§ 01 article

Är QR-koder säkra? Så undviker du nätfiske via QR-kod (quishing)

författare: QR Toolkit-teamet · publicerad: 2026-04-02

#säkerhet#integritet#quishing#qr-läsare

Ja, QR-koder är i grunden säkra – så länge du använder en QR-läsare som visar länken innan något öppnas, och förblir skeptisk mot klistermärken i det offentliga rummet. Den svartvita rutan i sig innehåller inget virus. Den lagrar bara data. Faran ligger inte i QR-koden utan i sidan den leder dig till. Om din app visar URL:en innan webbläsaren startar har du redan avväpnat det mesta av risken med en enda blick.

Det är värt att förstå hur det hänger ihop. I Sverige varnar både polisen, bankerna och Internetstiftelsen för det som kallas quishing – nätfiske via QR-kod. Den som vet skillnaden mellan en pålitlig och en manipulerad kod står betydligt starkare.

Hur en QR-kod faktiskt fungerar

En QR-kod är en tvådimensionell streckkod som lagrar information som ett mönster av svarta och vita rutor. När du skannar den avkodar telefonen mönstret till data – oftast en webbadress, men ibland ren text, kontaktuppgifter eller WiFi-inloggning.

Själva koden kan alltså inte bära ett virus. Den är ett sätt att leverera information, ungefär som en länk på en webbsida. Risken uppstår i vad du gör med informationen efter skanningen. Med en QR-läsare som avkodar på enheten och visar innehållet först behåller du kontrollen i varje steg.

De verkliga riskerna

Nätfiske och falska länkar

Det vanligaste hotet är en QR-kod som leder till en nätfiskesida – en falsk sida byggd för att stjäla dina inloggningsuppgifter eller personuppgifter. Eftersom du inte kan läsa destinationen bara genom att titta på koden utnyttjar bedragare detta för att kringgå den naturliga skepsis vi har mot en konstig länk i ett sms eller mejl.

Quishing – nätfiske via QR-kod

Säkerhetsforskare har gett QR-baserat nätfiske ett eget namn: quishing. En bedragare klistrar en falsk kod över en äkta – på en parkeringsautomat, en restaurangbord eller en affisch. Den som skannar den falska koden hamnar på en övertygande betalsida som bedragaren kontrollerar.

Quishing har vuxit just för att QR-koder smiter förbi många spamfilter. Ett mejl med en kodbild i stället för en klickbar länk slinker ofta igenom filter som annars skulle flagga en misstänkt URL. I Sverige har bedragare bland annat satt upp falska koder på laddstolpar och parkeringsautomater.

Skadliga nedladdningar och datainsamling

I vissa fall pekar en QR-kod mot en filnedladdning i stället för en webbsida. Moderna telefoner frågar alltid innan något installeras, men det är värt att vara medveten om på äldre enheter. Andra koder leder till sidor som aggressivt samlar in uppgifter via spårningsskript eller skickar dig vidare genom flera omdirigeringar för att kartlägga dig.

Så skannar du tryggt

Några enkla vanor håller dig säker i de allra flesta lägen.

1. Förhandsgranska länken innan du öppnar

Detta är det viktigaste steget. En pålitlig QR-läsare visar det avkodade innehållet innan den gör något. QR Toolkit är byggd kring just denna princip: när du skannar en kod visas hela innehållet på skärmen först. Du bestämmer själv om du vill öppna länken, kopiera den eller stänga vyn. Inget händer utan ditt godkännande.

2. Granska adressen noga

När du ser URL:en, titta nära. Stämmer domänen med det varumärke eller den tjänst du väntar dig? Var vaksam på subtila felstavningar som “swedbnk.se” i stället för “swedbank.se”, eller ovanliga toppdomäner. Ser något konstigt ut – öppna inte.

3. Använd en pålitlig QR-läsare

Telefonens inbyggda kamera öppnar ofta länken direkt med liten möjlighet att granska den. En dedikerad app ger dig mer kontroll. Leta efter en app som visar förhandsvisning, sparar din skanningshistorik och varken visar annonser eller bygger in spårning.

4. Var försiktig med koder i offentliga miljöer

Behandla QR-koder på allmän plats med sund skepsis. Koder på officiell skyltning från ett känt företag är oftast trygga. Koder på lösa klistermärken, lappar tejpade på stolpar eller handskrivna sedlar förtjänar granskning. Ser det ut som att en kod är klistrad ovanpå en annan – låt bli.

5. Håll telefonen uppdaterad

Moderna iOS och Android har inbyggt skydd mot kända nätfiskesidor och skadliga nedladdningar. Genom att hålla operativsystem och webbläsare uppdaterade får du de senaste säkerhetsuppdateringarna.

Säkerhet och GDPR för företag

Använder ditt företag QR-koder har du ett ansvar att skydda dina kunder. Enligt GDPR och Integritetsskyddsmyndigheten (IMY) ska personuppgifter behandlas öppet och tryggt – det gäller även när en QR-kod leder vidare till en sida som samlar in uppgifter.

  • Använd HTTPS. Varje URL bakom dina koder ska använda krypterad anslutning.
  • Använd en domän du äger. Undvik gratis länkförkortare för affärskritiska koder. Om tjänsten stängs eller kapas slutar dina koder fungera eller leder fel.
  • Var transparent om uppgifter. Berätta tydligt vad som samlas in på landningssidan, i linje med GDPR.
  • Kontrollera fysiska koder. Gå regelbundet förbi och kolla att ingen klistrat en annan kod över din.
  • Utbilda teamet. Anställda ska veta att de inte ska skanna okända koder på jobbtelefoner, precis som de undviker misstänkta länkar i mejl.

Vanliga frågor

Kan en QR-kod ge mig virus? Nej, inte i sig. Koden är bara lagrad data. Risken uppstår om länken leder till en skadlig sida eller filnedladdning. Med en QR-läsare som visar länken innan den öppnas kan du stoppa det innan något händer.

Hur vet jag om en QR-kod är falsk? Titta efter klistermärken som sitter ovanpå en annan kod, och granska alltid URL:en efter skanning. Stämmer domänen inte med företaget, eller är den konstigt stavad – öppna inte. Var extra vaksam på koder vid betalningar, parkering och laddstolpar.

Sparas mina uppgifter när jag skannar med en app? I QR Toolkit sker avkodningen på enheten, och appen visar länken innan den öppnas. Det finns inga annonser, inget spårnings-SDK och inget annons-ID. Din skanningshistorik knyts till ditt eget konto.

Slutsatsen

QR-koder är en säker och användbar teknik när de hanteras med grundläggande medvetenhet. Riskerna kommer av att blint följa länkar utan att se vart de leder – samma risk som finns med vilken länk som helst på nätet.

Skanna smart med en app som QR Toolkit, som visar dig vad som finns i en kod innan du agerar. Granska adressen innan du öppnar. Var försiktig med koder i offentliga miljöer. Med de vanorna kan du skanna tryggt – med kontrollen i din hand.

<< cd /sv/blog