Din IP-adress:Okänd

·

Din status: Okänd
Blogg IT-säkerhet

Vad är quishing? Förstå QR-kod-bedrägerier

Quishing är en ny form av nätbedrägeri där bedragare använder QR-koder för att lura användare att besöka falska webbplatser eller lämna ifrån sig känslig information. Metoden har blivit allt vanligare i takt med att QR-koder används i vardagen – från menyer och parkeringsautomater till fakturor och kampanjer. Att förstå vad quishing är blir därför en viktig del av att skydda sig mot moderna digitala bedrägerier.

Fredrik Gjerde | NordVPN

Fredrik Gjerde

30 okt. 2025

10 min läsning

Vad är quishing? Så känner du igen bluffen.

Vad är quishing?

Quishing är en typ av nätfiske (phishing) där angriparen använder en QR-kod istället för en länk för att locka användaren till en skadlig webbplats. När du skannar koden kan du omedvetet hamna på en sida som försöker stjäla dina inloggningsuppgifter, bankinformation eller installera skadlig programvara på din enhet.

Quishing är en typ av nätfiske (phishing) där angriparen använder en QR-kod istället för en länk för att locka användaren till en skadlig webbplats. När du skannar koden kan du omedvetet hamna på en sida som försöker stjäla dina inloggningsuppgifter, bankinformation eller installera skadlig programvara på din enhet.

Det finns många olika former av phishing, där bedragare försöker lura till sig information via olika kanaler. Vishing sker till exempel via telefonsamtal, medan smishing sker via SMS. Quishing är den senaste varianten i den här “phishing-familjen” och växer snabbt i takt med att QR-koder blir en del av vår vardag.

Vad är en QR-kod?

En QR-kod (Quick Response-kod) är en kvadratisk, pixelmönstrad symbol som ofta består av svarta och vita rutor på vit bakgrund. Du har säkert sett dem överallt – på restaurangmenyer, fakturor, affischer, biljetter och till och med på varor i butiken. De används för att snabbt överföra information, som webbadresser, telefonnummer eller betalningslänkar, utan att du behöver skriva in något manuellt.

Hur fungerar en QR-kod? Tänk på en QR-kod som en bro mellan den fysiska och digitala världen. Du kan enkelt skanna en QR-kod med mobilkameran för att öppna länken eller utföra en handling. Tekniken är smidig och har blivit en naturlig del av vardagen, särskilt i kontaktlösa situationer som betalningar och incheckningar.

Så, är QR-koder säkra? Själva tekniken är säker, men du kan inte se vad som döljer sig bakom en kod förrän du skannat den. En QR-kod kan därför leda till en falsk webbplats eller ett skadligt program om den manipulerats. Säkerheten beror helt på källan – var koden kommer ifrån, och om du kan lita på den.

Hur fungerar quishing?

Quishing-attacker följer i grunden samma logik som andra former av nätfiske: angriparen lurar dig att följa en länk – här i form av en QR-kod – till en falsk tjänst eller en skadlig fil. Nedan följer en steg-för-steg-genomgång som visar exakt hur en quishing-attack ofta byggs upp och vad som händer när någon skannar koden.

  1. 1.Skapar en falsk målsida. Angriparen bygger en webbplats som ser legitim ut, till exempel en bankinloggning, en parkeringstjänst eller en kampanjsida, och förbereder ett formulär som fångar upp lösenord, kortuppgifter eller andra känsliga uppgifter.
  2. 2.Genererar eller länkar URL:en till QR-koden. Webbplatsens adress (vanligtvis en manipulerad eller förkortad URL) kopplas till en QR-kod som pekar direkt till den falska sidan. URL:en kan vara konstruerad för att likna en riktig adress eller använda en URL-förkortning så att slutmålet döljs.
  3. 3.Distribuerar QR-koden. Koden sprids i fysiska eller digitala miljöer: den trycks ut som en sticker och klistras över en legitim QR-kod på en meny eller betalautomat, skickas i mejl eller meddelanden, eller läggs upp i sociala medier och webbannonser.
  4. 4.Får offret att skanna. Offret ser QR-koden i ett sammanhang där det känns naturligt att skanna (t.ex. “skanna för att betala” eller “skanna för rabatter”) och använder sin telefonkamera utan att tänka efter.
  5. 5.Omedelbar omdirigering. Efter skanning öppnas webbläsaren och användaren tas till den falska sidan. Eftersom QR-koder inte visar hela webbadressen visuellt från början, kan det gå snabbt innan misstanke uppstår.
  6. 6.Insamling av uppgifter eller installation av skadlig kod. Den falska sidan ber användaren logga in, ange betaluppgifter eller ladda ner en “nödvändig app”. När uppgifterna lämnas fångas de upp av angriparen, eller så börjar en skadlig nedladdning.
  7. 7.Utnyttjande. Med insamlade uppgifter kan angriparen t.ex. kapa eller tömma konton, genomföra bedrägliga köp eller sprida vidare skadlig kod via kontaktlistor. I vissa fall används sessionstrojaner eller länkar för att kringgå tvåfaktorsautentisering.

Quishing förlitar sig på vår vana att snabbt skanna QR-koder och det faktum att en kod döljer måladressen tills efter skanningen. Därför blir kontexten (var koden sitter), URL:ens utseende efter skanning och om källan är trovärdig avgörande för om attacken lyckas eller inte.

Vilka risker finns med quishing?

Quishing kan verka harmlöst – bara en snabb skanning av en QR-kod – men följderna kan bli både kostsamma och svåra att åtgärda. Här är de vanligaste riskerna att vara medveten om:

  • Datastöld: När du anger dina uppgifter på en falsk webbplats kan angriparen samla in allt från inloggningar till personnummer och bankinformation. De stulna uppgifterna kan sedan säljas vidare eller användas för identitetsstöld.
  • Skadlig programvara: En QR-kod kan länka till en fil som installerar malware på din enhet; sådan kod kan övervaka din aktivitet, stjäla filer eller sprida sig i ett nätverk.
  • Ekonomisk förlust: Bedragare kan använda stulna kortuppgifter eller inloggningar för att genomföra köp, tömma konton eller begära betalningar i ditt namn. Det kan ta lång tid att återfå kontroll över sina ekonomiska konton.
  • Skadat rykte: För företag kan en quishing-attack skada kundernas förtroende och orsaka både ekonomiska och juridiska problem. En enda incident kan påverka varumärkets trovärdighet under lång tid.
  • Integritetskränkningar: Personlig information som samlas in kan användas för att kartlägga din digitala identitet eller rikta fler attacker mot dig och dina kontakter. Det kan även leda till oönskad övervakning och intrång i privatlivet.

Exempel på quishing-attacker

Quishing kan ske i många olika miljöer eftersom QR-koder har blivit så vanliga i vardagen. Bedragare utnyttjar att människor litar på QR-koder och ofta skannar dem utan att tänka efter. Här är några av de vanligaste typerna av attacker.

Falska QR-koder på parkeringsautomater

En vanlig typ av quishing sker vid parkeringsautomater och betalstationer. Bedragare klistrar en falsk QR-kod ovanpå den riktiga, så att den leder till en falsk betalningssida. Bilägaren tror att hen betalar parkeringen, men i själva verket skickas kortuppgifter eller BankID-inloggningar till bedragaren.

QR-koder för covid-19-spårning

Under pandemin använde många verksamheter QR-koder för incheckning och kontaktspårning. Det utnyttjades snabbt av bedragare, som satte upp falska koder vid restauranger och offentliga platser. När besökare skannade dem hamnade de på falska sidor som bad om personuppgifter eller ledde till skadliga nedladdningar.

QR-koder i mejl

En annan växande metod är att bedragare skickar e-postmeddelanden med QR-koder som ser ut att komma från legitima avsändare, till exempel en bank eller ett företag. Mottagaren uppmanas att “skanna koden för att verifiera sitt konto” eller “återställa lösenordet”. När koden skannas öppnas en falsk inloggningssida där angriparen kan samla in uppgifter.

Manipulerade QR-koder på affischer och kampanjer

Bedragare kan även sprida falska QR-koder på offentliga affischer, kampanjer eller informationsblad. Koden kan se helt legitim ut men i stället leda till en sida som installerar skadlig kod eller ber om kortinformation för en påhittad kampanj. Den här typen av attacker fungerar särskilt bra i miljöer där människor förväntar sig att se QR-koder – som evenemang, kollektivtrafik eller butiker.

Falska fakturor och utskick

Vissa bedragare skickar ut falska fakturor eller utskick till privatpersoner och företag där QR-koden ska användas för betalning. När mottagaren skannar koden och bekräftar betalningen går pengarna direkt till bedragarens konto. Den här metoden har även setts i svenska bluffmejl som utger sig för att komma från välkända tjänsteleverantörer.

Vad ska du göra om du drabbas av en quishing-attack?

Om du misstänker att du har skannat en falsk QR-kod eller lämnat ifrån dig uppgifter till bedragare är det viktigt att agera snabbt. Här är stegen du bör följa för att minimera skadan:

  • Koppla från internet: Stäng av wifi och mobildata för att förhindra att eventuell skadlig kod fortsätter att kommunicera med angriparens servrar.
  • Skanna din enhet efter hot: Kör en säkerhetsskanning med ett uppdaterat antivirusprogram för att upptäcka och ta bort eventuell skadlig kod eller malware.
  • Byt lösenord omedelbart: Ändra lösenord till alla konton som kan ha påverkats, särskilt e-post, banktjänster och sociala medier. Se till att varje konto har ett unikt och starkt lösenord.
  • Aktivera tvåfaktorsautentisering: Om tjänsten erbjuder det, lägg till ett extra säkerhetslager med tvåfaktorsautentisering (2FA) för att förhindra att bedragare loggar in även om de fått tag på ditt lösenord.
  • Kontakta din bank: Om du har lämnat betalningsinformation, kontakta din bank direkt och förklara vad som hänt. De kan spärra kort, stoppa överföringar eller hjälpa till att övervaka misstänkt aktivitet.
  • Rapportera händelsen: Anmäl händelsen till din bank, berörda företag eller myndigheter som Polisen. Att rapportera kan hjälpa till att spåra bedragarna och varna andra.
  • Var extra uppmärksam framöver: Bedragare kan försöka följa upp med nya försök. Var försiktig med mejl, samtal eller sms som hänvisar till incidenten, särskilt om de uppmanar dig att lämna fler uppgifter eller betala något.

Om du har blivit utsatt för ett bedrägeri är det viktigt att inte känna skuld – dessa attacker är utformade för att lura även den mest försiktiga. Det viktigaste är att agera snabbt och skydda dina konton och uppgifter.

Så undviker du quishing-attacker

Det bästa skyddet mot quishing är att vara uppmärksam och tänka efter innan du skannar en QR-kod. Genom att kombinera sunt förnuft med goda cybersäkerhetsvanor kan du minska risken betydligt. Här är några enkla tips:

  • Kontrollera alltid QR-koden: Titta noga på var koden sitter. Ser den ut att vara en del av originalmaterialet, eller verkar den vara fastklistrad ovanpå en annan kod? Om något ser misstänkt ut – skanna inte.
  • Granska webbadressen efter skanning: De flesta telefoner visar länken innan du öppnar den. Om adressen verkar konstig, innehåller felstavningar eller inte matchar sammanhanget, avbryt direkt.
  • Skriv in webbadressen manuellt: Om QR-koden ska ta dig till en tjänst du känner till (t.ex. parkering eller betalning), skriv in webbadressen själv istället för att lita på koden.
  • Använd ett säkerhetsverktyg med webbläsarskydd: Ett verktyg som Threat Protection Pro™ kan hjälpa till att blockera skadliga webbplatser, spårare och farliga filer innan de hinner göra skada.
  • Håll dina enheter uppdaterade: Se till att operativsystem och appar alltid har de senaste säkerhetsuppdateringarna. Många attacker lyckas bara på grund av ouppdaterad mjukvara.
  • Aktivera multifaktorsautentisering: Att använda multifaktorsautentisering ger ett extra skyddslager även om någon lyckas få tag på ditt lösenord.
  • Var skeptisk till oväntade QR-koder: Om du får en QR-kod via mejl, sociala medier eller sms, fundera på om det verkar rimligt att just den avsändaren skickar en kod till dig.
  • Utbilda dig själv och andra: Ju fler som känner till vad quishing är, desto svårare blir det för bedragare att lyckas. Prata om det hemma, på jobbet och i vänkretsen.

Nätsäkerhet är bara ett klick bort.

Håll dig säker med världens ledande VPN

Skaffa NordVPN Läs mer

FAQ

Finns även på: Deutsch,English,Français,Nederlands.

Fredrik Gjerde | NordVPN

Fredrik Gjerde

Fredrik, som har en bakgrund inom journalistik, jobbar idag som copywriter på NordVPN och hittar sätt att förvandla svårtolkat tekniksnack till lättbegripliga insikter kring cybersäkerhet. Han är övertygad om att digital intigritet är nyckeln till ett fritt internet och är inte rädd för att säga det högt, inte ens på fester.

Populära artiklar