§ 01 article

Så känner du igen en falsk QR-kod (undvik quishing)

författare: QR Toolkit-teamet · publicerad: 2026-05-21

#falsk qr-kod#quishing#qr-bedrägeri

Det säkraste sättet att känna igen en falsk QR-kod är att granska hela länken innan du öppnar den. Bedragare kan inte se till att en kod ser “äkta” ut, men de hoppas att du skannar och trycker utan att titta. Läser du adressen i lugn och ro – och hoppar av om något inte stämmer med domänen – stoppar du de flesta så kallade quishing-bedrägerier direkt. Skanna aldrig en oväntad kod och logga aldrig in eller betala via en länk du fick genom en QR du inte litar på.

Det här är ett växande problem i Sverige. Polisen och bankerna varnade under 2025 för en våg av QR-bedrägerier, så det är värt att kunna grunderna.

Vad är quishing?

Quishing är nätfiske (phishing) via QR-koder. I stället för en länk i ett mejl gömmer bedragaren den skadliga adressen i ett QR-mönster. När du skannar leds du till en falsk sida som ofta ser ut som din bank, en parkeringsapp, en myndighet eller en betaltjänst – och målet är att få dig att lämna inloggning, kortuppgifter eller BankID-godkännande.

QR-koden är populär hos bedragare just för att man inte kan läsa en länk med blotta ögat. Mönstret avslöjar ingenting – du måste skanna för att se vart det leder.

Vanliga knep att se upp med

Bedragare använder några återkommande metoder:

  • Påklistrade koder. Ett klistermärke med en falsk QR sätts ovanpå en äkta kod – på parkeringsautomater, laddstolpar, anslagstavlor eller restaurangbord. Sitter koden snett, är ett klistermärke över tryck, eller känns “påsatt”? Var skeptisk.
  • Lookalike-domäner. Adressen liknar en riktig men är inte det: swedbank-betala.com, parkering-app.net, bank1d.se. En extra bokstav, ett bindestreck eller fel ändelse är allt som krävs.
  • Oväntade koder. QR i ett mejl, sms eller brev du inte bett om – särskilt om det handlar om en “obetald avgift”, en “leverans” eller en “återbetalning”.
  • Brådska och hot. “Betala inom 24 timmar”, “ditt konto spärras”. Press är en klassisk varningssignal.
  • Begär inloggning eller betalning direkt. En oväntad kod som omedelbart vill ha ditt BankID, lösenord eller kortnummer ska du inte lita på.

Så granskar du en QR-kod innan du öppnar den

Vänj dig vid den här rutinen varje gång:

  1. Titta på länken som visas efter skanning. En bra läsare visar adressen innan den öppnas – läs den i stället för att trycka direkt.
  2. Läs domänen, inte resten. Det viktiga är delen precis före den första snedstrecket, t.ex. bank.se i bank.se/login. Allt efter snedstrecket kan bedragaren hitta på fritt.
  3. Var noga med exakta tecken. Bindestreck, extra ord, fel ändelse (.com i stället för .se) och förväxlingsbara tecken (0/O, 1/l) är de vanligaste fällorna.
  4. Misstänk länkförkortare. En kort, kryptisk adress döljer vart du faktiskt hamnar. Var extra försiktig.
  5. Vid minsta tvekan – öppna inte. Skriv hellre in den riktiga adressen själv eller använd appen du redan har.

QR Toolkit visar mållänken efter att du skannat, så du kan läsa hela adressen och bestämma dig innan du öppnar den. Avkodningen sker på din enhet.

När du ska vara extra försiktig

Höj garden i de här situationerna:

  • Betalning och parkering. Bekräfta domänen mot den app eller skylt du litar på. Bedragare älskar parkeringsplatser.
  • Bank och BankID. Din bank ber dig aldrig logga in eller signera via en QR du fått oväntat. Är du osäker – ring banken på numret på kortet.
  • Offentliga ytor. Anslag, automater och bord är lätta att klistra över. Känn med fingret om en kod sitter ovanpå en annan.
  • Leverans, böter, “vinster”. Klassiska förevändningar. Logga in via den officiella appen i stället.

Vad gör jag om jag redan skannat?

  • Skrev du ingenting? Då har troligen inget hänt. Stäng sidan.
  • Angav du uppgifter? Lämnade du kort- eller bankuppgifter – kontakta din bank direkt och spärra vid behov. Angav du ett lösenord – byt det, och på alla konton där du återanvänt det.
  • Signerade du med BankID på begäran? Kontakta banken omgående.
  • Anmäl. Polisanmäl bedrägeriet och varna gärna om koden sitter på en offentlig plats.

Vanliga frågor

Kan en QR-kod i sig vara ett virus?

Själva mönstret är bara data – det installerar ingenting på egen hand. Faran ligger i vart koden leder: en falsk sida som lurar dig att lämna uppgifter, eller en uppmaning att ladda ner något skadligt. Därför är det avgörande att läsa länken innan du öppnar och aldrig installera något du inte väntade dig.

Hur ser jag länken innan jag öppnar den?

Använd en läsare som visar adressen efter skanning i stället för att öppna den automatiskt. QR Toolkit visar mållänken så du hinner granska domänen. Läs delen precis före första snedstrecket – det är den som avgör vart du faktiskt hamnar.

Min bank skickade en QR-kod – är den säker?

Var skeptisk till oväntade koder, även sådana som påstår sig komma från banken. Din bank ber dig normalt inte logga in eller signera via en QR du fått oombedd. Är du osäker, öppna bankens app direkt eller ring numret på baksidan av kortet i stället för att följa koden.

<< cd /sv/blog