Det nya AI-drivna QR-kodsbluffen — och hur du undviker det

Säkerhet & bedrägerier Guide7 min läsning·Uppdaterad 11 juli 2026
Det korta svaret

Quishing är QR-kodsphishing — att skanna en falsk kod tar dig till en sida som stjäl dina inloggningsuppgifter eller betalningsinformation. AI har gjort dessa bedrägerier mycket lättare att skapa och svårare att upptäcka. De säkraste vanorna är att läsa URL-förhandsgranskningen innan du trycker, aldrig ange betalnings- eller inloggningsuppgifter efter att ha skannat en offentlig QR-kod, och att skriva adresser manuellt när du är osäker.

Du har förmodligen skannat dussintals QR-koder det senaste året — för att titta på en restaurangmeny, betala för parkering eller checka in någonstans. Den lilla fyrkanten är nu ett av bedragares favoritverktyg, och AI har gjort det dramatiskt enklare för dem att skapa övertygande falska koder. Tricket kallas quishing, och det sprids så snabbt att både FBI och FTC har utfärdat varningar om det.

Vad är quishing?

Ordet kombinerar "QR" och "phishing" — den bredare kategorin av bedrägerier som utger sig för att vara en betrodd organisation för att stjäla dina inloggningsuppgifter eller betalningsinformation.

Så här fungerar det: en bedragare skapar en QR-kod som, när den skannas, tar dig till en falsk webbplats som ser ut precis som din bank, din stads parkeringsbetalningsportal eller ett fraktföretags spårningssida. Sidan ber dig logga in, bekräfta en betalning eller verifiera din identitet. Om du gör det går dina uppgifter eller kortnummer direkt till bedragaren.

Anledningen till att QR-koder är särskilt effektiva för bedragare: e-post- och SMS-säkerhetsfilter är byggda för att söka igenom misstänkta textlänkar — de är inte byggda för att läsa bilder. En falsk QR-kod inbäddad i en PDF eller bildbilaga passerar de flesta filter oupptäckt.

Var falska QR-koder dyker upp

Falska koder dyker upp på helt vanliga ställen:

Parkeringsautomater. Ett klistermärke med en falsk QR-kod placeras över den legitima betalningskoden. Du skannar den, anger ditt kreditkort på en övertygande falsk "parkeringsbetalnings"-sida — och automaten registrerar aldrig din betalning.

Restaurangmenyer. De flesta QR-menyer är säkra, men bedragare har blivit påkomna med att sätta klistermärken över originalkoderna. Den falska versionen omdirigerar dig till en sida som kan be om ditt kreditkort "för att reservera din plats" eller erbjuda en rabattregistrering.

SMS om paketleveranser. Du får ett meddelande om att din leverans är försenad och att du ska skanna en kod eller följa en länk för att omboka. URL:en leder till en falsk sida som ber om din adress och betalningsuppgifter.

Flygblad och affischer. Falska koder har dykt upp på gemenskapsflygblad — ett "gratis presentkort" eller ett "exklusivt erbjudande" — placerade i tvättstugor, bibliotek och entréhallar i bostadshus.

E-postmeddelanden och PDF-bilagor. Ett meddelande från en förment bank, energibolag eller leveranstjänst innehåller en QR-kod som ber dig "verifiera ditt konto." Detta är den vanligaste digitala varianten, och den som lättast slipper förbi e-postsäkerhetsprogramvara.

Varför AI har gjort det mycket värre

Innan AI-skrivverktyg blev allmänt tillgängliga var ett bedrägeri-e-postmeddelande ofta lätt att känna igen: klumpigt skrivande, grammatikfel, en konstig begäran som inte lät som hur en riktig bank skulle kommunicera. Det är inte längre ett pålitligt tecken.

Enligt en rapport från juli 2026 ökade AI-drivna nätfiskeattacker fjorton gånger på en enda månad, och AI-genererat nätfiske utgör nu ungefär 40 % av alla nätfiskeattacker. Bedragare använder AI för att skriva perfekt professionella e-postmeddelanden, generera realistiskt utseende falska inloggningssidor och skapa QR-koder i stor skala — hundratals något olika versioner som riktar sig till olika personer eller regioner.

Kombinationen är särskilt effektiv: e-postmeddelandet läses som om det kom från ett riktigt företag, QR-koden kringgår textbaserade filter och den falska webbplatsen ser identisk ut med den riktiga. Det enda tillfälle du har att fånga det är när du kontrollerar URL:en som koden faktiskt pekar på.

Hur du kontrollerar en QR-kod innan du trycker

Du behöver inte sluta använda QR-koder helt. Du behöver bara en snabb vana: läs URL-förhandsgranskningen innan du trycker.

På iPhone: När du riktar kameran mot en QR-kod visas ett litet meddelande längst upp på skärmen med destinations-URL:en. Tryck inte omedelbart på det meddelandet — läs adressen först.

På Android: De flesta Android-kameraappar visar ett litet URL-fält under QR-kodramen. Läs det innan du trycker.

Vad du ska leta efter i URL:en:

  • Matchar domänen den organisation du förväntar dig? En kommunal parkeringsapp kan vara "kommunnamn.se" eller "parkXYZ.se" — det borde inte vara "parking-secure-pay.net" med en slumpmässig domän du inte känner igen.
  • Finns det en lång sträng slumpmässiga tecken i URL:en? Legitima QR-koder för en meny eller betalningssida har vanligtvis korta, rena adresser.
  • Använder domänen subtila felstavningar — "rnittbank.se" istället för "mittbank.se"? Den extra bokstaven är lätt att missa vid en hastig titt.

Säkra vanor framöver

Skriv adresser manuellt när du är osäker. Om en QR-kod i ett e-postmeddelande ber dig att "verifiera ditt konto" med din bank, skanna det inte — öppna din banks app eller skriv adressen du känner i din webbläsare. FTC rekommenderar specifikt detta som sitt primära råd för QR-kodssäkerhet.

Ange aldrig betalnings- eller inloggningsuppgifter efter att ha skannat en offentlig kod. Om en parkeringsautomat, affisch eller offentlig QR-kod ber om ditt kreditkort eller lösenord, stanna upp. Legitima parkeringsappar och offentliga betalningssystem låter dig betala via en etablerad app du redan har, eller accepterar ditt kort direkt vid automaten. De behöver inte att du anger ditt fullständiga kortnummer på en webbplats du nådde via ett QR-klistermärke.

Kontrollera efter klistermärken. Innan du skannar en QR-kod på en fysisk yta — en automat, ett bordskort, en affisch — titta om koden är direkt tryckt eller om det finns en klistermärkeskant ovanpå. Ett klistermärke placerat över en legitim kod är den vanligaste fysiska formen av detta bedrägeri.

Var extra skeptisk mot QR-koder i e-postmeddelanden. Riktiga banker, energibolag och leveranstjänster behöver sällan att du skannar en QR-kod. De har appar och webbplatser du kan nå direkt. Ett oväntat e-postmeddelande med en QR-kod är en varningssignal även om varumärkesidentiteten ser korrekt ut.

Vad du bör se upp för

Dessa vanor fångar de flesta quishing-försök, men ingen enskild kontroll är idiotsäker. Bedragare förfinar ständigt sin teknik, och de falska sidor de bygger är ibland visuellt omöjliga att skilja från de riktiga. Om du har angett information efter att ha skannat en kod och sedan känt dig osäker, agera snabbt: byt lösenord, ring din bank och rapportera incidenten på reportfraud.ftc.gov. Ju tidigare du agerar, desto bättre är dina chanser att begränsa eventuell skada.

En sak som den här guiden inte täcker: AI-drivna uppföljningssamtal som ibland åtföljer QR-bedrägerier. En bedragare kan ringa strax efter att du skannat en kod och påstå att de "verifierar din betalning" och be om kortuppgifter som du inte angav på den falska sidan. Om du får ett oväntat samtal strax efter att ha skannat en QR-kod, lägg på och ring organisationen direkt med ett nummer du söker upp själv.

Vad du kan prova härnäst

Quishing är del av en bredare våg av AI-drivna bedrägerier som drabbar inkorgar just nu — Hur du känner igen AI-genererade phishing-e-postmeddelanden täcker tecknen på att ett meddelande inte skrevs av en människa. Och om du får misstänkta samtal vid sidan av misstänkta meddelanden, går De bästa AI-blockerarna för bedrägerisamtal igenom verktygen som kan hjälpa till att filtrera dem.

Publicerad 11 juli 2026 · Uppdaterad 11 juli 2026Hur vi testar →

Vanliga frågor

Vad är quishing?
Quishing är en förkortning för QR code phishing. Bedragare placerar en falsk QR-kod — på ett klistermärke, i ett e-postmeddelande eller i ett textmeddelande — som omdirigerar dig till en övertygande falsk webbplats utformad för att stjäla ditt lösenord, kreditkortsnummer eller annan personlig information. Namnet kombinerar 'QR' och 'phishing', den bredare kategorin av trick som utger sig för att vara betrodda organisationer för att stjäla inloggningsuppgifter.
Varför använder bedragare QR-koder istället för vanliga länkar?
En vanlig nätfiskelänk visar den faktiska URL:en som text, vilket e-postsäkerhetsfilter och uppmärksamma läsare ofta kan upptäcka. En QR-kod är en bild — din e-postsäkerhetsprogramvara söker igenom text, inte bilder, så en falsk QR-kod inbäddad i en PDF eller bildfilsbilaga passerar de flesta filter oupptäckt. Du kan inte heller titta på en QR-kod och se vart den leder på samma sätt som du kan hålla muspekaren över en hyperlänk på en stationär dator.
Hur ser jag vart en QR-kod leder innan jag trycker?
På de flesta smartphones visar det sig en liten URL-förhandsgranskning när du riktar kameran mot en QR-kod, innan du trycker — leta efter den förhandsgranskningen och läs den noggrant. På iPhone visas detta som ett meddelande längst upp på skärmen; på Android visas det precis under QR-kodramen. Om domänen i förhandsgranskningen inte matchar den organisation du förväntar dig, tryck inte.
Är QR-koder på restaurangmenyer säkra?
De flesta QR-restaurangmenyer är helt legitima — de leder till en PDF eller en enkel webbplats som restaurangen har skapat. Risken utgörs av ett klistermärke placerat över originalkoden, vilket är lätt att upptäcka: leta efter en klistermärkeskant eller något annorlunda papper ovanpå den tryckta koden. Om något verkar ha lagts på, berätta för personalen och skanna inte.
Vad ska jag göra om jag redan har skannat en misstänkt QR-kod?
Om du tryckte på länken men inte angav någon information, stäng webbläsaren — du är nästan säkert oskadad. Om du angav användarnamn och lösenord, ändra det lösenordet omedelbart på varje konto där du använder samma, och aktivera tvåfaktorsautentisering om du inte redan har gjort det. Om du angav ett kreditkortsnummer, ring din bank omedelbart. Rapportera den misstänkta koden på reportfraud.ftc.gov.
Kan jag lita på QR-koder i e-postmeddelanden från företag jag känner?
Var försiktig. Bedragare kopierar avsiktligt varumärkesidentiteten hos välkända företag — banker, leveranstjänster, energibolag — eftersom en bekant logotyp sänker din vaksamhet. FTC avråder från att skanna QR-koder från oväntade e-postmeddelanden, även om de ser officiella ut. Gå istället direkt till företagets webbplats genom att skriva adressen själv, eller ring numret på baksidan av ditt kort.
Radim S.
Grundare och redaktör

Radim är en mjukvaruutvecklare som tillbringar dagarna med att bygga med AI och kvällarna med att förklara det för familjemedlemmar som inte bryr sig om hur det fungerar — bara vad det kan göra för dem. Varje guide testas för hand innan den publiceras.