Alarmerande QR-kodsfiskestatistik som du måste känna till år 2026

Av: Ashley P.Uppdatera: May 06, 2026

Denna sammanställning av QR-kodsfiskestatistik belyser de oroande säkerhetshot som quishing medför för företag och privatpersoner.

Ingen kan förneka fördelarna med att använda en Quick Response (QR)-kod, och så mycket som vi hatar att erkänna det, vet även onlinebrottslingar detta.

Men om du bekantar dig med cybersäkerhetshot och antar säkerhetsåtgärder därefter kan du förhindra deras framgång.

Med det i åtanke har vi samlat viktiga fakta och trender om QR-kodsfiske som alla bör vara vaksamma på år 2026.

Lär dig vad dessa statistiker säger, de verkliga fallen, åtgärderna du kan vidta, och den bästa QR-kodgeneratorn för att hjälpa dig skapa felfria QR-koder.

Innehållsförteckning

Vad gör quishing (QR-kodsfiske) så farligt?
De senaste statistikerna och trenderna för QR-kodfiske
Exempel på verklig phishingkod med användning av QR-koder
Är QR-koder säkra?
Vad du måste göra för att undvika kvävningsattacker
Skapa säkra och pålitliga QR-koder med QR TIGER

Vad gör quishing (QR-kodsfiske) så farligt?

Phishing är en skadlig cyberattack som syftar till att stjäla personlig information, som online-användarnamn, lösenord och även finansiell information, för onda syften.

Denna typ av attack bygger på bedrägeri, vilket får offret att frivilligt men omedvetet ge dessa detaljer själva.

Idag har en ny teknik för dessa cyberbrottslingar dykt upp: quishing.

Quishing är handlingen av fiske med hjälp av QR-koder tvådimensionella streckkoder som en person enkelt kan skanna med en smartphone.

Kan QR-koder vara farliga? Inte alls. Men beroende på skaparens motiv kan länken eller innehållet som är inbäddat vara skadligt för andra.

Det är också ännu svårare att identifiera. QR-kodbedrägeri kan skickas via e-post och leda mottagare till ett dokument med en QR-kod som omdirigerar till en skadlig webbplats som slutligen stjäl deras information.

Det här är varför quishing är så farligt. Oseriösa aktörer kan helt enkelt täcka legitima QR-koder med falska, och kan till och med rikta in sig på ångest som hur Lån påverkar kreditbetygetövertala mottagarna att skanna dem.

Enligt Hoxhunt ökar quishing-incidenter med 25% år efter år.

De senaste statistikerna och trenderna för QR-kodfiske

QR-koder är praktiska verktyg för att dela information, men med cyberattacker som quishing hotar en skadlig QR-kod allvarligt den genomsnittliga personen.

För företag är phishing ett stort bekymmer som kan kosta dem tusentals eller till och med miljoner att reda ut. För kontext, data från IBM visar att intrång som ett resultat av QR-kod phishing i genomsnitt kan kosta 4,45 miljoner dollar (USD).

Om du vill undvika att bli ett mål, är det viktigt att Bekanta dig med cybersäkerhet och förstå hur dessa attacker vanligtvis utvecklas.

Låt oss undersöka de senaste statistikerna som bevisar detta.

Quishing är den snabbast växande attackvektorn i början av 2026.

Under det första kvartalet 2026 fann Microsoft Threat Intelligence och Microsoft Defender Security Research Team att phishing-e-postmeddelanden stod för 78% av den totala e-postaktiviteten, med en ökning av skadlig användning av phishing QR-koder.

I januari användes 7,6 miljoner av dessa attacker QR-koder för att kompromettera e-post. Detta antal skulle öka till 18,7 miljoner i mars, vilket markerar en ökning med 146% i användningen.

Många av dessa QR-koder återfinns i filer som bifogats till e-postmeddelanden. Enligt data används PDF-filer för att leverera skadliga QR-koder i 65% av e-postmeddelanden med bilagor i januari. Å andra sidan användes DOC- och DOCX-filer i 31% av phishing-e-postmeddelandena samma månad.

Dessa siffror skulle förändras i mars, eftersom PDF-filer med QR-koder såg en ökning med 70% i användning, medan användningen av DOC- och DOCX-filer sjönk till 24%.

Angripare har också börjat fästa QR-koder direkt i e-postmeddelandets kropp, en metod som såg en ökning med 336% i mars. Dock visar data också att denna vektor endast utgör 5% av alla upptäckta phishingförsök.

Ökningen av quishing-försök belyser en utmaning i nuvarande e-postsäkerhetssystem. Även om de är effektiva på att fånga hot från text och länkar har angripare insett att de inte är lika pålitliga när det gäller att upptäcka phishing-länkar i bildbaserat innehåll som QR-koder.

QR-kodsfiskeattacker ökade med 51%

Enligt en studie av ReliaQuest ökade QR-kodsfiskeattacker till 51% i september 2023. Detta var en betydande ökning jämfört med det samlade talet för januari till augusti 2023.

Dessutom var 12 % av de observerade quishing-incidenterna att gömma QR-koden i en PDF- eller JPEG-fil bifogad i ett e-postmeddelande.

Dessa attacker lyckades smita förbi e-postfilter eftersom den skadliga e-posten ofta inte hade klickbara element i meddelandekroppen, vilket filter vanligtvis tillåter.

Det var över 8 000 quishing-incidenter under 3 månader år 2023

Keepnet fann att 8 878 quishing-händelser rapporterades under en period på 3 månader tillbaka år 2023, vilket understryker beroendet på QR-koder av cyberbrottslingar och bedragare.

Observerat från juni till augusti, var den första månaden när trenden toppade med totalt 5 063 rapporterade fall.

Nästan 2% av alla skannade QR-koder är skadliga

En nylig analys av Keepnet visade att nästan 2% av alla skannade QR-koder ansågs vara skadliga. Detta inkluderar phishing QR-koder samt de som är inbäddade med länkar till skadlig programvara och virus.

Fråga dig själv, "Hur många QR-koder är det möjligt att skapa?" och du kanske kommer på ett nummer i miljoner. Sanningen är mycket mer än så, så mycket att numret inte skulle rymmas i en miniräknare.

Vi har inte ens kommit i närheten av att nå det numret, så 2% är obetydligt i det stora hela.

Ändå, effekterna av skadliga QR-koder är för skadliga för att avfärdas. Eftersom denna form av streckkod blir allt mer populär i olika tillämpningar kan vi förvänta oss att detta antal också kommer att öka.

Endast 36 % av QR-kodsfiskeincidenter identifierades och rapporterades korrekt.

Trots ett förbluffande antal quishing-incidenter i de senaste statistiken över QR-kodsfiske, rapporterar att endast 36% av dem korrekt identifieras och rapporteras.

Denna låga upptäcknings- och rapporteringsfrekvens är en brist inom säkerheten som alla företag bör åtgärda.

26% av phishingkampanjer använder skadliga länkar inbäddade i QR-koder

Det finns olika typer av phishing-attacker, men den mest populära metoden är via e-post. Enligt mer data från Keepnet var 26% av skadliga länkar i e-post-phishing-kampanjer inbäddade i en QR-kod.

Med så många länkar inbäddade i QR-koder är det uppenbart att illasinnade aktörer använder deras effektivitet för att skada andra.

Detta stöds av en ökning med 587% av quishing-incidenter tillbaka år 2023. Under denna period använde 22% av alla phishing-attacker QR-koder.

Halv miljon e-postmeddelanden med phishing QR-koder är inbäddade i PDF-dokument

Denna imponerande upptäckt gjordes av Barracudas hotintelligensforskare. PDF-filerna hade vanligtvis en eller två sidor, och själva e-postmeddelandena hade inga andra externa länkar eller inbäddade dokument.

Nästan 90% av QR-kodattacker är riktade mot att stjäla inloggningsinformation och annan känslig data.

Medan det finns många kreativa sätt att orsaka skada med QR-koder, säger Keepnet att cirka 89,3% av upptäckta attacker görs för att fånga personuppgifter.

Orsaken till detta kan bero på att QR-koder är enkla och bekväma att använda. Många människor kan glömma att kontrollera länken innan de omdirigeras.

Med de flesta QR-kodattacker som är phishing-försök, understryker detta behovet av mer kunskap och medvetenhet om QR-kodsäkerhet och införandet av förbättrade säkerhetsåtgärder.

Onlinebankingsidor är också benägna för phishing-attacker

Globala utgifter med QR-koder förväntas överstiga 3 biljoner dollar år 2025, vilket innebär att vi kan förvänta oss en ökning av bedrägeriförsök med QR-kodsbetalningar.

Detta stöds av samma ReliaQuest-studie, som fann att 18% av fiskeincidenterna involverade tjuvar som använde sig av onlinebankingsidor för att stjäla information.

Om du använder QR-koder för att betala i fysiska och onlinebutiker, kontrollera eventuella tecken på manipulering på QR-koden. Om du har möjlighet, be butiken att ge dig deras kontonummer och fullständiga namn på kontoinnehavaren för säkra transaktioner.

Affärsledare stöter på kvävningsattacker 42 gånger oftare än anställda

Enligt data från Abnormal Security 2023 är chefer 42 gånger mer benägna att bli måltavlor för fiske-e-post än deras anställda.

Detta berättar för oss att cyberbrottslingar vet att rikta in sig på ledande befattningshavare kan ge dem tillgång till känslig och lönsam information samt mycket makt inom företag.

Det innebär också att det kan finnas sårbarheter i en organisations säkerhet som chefer bör hitta och åtgärda.

Microsoft och Adobe är bland de varumärken som blir efterliknade för phishning

Barracudas hotellundersökningsforskare fann också att i de flesta av de analyserade incidenterna utgav sig cyberbrottslingar för att vara välkända företag som Microsoft och Adobe.

Mer än hälften av attackerna innefattade att försöka efterlikna Microsoft. Angriparna härmar företagets varumärke genom att använda dess logotyp, typsnitt och ansvarsfriskrivningar.

Andra incidenter involverade bedragare som utgav sig för att vara personalavdelningen på offrets nuvarande företag.

27% av quishing-attacker är bedrägliga meddelanden relaterade till multifaktorautentisering (MFA)

Multi-faktorautentisering kan vara guldstandarden för att säkra digitala identiteter, men ett enda misstag att klicka på en e-post och skanna en QR-kod för en bedräglig MFA-notis låter angripare kringgå detta skydd.

Enligt Abnormal använder en betydande 27% av quishing-försöken falska MFA-varningar för att lura användare att skanna en QR-kod för omautentisering.

56% av quishing-e-postmeddelanden involverade återställning av Microsofts tvåfaktorsautentisering (2FA)

Enligt en studie från ReliaQuest i september 2023 var den mest populära formen av quishing att skicka e-post för att återställa eller aktivera Microsofts tvåfaktorsautentisering (2FA).

Denna attack var så vanlig att den utgjorde mer än hälften av alla metoder som användes under loppet av ett år.

Falska tvåfaktorsautentiseringsmeddelanden kan utgöra ett allvarligt hot mot din säkerhet. Om du därför får oönskade e-postmeddelanden som detta, kontakta omedelbart Microsoft eller andra tjänsteleverantörer som du prenumererar på.

Skämtande skådespelare härmar HR- och IT-relaterade e-postmeddelanden

En phishingrapport från KnowBe4 fann att 48,6% av HR- och IT-relaterade phishing-mejl är de mest dödliga för yrkesverksamma.

De flesta av dessa e-postmeddelanden som efterliknar dem från HR och administratörer använder QR-koder.

Till exempel använder hotaktörer dem för att dirigera mottagare att brådskande underteckna ett dokument, bjuda in dem till ett Zoom-möte eller ladda ner en fil för policygenomgångar.

QR-koder som innehåller skadliga länkar kan leda till cyberattacker som till exempel affärsmejlsbedrägeri (BEC), systemhackning och ransomware.

Energisektorn får 29 % av kvävande e-postmeddelanden, medan detaljhandeln förblir mest sårbar

Medan alla branscher kan vara i riskzonen för kvävande attacker, verkar två vara frekventa måltavlor.

Den första är energibranschen. Enligt data får energisektorn 29% av över 1 000 malware-infekterade phishing-mejl.

Det andra branschen som är sårbar för quishing är detaljhandelssektorn. Analys visar att denna bransch har den högsta missfrekvensen, vilket innebär att detaljhandelsanställda ofta misslyckas med att upptäcka och rapportera skadliga QR-koder till myndigheterna.

Andra sektorer som är populära mål för phishing-kampanjer är tillverkning, försäkring, teknik och finansiella tjänster.

Ett högt antal incidenter inom dessa branscher tyder på att det har varit lönsamt för många cyberbrottslingar att rikta in sig på dem.

Exempel på verklig phishingkod med användning av QR-koder

Trots en låg upptäckts- och rapporteringsfrekvens fångas fortfarande tusentals incidenter. Att inte veta hur dessa bedrägerier kan äga rum hjälper bara brottslingar att få tag på mer personlig information från oskyldiga offer.

Vi har samlat stora exempel på QR-kodsfiske som du kan lära dig av och undvika när du stöter på ett själv.

Falska parkeringsböter i San Francisco

I det andra kvartalet av 2023 fick invånarna i San Francisco parkeringsböter på sina fordon.

Dessa biljetter hade en QR-kod som riktade skannrar till en sida för San Francisco Municipal Transportation Agency (SFMTA) där förare kunde betala sina böter omedelbart.

Tyvärr använde inte SFMTA QR-koder på detta sätt.

Värre, bedragarna replikerade SFMTA:s officiella webbplats, vilket fick den falska att se legitim ut.

Medan myndigheten inte kunde bekräfta antalet rapporter de mottagit, uppmanade de förare att kontrollera om en biljett är äkta genom att slå upp den på deras officiella webbplats.

Tea shop malware-infested QR-kod

En annan phishing-bedrägeri med användning av en QR-kod var fallet i Singapore där en 60-årig kvinna förlorade 20 000 dollar efter att ha fyllt i en falsk onlineundersökning.

Enligt offret skulle den här undersökningen ge en gratis kopp mjölk te på en lokal bubble tea-butik. Koden var klistrad på butikens glasruta, vilket fick det att se ut som en kampanj från företaget självt.

Det som är unikt med den här bedrägerin är att den laddar ner en tredjepartsapp på telefonen efter att ha skannat QR-koden. Denna app kommer att begära åtkomst till telefonens mikrofon och kamera.

Den skadliga appen bad också om åtkomst till Android Accessibility Service, en Android-app dedikerad till att hjälpa användare med funktionsnedsättningar. Åtkomst till denna app gör att bedragaren kan se och kontrollera offrets skärm.

Enligt Mr Beaver Chua, chef för OCBC Banks avdelning för bedrägeribekämpning, skulle bedragaren vänta på att offret använder sin mobilbankapp och notera deras inloggningsuppgifter och lösenord.

Med denna information behöver bedragaren bara ta kontroll över telefonen vid rätt tidpunkt och överföra pengar från offrets konto.

QR-koder för att stjäla inloggningsuppgifter vid Washington University

I september 2023 blev studenter och fakultet vid Washington University i St. Louis (WUSTL) mål för cyberbrottslingar som använde sig av phishing QR-koder.

Enligt en bloggpost använde phishing-kampanjen e-postmeddelanden med en skadlig QR-kod bifogad. När koden skannades, omdirigerade den medlemmar i samhället till en falsk inloggningssida för WUSTL Key.

Men hur skulle bedragaren övertyga användarna att skanna koden? Genom att få dem att tro att deras konton skulle avslutas om de inte gör det.

Eftersom det såg ut som ett officiellt e-postmeddelande är det ganska lätt att lura ovetande WUSTL-fakultet och studenter att behålla sina konton genom att skanna koden.

Som tur var informerade universitetets informationssäkerhetsteam gemenskapen om bedrägeriet, vilket förhindrade att fler personer gick på det.

Skadlig QR-kod som täcker en legitim kod i Teesside, England

I november samma år lanserades ett annat exempel på phishingkod vid Thronaby Station i Teesside, England. Precis som tebutiksundersöknings-QR-koden resulterade den i att åtminstone ett offer förlorade tusentals av sina hårt intjänade pengar.

QR-koden placerades över en äkta kod i stationens parkeringshus. När offret, en 71-årig kvinna som önskade förbli anonym, skannade en av dessa falska QR-koder att betala för parkering, erbjöd hon oavsiktligt sina bankuppgifter till bedragarna.

Hennes bank blockerade hennes transaktion. Tyvärr utgav sig brottslingarna för att vara bankpersonal och övertalade henne att ta ett lån på £7,500.

Därefter ändrade de hennes bankinformation, beställde nya kort, skapade skulder som skulle resultera i en total förlust på £13,000 för offret och skapade ett onlinebankkonto.

Enligt VirginMoney skulle offrets lån så småningom skrivas av medan alla bedrägliga transaktioner återbetalades.

Den falska Microsoft 2FA-utgående e-postens QR-kod

Det här bedrägeriet är ett utmärkt exempel på hur energibranschen är måltavla för quishing-attacker.

I samma månad som Teesside falska QR-kod skickade Microsoft ett e-postmeddelande till ett företag inom industri- och energibranschen. E-postmeddelandet angav att mottagarens tvåfaktorsautentisering (2FA) höll på att gå ut.

Enligt e-postmeddelandet skulle förnyandet av denna säkerhetsåtgärd ha krävt att skanna den bifogade QR-koden. Eftersom Microsoft inte skickar den här typen av e-post var det tydligt att detta e-postmeddelande var avsett att samla in företagsuppgifter.

Det bedrägliga naturen hos e-posten var också uppenbar för uppmärksamma anställda tack vare de olika grammatiska felen som fanns i texten. Inte ens en QR-kodgenerator med logointegration kan rädda det.

Olagliga DocuSign QR-koder

DocuSign är den främsta plattformen för elektroniska signaturer. Tyvärr har detta också gjort det till en favorit bland cyberbrottslingar, särskilt de som föredrar att använda det för att genomföra phishing-bedrägerier.

När en dålig aktör imiterar DocuSigns plattform för att starta fiskeattacker, kopierar de vanligtvis officiella kommunikationer från företaget för att få deras bedrägliga e-postmeddelanden att se äkta ut.

Och eftersom DocuSign-e-postmeddelanden kan anpassas för att passa varumärket med hjälp av deras tjänster, blir det lättare att dölja bedragarens verkliga avsikter.

QR-koder kan ytterligare öka bedrägeriet genom att "ge" åtkomst till dokumentet som behöver undertecknas. I själva verket skickar QR-koden skannare till en skadlig webbplats som fångar upp all personlig information som matas in.

Denna metod kan allvarligt påverka människors förtroende för QR-koder och få dem att fråga sig: "Är QR-koder säkra?"

Skadligt OneService Lite QR-kod i Singapore

Tidigt under 2023 började Singapores kommunala tjänstekontor (MSO) få rapporter om en falsk QR-kod som efterliknar den legitima OneService Lite QR-koden.

OneService är en plattform som lanserats av den singaporeanska regeringen som hjälper medborgare att skicka in sina åsikter till en enda portal. Det underlättar återkopplingsprocessen eftersom oroade medborgare inte behöver leta upp vilken myndighet eller stadsfullmäktige de ska kontakta.

Tyvärr tar den falska QR-koden människor till ett feedbackformulär där de måste lämna sina personuppgifter.

Detta fick MSO att inleda utredningar i ärendet. De och olika stadsråd inledde också kontroller av varje OneService Lite QR-kod och uppmanade allmänheten att verifiera QR-kodens webbadress innan de lämnade in någon information.

Är QR-koder säkra?

Med alla dessa statistik och verkliga exempel på quishing är det lätt att tro att QR-koder är för farliga att använda. Men det kunde inte vara längre från sanningen.

Medan QR-koder kan ge tillgång till skadliga länkar, skadar de inte människor. Precis som en dörr är deras enda syfte att låta dig komma in, även om "rummet" du går in i kan vara farligt.

Med en dynamisk QR-kodgenerator På nätet kan du garantera säkra och pålitliga QR-koder. De bästa använder ofta de mest avancerade säkerhetsverktygen, som t.ex. 2FA, interna revisioner och 24/7-övervakning.

Hur annars säker QR-kod och vara säker? Genom att använda en annan dynamisk funktion som kallas lösenordsskydd. Dynamiska QR-koder är mer avancerade och kommer med ett lösenord.

Om lösenordet du känner till inte fungerar kommer du att hindras från att komma åt QR-kodinnehållet. När det gäller falska QR-koder kommer detta att hålla dig säker.

QR-kodläsare visar också förhandsgranskningar av länkarna inbäddade i QR-koder, vilket är ett annat säkerhetsskikt du kan använda för att undvika skadliga attacker.

För att hitta en säker länk, leta efter en "lås" symbol när du förhandsgranskar den. Denna symbol betyder att länken är krypterad och säkrad med en Secure Sockets Layer (SSL)-certifiering.

Vad du måste göra för att undvika kvävningsattacker

För att skydda dig själv från att bli offer för quishing-attacker, tänk på följande innan du skannar QR-koder:

Undvik att skanna QR-koder som finns på slumpmässiga eller misstänkta platser.
Om du är på en offentlig plats, kontrollera om det finns tecken på manipulering av QR-koden.
Letar efter vanliga indikatorer på en bluff i e-postmeddelanden som kommer med QR-koder (dålig grammatik, stavfel, suddiga bilder)
Om QR-koden begär känslig information, överväg om det är nödvändigt att få den information koden är tänkt att ge dig.
För dem som hanterar sin ekonomi är det viktigt att förstå vikten av att budgetera, och du kan hitta användbara budgeterings tips att hjälpa till att navigera genom ekonomiska utmaningar.
Kontrollera alltid webbadressen som din kamera eller QR-kodläsare visar efter att ha skannat en QR-kod. Om länken ser misstänksam ut, gå inte in på den.

Skapa säkra och pålitliga QR-koder med QR TIGER

Om du funderar på att använda QR-koder i ditt personliga eller professionella liv bör du alltid se till att de koder du genererar är säkra och trygga.

Vi har täckt hur man gör det. Det du behöver göra nu är att hitta en säker, trygg och pålitlig QR-kodplattform.

QR TIGER:s system följer GDPR- och CCPA-förordningarna samt säkerhetsstandarderna i ISO-27001, vilket ger dig säkra, redigerbara och spårbara QR-koder.

Vi erbjuder också en hel rad andra funktioner: lösenordsskydd för dina QR-koder och tvåfaktorsautentisering för ditt konto. Med dessa kan du vara säker på att dina skanningar är säkra hos oss.

Beväpnad med viktiga statistik och exempel på QR-kodsfiske kommer dina QR-koder att vara säkra att använda och lita på av alla.