arrow_backBlog
·5 min læsning·Super QR Code Generator Team

QR-kode phishing (quishing): Sådan genkender og stopper du det

Quishing-angreb stiger hurtigt. Lær at genkende ondsindet QR-koder, beskyt dine kunder og hærd dine kampagner mod misbrug.

qr-kode sikkerhedquishinganti-phishingqr-kode best practices
QR-kode phishing (quishing): Sådan genkender og stopper du det
AI-generated

QR-koder er overalt nu — restaurantmenuer, eventbadges, betalingsterminals, parkeringsmetre. Denne allestedsnærværelse har gjort dem til en alvorlig angrebsflade. "Quishing" (QR-kode phishing) giver angribere mulighed for at omgå e-mailfiltre helt, fordi den ondsindet URL ligger indeni et billede i stedet for et almindeligt tekstlink. Sikkerhedsteams hos store banker og offentlige myndigheder har markeret det som en af de hurtigst voksende social engineering-vektorer i løbet af de seneste to år. Hvis du opretter QR-koder til din virksomhed, giver forståelsen af, hvordan quishing virker, beskyttelse til både dig og de mennesker, der scanner dine koder.

Sådan ser quishing-angreb faktisk ud

Et quishing-angreb følger en simpel spilleplan:

  1. Angriberen genererer en QR-kode, der koderer en ondsindet URL — normalt en side designet til at høste legitimationsoplysninger og ligne en bank-, pakkekurir- eller arbejdspladslogin.
  2. Koden er integreret i en phishing-e-mail (hvor den undgår link-scanningsfiltre), trykt på en klistermærke placeret over en legitim QR-kode, eller efterladt på en flyer på et offentligt sted.
  3. Offeret scanner med sin telefon. Mobilbrowsere har mindre robust phishing-beskyttelse end desktopbrowsere, så angrebet lykkes oftere.

Den mest skadelige variant fra den virkelige verden er klistermærke-kapring: en kriminel printer en forfalsket QR-klistermærke og kleister det over din på en fysisk display. Dine kunder scanner, hvad der ligner din kode, men lander på en falsk betalings- eller loginside.

Seks tegn på, at en QR-kode kan være ondsindet

Lær dit team — og påmind dine kunder — at tjekke for disse tegn, inden de handler på en scannet URL:

  • Klistermærke på toppen af trykt materiale. Legitime koder er normalt en del af det originale tryprojekt. Et klistermærke på toppen, især hvis det er lidt skævt eller bobler, er et rødt flag.
  • URL-domæne matcher ikke mærket. Efter scanning forhåndsviser de fleste telefonkameraer URL'en. En kode, der hævder at være fra "din-bank.dk", som løses til "din-b4nk-sikker.net", er falsk.
  • Ingen HTTPS. Enhver betalings- eller login-destination bør bruge HTTPS. Simpel HTTP i 2026 er et øjeblikkeligt advarselstegn.
  • Brændende sprog omkring koden. "Scan nu eller din konto bliver suspenderet" er social engineering, ikke legitim virksomhedskommunikation.
  • Uventet placering. En QR-kode på en tilfældig lygtepæl, der beder om betaling, er i sig selv mistænkelig; den samme kode på et mærkeskiltet, lamineret skilt inde i en verificeret virksomhed er ikke.
  • Omdirigeringskæder, du ikke opsatte. Hvis du er en marketingleder, der gennemgår scandata, og du ser uventede mellemliggende domæner i din omdirigeringspath, skal du undersøge det øjeblikkeligt.

Sådan hærder du dine egne QR-kampagner

Brug dynamiske QR-koder med destinationskontrol

Med en dynamisk QR-kode kan du ændre destinations-URL'en når som helst uden at genudskrive. Hvis nogen kaprerer din kode med et klistermærke, kan du omdirigere den underliggende URL til en side, der advarer brugerne — og du kan overvåge scandata for anomalier (udsædvanlige steder, pludselige trafikspidser fra ukendt byer), der kan indikere, at din kode bliver udnyttet. Statiske koder giver ingen mulighed for indgreb, når de først er trykt.

Registrer et genkendeligt kort domæne

Generiske korte domæner som bit.ly eller qr.io træner brugere til at ignorere forhåndsvisnings-URL'en, fordi den aldrig ligner dit mærke. Hvis din platform understøtter et brugerdefineret kort domæne (f.eks. links.dit-maerke.dk), skal du bruge det. Kunderne lærer at genkende det; angribere kan ikke billigt replikere det.

Tilføj synlig branding til selve koden

En mærket QR-kode — med dit logo, mærkfarver og et klart opfordring som "Scan for at betale — DitMærke.dk" — er sværere at replikere på overbevisende måde med et klistermærke. Vores Super QR Code Generator understøtter logo-indlejring og brugerdefinerede øjenstile, hvilket gør den færdige kode visuelt så karakteristisk, at en almindelig sort-hvid forfalskningsklistermærke ser åbenlyst forkert ud.

Laminér og opstil fysiske koder

Klistermærke-kapring er lettere på koder, der er på papirmenuer eller lette displays. Laminerede indsatser, akrylstande eller koder trykt direkte på holdbar skiltnematering er sværere at lægge overbevisende. For steder med høj risiko (især betalings-QR-koder), bør du overveje at inkludere et sekundært verifikationstrin — såsom at vise de første fire cifre af det forventede beløb på skærmen, før brugeren indtaster nogle detaljer.

Revisor dine trykte koder regelmæssigt

Byg en simpel kontrol ind i dine operationer: hvem der åbner dit lokale hver morgen, laver et hurtigt visuelt scan af hver viste QR-kode. Se efter klistermærker, bobling eller anden fysisk manipulering. Dette koster intet og fanger klistermærke-kapring, inden de fleste kunder støder på det.

Hvad skal du sige til dine kunder

Hvis du bruger QR-koder til betalinger eller kontoadgang, går en enlinjes instruktion ved siden af hver kode langt:

"Efter scanning skal du bekræfte, at URL'en starter med dit-maerke.dk, før du indtaster nogen detaljer."

Dette skaber en forventning. Kunder, der er vant til at verificere URL'en, er dramatisk mindre tilbøjelige til at falde for en kapret kode, selv hvis din fysiske sikkerhedskontrol overser et klistermærke.

En note om scan-analyse som sikkerhedssignal

Overvågning af dine QR-kode scan-analyser er ikke bare en marketingøvelse — det er et let sikkerhedssignal. Hvis en kode, der normalt får 20 scans om dagen, pludselig viser 400 scans fra en by, hvor du ingen kunder har, er der noget galt. Enten bliver din kode delt i en uventet kontekst, eller nogen tester en kloneret version. Uanset hvad, kræver det undersøgelse.

Vigtigste takeaways

  • Quishing (QR phishing) virker ved at kodere ondsindet URL'er i billeder, som omgår e-mail-linkscannere — hvilket gør det til en voksende trussel.
  • Klistermærke-kapring er den mest almindelige fysiske angrebsvektor: kriminelle limer falske koder over legitime.
  • Dynamiske QR-koder lader dig ændre destinationer og overvåge for misbrug; statiske koder giver dig ingen muligheder efter tryk.
  • Mærk dine koder visuelt, brug et genkendeligt domæne, og inkludér en URL-verifikationsinstruktion ved siden af enhver betalings- eller login-QR-kode.
  • Behandl anomalier i dine scan-analyser — pludselige stigninger, ukendt geografi — som en potentiel sikkerhedsalarm, ikke bare en marketingmærkværdighed.
  • Daglige fysiske revisioner af viste koder koster intet og forbliver den mest pålidelige måde at fange klistermærke-kapring tidligt.

Ofte stillede spørgsmål

Hvordan kan jeg se, om en QR-kode er blevet manipuleret, inden jeg scanner den?expand_more
Se efter fysiske tegn på et klistermærke oven på det originale trykte materiale — bobling, fejljustering eller en lidt anderledes finish. Efter scanning, men inden du trykker på et link, skal du kontrollere URL-forhåndsvisningen, som dit kamera viser. Hvis domænet ikke matcher det mærke, der vises omkring koden, skal du lukke det øjeblikkeligt uden at besøge siden.
Hvad skal jeg gøre, hvis jeg tror, at min virksomheds QR-kode er blevet kapret?expand_more
Hvis du bruger en dynamisk QR-kode, skal du logge på din QR-platform øjeblikkeligt og omdirigere destinationen til en advarselsside, mens du undersøger. Fjern eventuelle manipulerede fysiske koder fra displayet, kontrollér dine scan-analyser for usædvanlig aktivitet, og underret dine kunder gennem andre kanaler (e-mail, sociale medier) om, at koden er midlertidigt suspenderet.
Er QR-kode-betalinger mere sikre end NFC tap-to-pay i forhold til phishing-risiko?expand_more
NFC tap-to-pay kommunikerer direkte med en verificeret terminal, hvilket gør sticker-baseret kapring i praksis umuligt — den fysiske hardware er tillidsankeret. QR-kode-betalinger afhænger af, at brugeren navigerer til den korrekte URL, hvilket introducer en phishing-risiko, som NFC undgår. For høj-værdi-betalingsscenarier har NFC en meningsfuldt lavere social engineering-risiko.
Kan antivirus-software på min telefon beskytte mig mod quishing-angreb?expand_more
Nogle mobile sikkerhedsapps markerer ganske vist kendte ondsindet URL'er, efter du scanner en QR-kode, men dækningen er inkonsistent og afhænger af, om det specifikke phishing-domæne allerede er i trusselsdatabasen. Et nyregistreret phishing-domæne brugt i et målrettet angreb vil muligvis ikke blive opdaget. Manuel URL-verifikation forbliver den mest pålidelige beskyttelse, især for betalings- eller login-sider.
Hvordan slipper angribere afsted med at anbringe falske QR-klistermærker på offentlige steder?expand_more
Det tager kun nogle få sekunder at anbringe et lille klistermærke over en eksisterende QR-kode, og de fleste offentlige steders personale tjekker ikke særligt deres skiltnematering dagligt. Angribere målretter ofte højttrafikerede, lavt overvågede steder — parkeringsmetre, kafépulter, delte arbejdsplads-printere — hvor en ondsindet kode kan indsamle hundredvis af scans, inden nogen bemærker manipuleringen.

Mere fra bloggen

Forår QR-kode-kampagner: 5 taktikker der faktisk konverterer

Efterårs-QR-kodekampagner: 7 taktikker til øget omsætning

Dynamisk QR-routing: Send scannere til forskellige URL'er automatisk

Opret din QR-kode