arrow_backBlog
·4 min læsning·Super QR Code Generator Team

QR-kode sikkerhed: 6 ting du skal lære dit team

De fleste QR-angreb lykkes fordi medarbejdere ikke ved hvad de skal søge efter. Denne tjekliste giver dig seks konkrete lektioner til at træne dit team i QR-kodetrusler i 2026.

qr-kode sikkerhedmedarbejder træningquishingsmå virksomheder
QR-kode sikkerhed: 6 ting du skal lære dit team
AI-generated

De fleste vellykkede QR-baserede angreb udnytter ikke en teknisk sårbarhed — de udnytter en person, der ikke vidste hvad han eller hun skulle holde øje med. Phishing via QR-kode (ofte kaldet "quishing") er steget kraftigt fordi det omgår e-mail-filtre og virker mere pålidelig end et mistænkeligt link. Hvis du driver en lille virksomhed eller leder et team, der håndterer trykte materialer, kassesystemer eller leverandørkommunikation, er en tredive-minutters træningssession en af de billigste sikkerhedsinvesteringer, du kan foretage.

Her er en praktisk seks-delt ramme, som du kan gennemgå med dit team lige nu.


1. Forklar hvad en QR-kode faktisk gør

Før du underviser om trusler, skal du sikre dig, at alle forstår mekanismen. En QR-kode er blot en maskinlæsbar instruktion — oftest en URL, men nogle gange en Wi-Fi-reference, et telefonnummer eller en betalingsanmodning. Når man scanner en, overdrager man kontrollen til hvor koden peger hen, hvilket er præcis hvad angribere udnytter.

Peg medarbejderne hen på en forståelig ressource som vores fuldstændige guide til hvordan QR-koder fungerer, så de har et grundlag. Mennesker der forstår værktøjet er sværere at bedrage med det.


2. Lær "Forhåndsvisning før handling" vanen

Alle vigtige mobile OS'er (iOS 16+, Android 13+) viser en URL-forhåndsvisning før åbning af en browserfane når en QR-kode scannes med den native kameraapp. Træn dit team til at:

  • Stoppe ved forhåndsvisningsskærmen — aldrig tryk straks.
  • Læse hele domænenavnet, ikke bare begyndelsen på URL'en. Angribere bruger underdomæner som dinbank.com.verify-login.net hvor det reelle domæne er verify-login.net.
  • Søge efter HTTPS, men behandl det som et minimumskrav, ikke en garanti. Phishing-sites har jævnligt gyldige TLS-certifikater.

Denne enkelte vane blokerer en stor andel af opportunistiske quishing-forsøg. Vores separate artikel om hvorfor URL-forhåndsvisninger beskytter scannere indeholder flere detaljer værd at dele med dit team.


3. Advarselstegn-liste for fysiske QR-koder

Medarbejdere der arbejder i detailhandel, hospitality eller events ser regelmæssigt trykte QR-koder fra tredjeparter — menuer, fakturaer, konferencematerialer, leveringssedler. Giv dem en konkret advarselstegn-liste:

Signal Hvorfor det betyder noget
Sticker placeret over en eksisterende kode Klassisk manipulationsmetode
Kode trykt på almindeligt papir uden branding Lav barriere for en forfalskning
URL-forhåndsvisning fører til en IP-adresse (f.eks. http://192.168.1.1/…) Legitime virksomhedssites gør ikke dette
Destination matcher ikke den lovede handling "Scan for at se din faktura" → lander på en login-side
Kode på usolicitet post eller pakker Høj-risiko leveringsvektor

For et dybere kig på fysisk manipulation specifikt, er guiden til at opdage QR-kode-manipulation en praktisk ledsager læsning.


4. Dæk betaling og legitimationsoplysninger QR-koder separat

Betaling QR-koder (brugt på fakturaer, ved kassepulte, på parkeringsautomater) er et mål af høj værdi. Legitimationsoplysninger QR-koder — den slags der auto-udfylder en Wi-Fi-adgangskode eller logger nogen ind i en app — er en anden udpræget kategori som dit team bør behandle forskelligt fra en marketingscan.

Nøgleregel at kommunikere: scan aldrig en betaling QR-kode fra en ubekræftet kilde uden at bekræfte betalingsmodtageren gennem en separat kanal. Hvis en leverandør sender en faktura med en QR-kode til betaling, ring leverandørens kendt nummer før scanning. Dette er ikke paranoia — fakturasvindel via QR er velledokumenteret.

For Wi-Fi QR-koder: tjek med den der administrerer dit netværk før du scanner en "gæst Wi-Fi"-kode i nogen delt plads du ikke kontrollerer.


5. Etabler en intern QR-kode-standard for dine egne materialer

En forvirrende eller inkonsistent intern tilgang gør medarbejdere mere sårbare. Hvis din virksomhed bruger QR-koder på kvitteringer, emballage eller marketingmaterialer, definer en standard og kommuniker det:

  • Brug altid dit registrerede domæne som destination (f.eks. dinvirksomhed.dk/…), aldrig en rå forkorter eller tredjeparts omdirigering uden branding.
  • Fortæl dit team hvordan dine QR-koder ser ud — farve, logo-placering, det domæne de løser til — så de kan få øje på en imitation.
  • Brug dynamiske koder hvor muligt så du kan auditorere scanningslogger og slå en kompromitteret URL fra uden at genudskrive. Afvejningerne mellem statiske og dynamiske formater er værd at forstå før du beslutter — denne sammenligning af statiske vs. dynamiske QR-koder præsenterer dem klart.

Når medarbejderne ved præcis hvordan dine legitime koder skal se ud, er de meget bedre til at få øje på forfalskninger.


6. Kør en simpel tabeløvelse

Viden forringes uden øvelse. En gang i kvartalet, print to eller tre QR-koder ud — en der går til dit reelle website, en der går til en åbenlys placeholder ("DETTE ER EN TEST"), og en der ser plausibel ud men fører hen på et uventet sted. Spørg teammedlemmer om at scanne hver enkelt og forklare hvad de ville gøre før de fortsætter.

Du kan bygge denne øvelse på under ti minutter for at skabe testkoderne. Målet er ikke at få folk til at falde i fælden — det er at bygge preview-og-pause-vanen ind i muskelhukommelsen.


Vigtigste konklusioner

  • QR-angreb lykkes mod mennesker, ikke systemer — træning er en direkte modvirkelse.
  • URL-forhåndsvisningsskærmen er dit teams mest pålidelige første forsvarslinie; lær alle at bruge den.
  • Fysisk manipulation (stickers over legitime koder) er den mest almindelige in-person angrebsvektor.
  • Betaling og legitimationsoplysninger QR-koder bærer højere indsatser og fortjener en separat, strengere protokol.
  • Definer og kommuniker hvordan dine egne legitime QR-koder ser ud så medarbejdere kan identificere forfalskninger.
  • En kvartalsvis hands-on øvelse styrker vaner bedre end en engangs-præsentation.

Ofte stillede spørgsmål

Hvordan ved jeg om en QR-kode jeg modtog via e-mail er sikker at scanne?expand_more
Kontroller om e-mailen kommer fra en bekræftet afsender du tidligere har kommunikeret med. Hvis det er tilfældet, scan koden men pause ved URL-forhåndsvisningsskærmen før du åbner linket. Bekræft at domænet matcher organisationens kendt website. Hvis forhåndsvisningen viser et ukendt domæne, forkortet URL eller en IP-adresse i stedet for et domænenavn, fortsæt ikke og rapportér det til den der administrerer din sikkerhed.
Kan en QR-kode installere malware på min telefon bare ved scanning?expand_more
Blot at scanne en QR-kode og se URL-forhåndsvisningen installerer ikke malware. Risikoen kommer fra at følge linket til et ondsindet website som derefter forsøger et browsereksploit eller lokker dig til at downloade en app. At holde dit mobile OS og browser opdateret reducerer denne risiko betydeligt, og at stoppe ved forhåndsvisningsskærmen før du trykker videre er hovedforsvarets praktiske værktøj.
Hvad skal en virksomhed have med i sin QR-kode sikkerhedspolitik?expand_more
En grundlæggende politik bør dække: altid bekræfte URL-forhåndsvisningen før åbning af et QR-kodet link; scan aldrig betaling QR-koder fra ubekræftede kilder uden sekundær bekræftelse; rapportér alle mistænkelige koder der findes på virksomhedsarealet; og definer hvordan din organisations egne legitime QR-koder ser ud (domæne, branding, forventet destination). Hold den kort — en side er bedre end et dokument ingen læser.
Hvor ofte forekommer QR-kode phishing-angreb på fysiske steder?expand_more
Fysisk quishing — placering af falske eller manipulerede QR-koder på offentlige steder — er blevet rapporteret ved parkeringsmetre, restaurantborde, konferencesteder og bankudtagere. Mens præcise globale tal er svære at bekræfte, har flere nationale cybersikkerhedsmyndigheder herunder det amerikanske FBI og britiske NCSC udstedt offentlige advarsler specifikt om fysisk QR-kode-svindel, hvilket indikerer at det er almindeligt nok til at retfærdiggøre rutinemæssig årvågenhed i høj-trafik-miljøer.
Hvad er forskellen på quishing og almindeligt e-mail phishing?expand_more
Traditionelt e-mail phishing indlejrer et klikbart hyperlink som e-mail-sikkerhedsfiltre kan inspicere og blokere. Quishing erstatter linket med et billede af en QR-kode, som de fleste e-mail-sikkerhedsværktøjer ikke kan afkode eller evaluere. Angrebet flytter derefter risikoen til offerets mobile enhed, som typisk har svagere virksomhedssikkerhedskontrol end en administreret stationær computer. Dette omgåelse er hovedårsagen til at quishing er vokset som teknik.