De flesta framgångsrika QR-baserade attacker utnyttjar inte en teknisk sårbarhet — de utnyttjar en person som inte visste vad den skulle akta sig för. Phishing via QR-kod (ofta kallat "quishing") har ökat kraftigt eftersom det kringgår e-postfilter och känns mer pålitligt än en misstänkt länk. Om du driver ett småföretag eller leder ett team som hanterar tryckt material, kassörapparater eller leverantörkommunikation, är en trettio minuter lång utbildningssession en av de billigaste säkerhetssatsningarna du kan göra.
Här är ett praktiskt, sexdelat ramverk som du kan gå igenom med ditt team redan nu.
1. Förklara vad en QR-kod faktiskt gör
Innan du undervisar om hot måste du se till att alla förstår mekaniken. En QR-kod är bara en maskinläsbar instruktion — oftast en URL, men ibland en Wi-Fi-inloggning, ett telefonnummer eller en betalningsbegäran. När man skannar en kod överlämnar man kontrollen till var koden pekar, vilket är exakt vad angripare utnyttjar.
Peka personalen till en lättförståelig resurs som vår kompletta guide om hur QR-koder fungerar så att de får en grundläggande förståelse. Människor som förstår verktyget är svårare att bedra med det.
2. Lär in vanan "Förhandsgranska innan du fortsätter"
Varje större mobilt operativsystem (iOS 16+, Android 13+) visar en URL-förhandsgranskning innan en webbledarflik öppnas när en QR-kod skannas med kameran. Lär ditt team att:
- Stanna vid förhandsgranskningsskärmen — tryck aldrig omedelbar.
- Läs hela domänen, inte bara början av URL:en. Angripare använder underdomäner som
dinbank.com.verifiera-inloggning.sedär den verkliga domänen ärverifiera-inloggning.se. - Leta efter HTTPS, men behandla det som en minimigräns, inte en garanti. Phishing-webbplatser har rutinmässigt giltiga TLS-certifikat.
Denna enda vana blockerar en stor andel av opportunistiska quishing-försök. Vår artikel om varför URL-förhandsvisningar skyddar skanare innehåller mer detaljer som är värda att dela med ditt team.
3. Varningslista för fysiska QR-koder
Personal som arbetar i detaljhandel, hotell eller events ser regelbundet tryckta QR-koder från tredje part — menyer, fakturor, konferensresurser, leveranslappar. Ge dem en konkret varningslista:
| Signal | Varför det är viktigt |
|---|---|
| Klistermärke placerat över en befintlig kod | Klassisk manipuleringsmetod |
| Kod tryckt på vanligt papper utan varumärke | Låg tröskel för ett falskt |
URL-förhandsgranskning leder till en IP-adress (t.ex. http://192.168.1.1/…) |
Legitima företagswebbplatser gör inte detta |
| Destinationen stämmer inte överens med den utlovade åtgärden | "Skanna för att se din faktura" → landar på en inloggningssida |
| Kod på oönskad post eller paket | Högriskdistributionsvektor |
För en djupare titt på fysisk manipulering specifikt är guiden för att identifiera QR-kodmanipulering en praktisk följeslagare.
4. Behandla betalnings- och inloggnings-QR-koder separat
Betalnings-QR-koder (använd i fakturor, vid kassor, på parkeringsmätare) är ett högt värderat mål. Inloggnings-QR-koder — den typ som automatiskt fyller i ett Wi-Fi-lösenord eller loggar in någon i en app — är en andra distinkt kategori som ditt team bör behandla annorlunda än en marknadsförings-scan.
Nyckelregel att kommunicera: skanna aldrig en betalnings-QR-kod från en overifierad källa utan att bekräfta betalningsmottagaren genom en separat kanal. Om en leverantör mailar en faktura med en QR-kod för betalning, ring leverantörens kända nummer innan du skannar. Det här är inte paranoia — fakturabedrägeri via QR är väl dokumenterat.
För Wi-Fi-QR-koder: kontakta den som hanterar ditt nätverk innan du skannar en "gäst-Wi-Fi"-kod på någon delad plats som du inte kontrollerar.
5. Ställ in en intern QR-kodstandard för dina egna material
En förvirrande eller inkonsekvent intern metod gör personalen mer sårbar. Om ditt företag använder QR-koder på kvitton, förpackningar eller marknadsföringsmaterial definierar du en standard och kommunicerar den:
- Använd alltid din registrerade domän som destination (t.ex.
dittforetag.se/…), aldrig en raw-förkortning eller tredjepartsomdirigering utan märkning. - Berätta för ditt team hur dina QR-koder ser ut — färg, logöplacering, domänen de löser till — så att de kan upptäcka en imitation.
- Använd dynamiska koder där det är möjligt så att du kan granska skanningsloggar och döda en komprometterad URL utan att trycka om. Avvägningarna mellan statiska och dynamiska format är värda att förstå innan du bestämmer dig — denna jämförelse av statiska vs dynamiska QR-koder lägger dem fram tydligt.
När personalen vet exakt hur dina legitima koder ska se ut är de mycket bättre på att upptäcka falskmynt.
6. Genomför en enkel tabletopövning
Kunskap försvinner utan övning. En gång i kvartalet skriver du ut två eller tre QR-koder — en som går till din riktiga webbplats, en som går till en uppenbar platshållare ("DET HÄR ÄR ETT TEST"), och en som ser trolig ut men leder någonstans oväntad. Be gruppmedlemmar att skanna var och en och förklara vad de skulle göra innan de fortsätter.
Du kan bygga denna övning på mindre än tio minuter. Målet är inte att ta fram människor — det är att bygga in vanan att förhandsgranska och pausa i muskelminnet.
Viktiga slutsatser
- QR-attacker lyckas mot människor, inte system — utbildning är en direkt motåtgärd.
- URL-förhandsgranskningsskärmen är ditt teams mest tillförlitliga första försvarslinje; lär alla att använda den.
- Fysisk manipulering (klistermärken över legitima koder) är den vanligaste personliga attackvektorn.
- Betalnings- och inloggnings-QR-koder har högre insatser och förtjänar ett separat, striktare protokoll.
- Definiera och kommunicera hur dina egna legitima QR-koder ser ut så att personalen kan identifiera impostörer.
- En kvartalsvis praktisk övning förankrar vanor bättre än en engångspresentation.
