← Kaikki ilmiöt Huijaukset ja petokset
Ilmiö 62

QR-koodihuijaus — väärä koodi, oikea lasku

Kirjoittanut · Päivitetty 6.7.2026

QR-koodihuijaus (engl. quishing, sanoista QR + phishing) tarkoittaa kalastelua, jossa uhri ohjataan väärennetyllä QR-koodilla huijaussivulle maksamaan, antamaan korttitietonsa tai asentamaan haittaohjelma. Huijauksen kauneusvirhe uhrin kannalta: hän tekee työn itse, omalla puhelimellaan, vapaaehtoisesti.

Quishing toimii kolmesta syystä. Ensinnäkin QR-koodi on ihmissilmälle pelkkää kohinaa — linkkiä ei voi arvioida ennen skannausta, ja puhelin näyttää siitä usein vain lyhennetyn alun. Toiseksi koodi lainaa ympäristönsä luotettavuuden: virallisen näköinen tarra parkkimittarissa tai firman logolla varustettu kirje ei herätä samaa epäilystä kuin tuntemattoman lähettämä linkki. Ja kolmanneksi koodi kiertää suodattimet: sähköpostin turvaskannerit lukevat linkkejä, mutta kuvana lähetetty koodi menee monesta läpi.

flowchart TD R["Rikollinen liimaa tarran\naidon koodin päälle:\nmittari, latausasema,\nruokalista"] --> S["Uhri skannaa\nomalla puhelimellaan"] S --> V["Aidon näköinen\nmaksusivu"] V --> T["Kortti- tai pankkitiedot\nrikolliselle"] T --> L["Tililtä lähtee rahaa —\nuhri luulee maksaneensa\nparkkimaksun"] style R fill:#fdf0f0,stroke:#c0392b style V fill:#fff3cd,stroke:#f39c12

Quishingin ydin: koodi on linkki, jota et voi lukea — mutta jonka avaat silti.

Missä quishing iskee:
Suojaudu: Maksa pysäköinti sovelluksella, jonka asennat itse sovelluskaupasta — älä koodin ohjaamana. Katso koodia: onko se tarra tarran päällä, eri materiaalia kuin ympäristönsä? Lue avautuva osoite ennen jatkamista, ja jos "parkkimaksusivu" kysyy verkkopankkitunnuksia tai kortin kaikkia tietoja, sulje selain. Älä koskaan asenna sovellusta QR-koodin kehotuksesta. Nyrkkisääntö: tuntemattoman QR-koodi on tuntemattoman lähettämä linkki — kohtele sitä samoin. Organisaatiolle: tarkastakaa omat mittarit, asemat ja tarrapinnat säännöllisesti — teidän pintanne on jonkun toisen kalasteluväline.
Lue lisää