Derfor bør du ikke skanne QR-koder du finner på offentlige steder

I mars alene blokkerte Microsoft 18,7 millioner forsøk på såkalt quishing, altså phishing der lenken gjemmes i en QR-kode i stedet for klartekst. I januar var tallet 7,6 millioner, og på tre måneder har antallet økt med 146 prosent, opplyser selskapet i sin ferske trusselrapport for Q1 2026.

Bakgrunnen er enkel. En QR-kode er bare et bilde, og e-postfiltre som er gode på å fange mistenkelige lenker, sliter med å lese hva som faktisk ligger i mønsteret. Microsoft analyserte over 8,3 milliarder phishing-forsøk i samme periode, og noterer at angriperne nå legger koden direkte inn i e-posten. Den metoden økte med 336 prosent fra februar til mars.

Norge er et drømmemål for svindlerne

Få land i Europa har gått så langt med QR-betaling som Norge. Vipps, EasyPark og kollektivtransporten bruker koden som standard, og restauranter har lagt menyen i samme format. Det gjør hverdagen lettere, men gir også svindlerne en kanal de vet at folk stoler på.

Parkeringsbransjen er allerede rammet. EasyPark skriver på sine støttesider at "det har blitt rapportert om svindel rettet mot parkeringstjenester, inkludert falske QR-koder, tekstmeldinger og e-poster". Selskapet presiserer at det aldri ber kunder dele passord, PIN-koder eller bankopplysninger, og at en kode som "ser ut som et klistremerke eller er feilplassert" skal regnes som mistenkelig.

Kåfjord kommune i Troms gikk i fjor høst ut med en egen advarsel etter at falske EasyPark-koder dukket opp i kommunen. Anbefalingen var å skrive sonenummeret manuelt inn i appen i stedet for å skanne noe på automaten.

Slik virker det rent praktisk

Svindlerne trenger ikke å bryte seg inn i parkeringsautomaten. De skriver bare ut et klistremerke med sin egen QR-kode og limer det oppå den ekte. Koden leder til en kopi av betalingssiden som ser riktig ut, men som sender kortinformasjonen videre til kriminelle. Resultatet er ofte både tomt kort og parkeringsbot, fordi pengene aldri når den ekte tjenesten.

Den samme oppskriften er beskrevet brukt på restaurantbord, plakater, ladestolper og leveringsbeskjeder. FBI advarte i en egen melding 8. januar i år om at "quishing-kampanjer leverer QR-bilder som e-postvedlegg eller innebygde grafikker for å unngå URL-inspeksjon, omskrivning og sandkasse-analyse". Fordi koden ofte åpnes på en privat mobil, kommer den utenfor rekkevidde av sikkerhetsverktøyene som ellers ville stoppet en mistenkelig lenke.

Sjekkliste før du skanner

Både iPhone og Android viser hele adressen i en forhåndsvisning før nettsiden åpnes. Bruk den. Hvis domenet ikke matcher tjenesten du tror du betaler til, eller hvis nettsiden ber om mer informasjon enn nødvendig, lukk den med en gang.

Noen enkle regler reduserer risikoen betraktelig:

- Løft forsiktig på koden. Hvis det er et klistremerke som lett kan dras av, er den sannsynligvis ikke ekte. - Bruk appen direkte. Åpne EasyPark eller Vipps og skriv inn sonenummer eller mottaker manuelt. - Vær skeptisk hvis en restaurantmeny krever e-post eller innlogging før du får se prisene. - Last aldri ned en app via en QR-kode du finner i det offentlige rom. Bruk App Store eller Google Play. - Oppgi aldri passord, PIN eller engangskoder på en side du kom til via skanning.

Hovedregelen er enkel. En QR-kode er bare en lenke i forkledning, og en lenke fra et fortau bør behandles med samme skepsis som en lenke fra en ukjent avsender i innboksen.