhan, menu digital, dan perkhidmatan mudah alih-dahulu semakin tertanam dalam kehidupan harian, quishing akan menjadi lebih canggih dan lebih meluas. Penawarnya adalah kesedaran: mengetahui bahawa mana-mana kod QR fizikal boleh digantikan, mana-mana kod dalam e-mel boleh memaut ke mana sahaja, dan dua saat yang diperlukan untuk membaca URL sebelum mengetuk boleh menjadi dua saat yang menyelamatkan anda dari pengajaran yang sangat mahal.

Pelan perlindungan Truvizy termasuk alat untuk menganalisis URL dan pautan yang mencurigakan, tampal URL yang dinyahkod dari mana-mana kod QR ke dalam Truvizy sebelum membukanya dan dapatkan penilaian segera berkuasa AI tentang kesahihannya. Dalam landskap ancaman di mana penipu menyembunyikan pautan berniat jahat di dalam imej, mempunyai alat yang menyemak destinasi sebenar bukan lagi pilihan, ia adalah penting.

Smishing: Mengapa Teks Dari Bank Anda Itu Mungkin Penipuan — Pancingan data berasaskan teks yang berkongsi buku peraturan psikologi yang sama dengan quishing.

Pengesanan E-mel Pancingan Data — Cara mengenal pasti serangan berasaskan e-mel, termasuk yang menggunakan kod QR untuk memintas penapis.

Serangan Kejuruteraan Sosial — Teknik manipulasi psikologi di sebalik quishing dan semua penipuan moden.

FAQ

Apakah quishing?

Quishing adalah pancingan data kod QR, penipuan di mana penyerang menggantikan atau mencipta kod QR palsu yang mengubah hala mangsa ke laman web berniat jahat yang direka untuk mencuri kelayakan log masuk, maklumat pembayaran, atau memasang perisian hasad pada peranti mereka.

Bagaimana saya boleh mengetahui sama ada kod QR adalah palsu sebelum mengimbasnya?

Periksa kod secara fizikal: cari pelekat yang diletakkan di atas kod asal, kerosakan pada bahan sekeliling, atau kod yang kelihatan sedikit berbeza berbanding kod berdekatan. Selepas mengimbas, sentiasa semak URL destinasi penuh dalam pratonton aplikasi kamera anda sebelum mengetuk 'buka'. Jika URL tidak sepadan dengan domain perniagaan yang dijangkakan dengan tepat, jangan teruskan.

Bolehkah mengimbas kod QR memasang perisian hasad pada telefon saya?

Sekadar mengimbas kod QR dengan kamera anda tidak memasang perisian hasad, tetapi membuka pautan yang terhasil boleh. Tapak berniat jahat boleh mencuba muat turun drive-by, pancingan data kelayakan, atau menggalakkan anda memasang aplikasi palsu. Pastikan OS telefon anda dikemas kini, elakkan membenarkan pemasangan aplikasi dari sumber yang tidak diketahui, dan gunakan pengimbas QR dengan pemeriksaan keselamatan URL terbina dalam.

Lokasi mana yang mempunyai risiko tertinggi untuk kod QR palsu?

Lokasi berisiko tinggi termasuk meter parkir, meja dan menu restoran, henti transit awam, label pemulangan pakej, lobi hotel, dan risalah yang ditampal di tempat awam. Mana-mana ruang fizikal yang tidak dipantau di mana seseorang boleh menggantikan kod pada waktu malam tanpa dikesan adalah sasaran berpotensi.

Apa yang perlu saya lakukan jika saya sudah mengimbas dan memasukkan maklumat di tapak yang mencurigakan?

Bertindak dengan segera: tukar sebarang kata laluan yang anda masukkan, hubungi bank anda jika anda memberikan butiran pembayaran, aktifkan pengesahan dua faktor pada akaun yang terjejas, dan pantau laporan kredit anda. Laporkan kejadian itu ke FTC di reportfraud.ftc.gov dan, jika ia berada di premis perniagaan, maklumkan perniagaan itu supaya mereka boleh menggantikan kod yang terjejas.