Et lille klistermærke på parkeringsautomaten kan koste dig hele kortet.
Antallet af QR-kode-angreb er mere end fordoblet på et enkelt kvartal, viser nye tal fra Microsoft. Angriberne udnytter en teknologi, danskerne bruger uden at tænke over det, når de betaler for en time i P-huset eller lader elbilen op.
Microsoft blokerede alene i marts 2026 18,7 millioner phishing-angreb via QR-koder, mod 7,6 millioner i januar. Det svarer til en stigning på 146 procent på tre måneder og gør QR-svindel til den hurtigst voksende angrebsform, Microsofts sikkerhedsteam sporer.
Fænomenet kaldes quishing, en sammentrækning af QR og phishing. Ideen er den samme som ved en klassisk phishing-mail: Ofret narres ind på en falsk hjemmeside og bedes indtaste kort- eller loginoplysninger. Forskellen er, at linket er skjult i et sort-hvidt mønster, som hverken øjet eller de fleste mailfiltre kan gennemskue.
Klistermærket oven på det ægte
Den fysiske variant er banal, men effektiv. Angriberen printer sin egen QR-kode på et klistermærke og sætter det direkte oven på en ægte kode på en parkeringsautomat, en restaurantmenu eller en ladestander. Den scannede kode ser identisk ud med den rigtige, men peger på en betalingsside kontrolleret af svindleren.
Københavns Politi har allerede oplevet metoden tæt på. I en advarsel udsendt i november 2024 opfordrede politiet bilister til at tjekke, hvilken hjemmeside man ledes over på, og straks kontakte banken, hvis kortoplysningerne allerede er tastet ind. De falske koder blev fundet både på parkeringsskilte rundt omkring i hovedstaden og på kommunens egne automater.
Københavns Kommune understreger, at det slet ikke er muligt at betale for parkering via QR-kode i kommunen. Alle koder på kommunens automater er per definition falske.
PDF-vedhæftninger er det store våben
Digitalt foregår det meste af quishing-svindlen via arbejdsmailen. PDF-filer var den dominerende leveringsmetode gennem hele kvartalet, og de stod for 70 procent af QR-angrebene i marts mod 65 procent i januar, oplyser Microsoft. Modtageren åbner en tilsyneladende harmløs faktura eller pakkeseddel, scanner koden med telefonen og lander på en side, der ligner Microsoft 365, en bank eller en fragtoperatør.
En anden trend voksede eksplosivt sidst i kvartalet: QR-koder placeret direkte i selve mailteksten steg 336 procent i marts. De udgør stadig kun 5 procent af det samlede volumen, men mønsteret viser, at angriberne aktivt tester nye måder at komme forbi virksomhedernes filtre på.
Grundproblemet er, at en QR-kode flytter ofret fra en beskyttet arbejdscomputer til en privat mobil, der sjældent har den samme sikkerhedssoftware. På telefonen er URL’en også ofte forkortet, og små detaljer i et falskt domæne er svære at få øje på.
Sådan spotter du en falsk kode
Rådene fra sikkerhedsbranchen er konkrete. Kig efter klistermærker, der virker hævede, skæve eller nyere end resten af overfladen. Ved parkering og ladning bør du foretrække den officielle app eller telefonnummeret på skiltet frem for at scanne noget som helst.
Når du har scannet, viser de fleste moderne kameraer URL’en, før siden åbnes. Læs adressen. Skal du betale for en time i Aalborg, giver det ingen mening, at domænet hedder noget helt andet, eller at det ligger under et tilfældigt subdomæne. Ved den mindste tvivl: stop, luk siden, og find betalingsmetoden et andet sted.
Hvis du allerede har indtastet dine kortoplysninger på en side, du er i tvivl om, skal du ringe til banken med det samme og spærre kortet. Politiet anbefaler også, at man anmelder påklistrede QR-koder, så de kan blive fjernet, før den næste bilist scanner dem.