Sikker QR-bruk — slik unngår du svindel-koder

Quishing — phishing via QR — er økende både internasjonalt og i Norge. Svindlere klistrer falske QR-koder over ekte, sender koder i e-post med lenke til kopisider, og utnytter at folk skanner uten å sjekke URL. Slik beskytter du deg.

Hva er quishing?

Quishing er phishing via QR. Angriperen får offeret til å skanne en kode som åpner en falsk innloggingsside (BankID, Vipps, e-post), eller laster ned en app med skadevare. Det funker fordi:

• Folk sjekker sjelden URL-en før de trykker «åpne»
• Mobiler viser ofte forkortet URL — phishing-domener kan se legit ut
• Telefonen har færre sikkerhetslag enn PC-en
• QR-koder oppleves som «trygge» og «modere» — mindre skepsis

De vanligste angrepsmønstrene

Overlim på offentlige plakater

Svindler klistrer en sticker med egen QR over en ekte (parkeringsbetaling, restaurantmeny, infotavle). Skanner du, havner du på en kopi-side som ber om kortinformasjon eller BankID.

QR i phishing-e-post

«Pakken din venter — skann for sporing.» E-posten ser ut som Posten eller Bring, men QR-en peker til en falsk side som krever betaling for «tollavgift».

QR på fake reklame

Roll-up bannere på messer, fly-ere i postkassen, falske kuponger. Tilsynelatende fra et kjent merke, peker til datafiske-side.

Crypto / investerings-svindel

«Skann for å motta gratis kryptovaluta.» QR åpner wallet-app og ber deg sende fra deg, ikke til deg.

Slik kjenner du igjen en falsk QR

Visuelle tegn:

• Klistremerke som ligger oppå en eksisterende QR — hjørner som ikke matcher, ny lim på gammelt papir
• Lavoppløselig kode på ellers profesjonelt materiale
• Mangel på kontekst — ingen tekst, ingen logo, bare en kode
• Generisk plassering: kode på en lyktestolpe «for å vinne en iPhone»

URL-tegn (etter skanning):

• Tilfeldige tegn i domenet: vipps-no-login.xyz eller bankid.secure-login.com
• Domener som etterligner kjente: vipps.com.login.io (ekte domene er det siste før første /)
• HTTP istedenfor HTTPS
• Kort-tjenester som maskerer det egentlige målet (bit.ly, tinyurl)

Sjekk URL FØR du åpner

Alle moderne telefoner viser URL-forhåndsvisning når du skanner — i toppen av kameraappen, i Notification-banneret eller i en confirm-dialog. Ikke trykk «Åpne» med én gang. Les domenet først.

Hvis URL-en ser mistenkelig ut: avvis. Skann aldri en kode for å «se hva det er» — er du nysgjerrig, kopier URL-en og lim inn på en PC med oppdatert nettleser i stedet.

Spesifikke tiltak per kontekst

Restaurant og kafé

Hvis menyplakaten ser «påklistret» ut, spør servitør. Ekte menyer pekes til restaurantens eget domene — ikke en lenke-forkorter.

Parkering

Sjekk om koden er en del av selve plaketten (preget eller printet sammen) eller et løst klistremerke. Bruk parkerings-app du allerede har, ikke skann ukjent QR.

Offentlig transport

Ruter, Vy, Norled bruker egne apper — ikke QR for billettkjøp. Skanner du QR for «billettrefusjon», er det svindel.

Bank og BankID

Banker spør aldri om BankID via skannet QR. Skan aldri BankID-prompt fra en plakat eller e-post — gå til bankens app eller nettside direkte.

Tiltak hvis du har skannet noe galt

• Ikke fyll inn data — lukk siden umiddelbart
• Sjekk om en app er lastet ned — slett apper du ikke gjenkjenner
• Bytt passord — hvis du faktisk fylte inn legitimasjon, bytt passord på den tjenesten først, og e-posten din
• Aktiver 2FA — om du ikke har det allerede
• Meld saken — til politiet.no og varsle banken hvis kortinfo ble gitt

For arrangører — beskytt dine egne QR-koder

• Lim eller laminer — limet sticker bedre enn lukket kasse
• Skriv URL-en synlig under koden — gjester kan dobbeltsjekke
• Bruk eget domene — qr.dinrestaurant.no slår bit.ly-versjonen i tillit
• Sjekk plakater daglig — fjern overlimte koder
• Patrol foroffentlige områder — spesielt parkering og messer

Tekniske beskyttelser på telefonen

• iOS 17+ og Android 14+ viser advarsel for kjente phishing-domener
• Skru på Safe Browsing i Chrome / Smart Screen i Edge
• Hold OS-et oppdatert
• Vurder en mobilversjon av antivirus (Bitdefender, Norton, Malwarebytes)