How can I tell if a QR code is safe before scanning it?

You cannot determine a QR code's safety just by looking at it, which is why you should use a QR scanner app that previews the destination URL before opening it. Check that the URL matches the expected domain exactly, looking for misspellings or suspicious extensions. For physical QR codes, inspect for signs of tampering like stickers over original codes or poor print quality.

What should I do if I accidentally scanned a malicious QR code?

Immediately close the browser window without entering any information or clicking links. If you already entered credentials, change your passwords immediately on all affected accounts using a different device. Monitor your bank and credit card statements for unauthorized transactions and consider placing fraud alerts with credit bureaus if you provided personal or financial information.

Are QR codes in emails always dangerous?

Not all QR codes in emails are malicious, but they should be treated with extreme caution because they're a common attack vector. Legitimate companies rarely send QR codes for sensitive actions like password resets or payments in unsolicited emails. Always verify the sender's authenticity through independent channels and prefer typing URLs directly rather than scanning codes for important accounts.

Can my phone get infected with malware just by scanning a QR code?

Simply scanning a QR code typically won't infect your device, but the destination website could prompt you to download malicious apps or exploit browser vulnerabilities. Modern smartphones usually require explicit permission before downloading files, but sophisticated attacks can exploit zero-day vulnerabilities. Using updated mobile security software and keeping your operating system current provides important protection.

Why don't email security systems catch QR code phishing attacks?

Traditional email security filters scan text, URLs, and attachments for known malicious patterns, but QR codes appear as harmless images in email analysis. The malicious URL is encoded within the image itself, making it invisible to standard scanning tools. This is why quishing attacks have become so prevalent—they exploit a blind spot in conventional email security infrastructure.

उच्च जोखिम औसत हानि: $1,500 सामान्य अवधि: 1-3 days

क्विशिंग (QR कोड फ़िशिंग): एक पूर्ण सुरक्षा मार्गदर्शिका

क्विशिंग, या QR कोड फ़िशिंग, एक तेजी से बढ़ता साइबर हमले का तरीका है जिसमें अपराधी वैध QR कोड को दुर्भावनापूर्ण कोड से बदल देते हैं या नकली कोड बनाते हैं जो पीड़ितों को धोखाधड़ी वाली वेबसाइटों पर ले जाते हैं। FBI के इंटरनेट क्राइम कंप्लेंट सेंटर के अनुसार, 2022 से 2023 के बीच QR कोड से जुड़ी धोखाधड़ी में 587% की वृद्धि हुई है, जिसमें प्रति घटना औसत नुकसान $1,500 तक पहुंच गया है। ये हमले इस तथ्य का फायदा उठाते हैं कि QR कोड मनुष्यों के लिए पढ़ने योग्य नहीं होते, जिससे स्कैन करने से पहले गंतव्य की पुष्टि करना असंभव हो जाता है। यह धोखाधड़ी आमतौर पर पार्किंग मीटर, रेस्टोरेंट टेबल, उत्पाद पैकेजिंग या वैध कंपनियों से प्रतीत होने वाले ईमेल अटैचमेंट्स पर नकली QR कोड लगाकर काम करती है। स्कैन करने पर ये कोड पीड़ितों को विश्वसनीय नकली वेबसाइटों पर ले जाते हैं जो लॉगिन क्रेडेंशियल, बैंकिंग जानकारी या भुगतान कार्ड विवरण चुराने के लिए डिज़ाइन की गई होती हैं। कॉर्पोरेट वातावरण में, हमलावर ईमेल के माध्यम से QR कोड भेजते हैं जो पारंपरिक सुरक्षा फ़िल्टरों को बायपास कर कर्मचारी को नकली Microsoft 365 लॉगिन पेज या पेरोल पोर्टल पर ले जाते हैं। क्विशिंग को विशेष रूप से खतरनाक बनाने वाली बात यह है कि यह पारंपरिक सुरक्षा उपायों को दरकिनार कर सकता है। पारंपरिक ईमेल सुरक्षा सिस्टम URL और अटैचमेंट्स को दुर्भावनापूर्ण सामग्री के लिए स्कैन करते हैं, लेकिन QR कोड केवल एक सामान्य छवि के रूप में दिखाई देते हैं। इसके अलावा, कई स्मार्टफोन QR कोड से लिंक को पूरी URL दिखाए बिना ही खोल देते हैं, जिससे पीड़ितों को गंतव्य की पुष्टि करने का मौका नहीं मिलता। फेडरल ट्रेड कमीशन ने बताया कि 2023 में व्यवसायों ने QR कोड धोखाधड़ी में $48 मिलियन से अधिक का नुकसान उठाया, जिसमें उपभोक्ता और कर्मचारी दोनों इन परिष्कृत हमलों के शिकार हुए।

सामान्य रणनीतियाँ कैसे पहचानें खुद को कैसे सुरक्षित रखें वास्तविक उदाहरण रिपोर्ट कहाँ करें

सामान्य रणनीतियाँ

• भौतिक QR कोड प्रतिस्थापन: धोखेबाज दुर्भावनापूर्ण QR कोड वाले स्टिकर छापकर पार्किंग मीटर, रेस्टोरेंट भुगतान टर्मिनल, EV चार्जिंग स्टेशन और डिलीवरी पैकेज लेबल पर वैध कोड के ऊपर चिपका देते हैं, जिससे भुगतान उनके अपने खातों में चला जाता है।
• ईमेल आधारित क्विशिंग अभियान: हमलावर पेशेवर दिखने वाले ईमेल भेजते हैं जो IT विभाग, HR या वित्तीय संस्थानों से होने का दावा करते हैं, जिनमें QR कोड होते हैं जो तत्काल पासवर्ड रीसेट, मल्टी-फैक्टर ऑथेंटिकेशन सेटअप या चालान भुगतान के लिए होते हैं और ये क्रेडेंशियल चोरी वाली साइटों पर ले जाते हैं।
• नकली पार्किंग उल्लंघन नोटिस: अपराधी विंडशील्ड पर नकली पार्किंग टिकट लगाते हैं जिनमें QR कोड होते हैं जो त्वरित भुगतान विकल्प प्रदान करने का दावा करते हैं, लेकिन स्कैन करने पर क्रेडिट कार्ड जानकारी और व्यक्तिगत विवरण चुरा लेते हैं।
• क्रिप्टोकरेंसी निवेश के लालच: धोखेबाज सोशल मीडिया और मैसेजिंग ऐप्स के माध्यम से QR कोड वितरित करते हैं जो विशेष क्रिप्टो निवेश अवसरों तक पहुंच का दावा करते हैं, लेकिन स्कैन करने पर पीड़ितों के डिजिटल वॉलेट खाली कर देते हैं।
• पैकेज डिलीवरी धोखाधड़ी: धोखेबाज टेक्स्ट संदेश या ईमेल भेजते हैं जिनमें QR कोड होते हैं जो पैकेज डिलीवरी पुनर्निर्धारण या कस्टम शुल्क भुगतान का दावा करते हैं, जो नकली डाक सेवा साइटों पर ले जाते हैं और भुगतान कार्ड जानकारी चुरा लेते हैं।
• रेस्टोरेंट मेनू और भुगतान धोखाधड़ी: हमलावर नकली QR कोड बनाते हैं जो डिजिटल मेनू या टेबल सेवा भुगतान के लिए होते हैं, जिससे ग्राहक नकली साइटों पर पहुंचते हैं जो बिल भुगतान के दौरान क्रेडिट कार्ड विवरण चुरा लेते हैं।

कैसे पहचानें

URL पूर्वावलोकन असंगति: लिंक खोलने से पहले देखें कि क्या आपका फोन पूर्वावलोकन URL दिखाता है जो अपेक्षित गंतव्य से मेल नहीं खाता (जैसे पार्किंग मीटर QR कोड पर शहर के आधिकारिक डोमेन की बजाय व्यक्तिगत वेबसाइट URL दिखना)।
भौतिक छेड़छाड़ के प्रमाण: मूल QR कोड के ऊपर लगे स्टिकर, गलत संरेखण, अलग कागज की गुणवत्ता या ऐसे कोड जो मूल सामग्री का हिस्सा नहीं लगते, देखें।
तत्काल कार्रवाई के अनुरोध: ऐसे QR कोड से सावधान रहें जिनके साथ धमकी भरे शब्द होते हैं जैसे 'खाता 24 घंटे में निलंबित हो जाएगा', 'तत्काल सुरक्षा अपडेट आवश्यक', या 'दंड से बचने के लिए 2 घंटे में भुगतान करें', क्योंकि वैध सेवाएं आमतौर पर इस तरह का दबाव नहीं डालतीं।
सामान्य या गैर-व्यक्तिगत संचार: ऐसे ईमेल या संदेश जिनमें QR कोड होते हैं लेकिन आपका वास्तविक नाम नहीं होता, अस्पष्ट खाता समस्याओं का उल्लेख होता है, या प्रेषक के साथ आपके संबंध के बारे में कोई विशिष्ट जानकारी नहीं होती, वे धोखाधड़ी हो सकते हैं।
अनपेक्षित प्रमाणीकरण अनुरोध: यदि आपको बिना अनुरोध के QR कोड मिलते हैं जो मल्टी-फैक्टर ऑथेंटिकेशन सेटअप, खाता विवरण सत्यापन या पहचान पुष्टि का दावा करते हैं, तो यह एक बड़ा चेतावनी संकेत है।
भुगतान गंतव्य असंगति: जब QR कोड भुगतान पृष्ठ पर ले जाता है, तो प्राप्तकर्ता का नाम, व्यवसाय विवरण और भुगतान प्रोसेसर की जांच करें—धोखेबाज अक्सर व्यक्तिगत खाते या अपरिचित भुगतान प्लेटफॉर्म का उपयोग करते हैं बजाय स्थापित मर्चेंट सेवाओं के।

खुद को कैसे सुरक्षित रखें

URL पूर्वावलोकन के साथ QR स्कैनर इंस्टॉल करें: ऐसे QR कोड रीडर ऐप्स का उपयोग करें जो लिंक खोलने से पहले पूरा गंतव्य URL दिखाते हैं, और हमेशा डोमेन की पुष्टि करें कि वह वैध संगठन से मेल खाता है (जैसे 'micros0ft.com' में 'o' की जगह '0' हो)।
आधिकारिक URL मैन्युअल रूप से टाइप करें: बैंकिंग, पासवर्ड रीसेट या भुगतान जैसे संवेदनशील कार्यों के लिए QR कोड स्कैन करने के बजाय, सीधे ब्राउज़र में आधिकारिक वेबसाइट का URL टाइप करें या सेव किए गए बुकमार्क का उपयोग करें।
स्कैन करने से पहले भौतिक QR कोड की जांच करें: पार्किंग मीटर, भुगतान टर्मिनल और उत्पाद पैकेजिंग में छेड़छाड़ के संकेत देखें—वैध QR कोड मूल सामग्री का हिस्सा होने चाहिए, स्टिकर या अलग लेबल के रूप में नहीं।
सभी खातों पर दो-कारक प्रमाणीकरण सक्षम करें: भले ही धोखेबाज क्विशिंग के माध्यम से आपके क्रेडेंशियल प्राप्त कर लें, सही 2FA (ऑथेंटिकेटर ऐप्स का उपयोग करें, SMS नहीं) उन्हें बिना द्वितीयक सत्यापन कोड के आपके खातों तक पहुंचने से रोकता है।
संगठनों से आधिकारिक चैनलों के माध्यम से संपर्क करें: यदि आपको कोई QR कोड मिलता है जिसमें तत्काल कार्रवाई की मांग होती है, तो संदिग्ध संदेश में दी गई जानकारी के बजाय संगठन के आधिकारिक फोन नंबर या वेबसाइट से स्वतंत्र रूप से संपर्क करें।
मोबाइल सुरक्षा सॉफ़्टवेयर का उपयोग करें: प्रतिष्ठित मोबाइल सुरक्षा ऐप्स इंस्टॉल करें जो QR कोड के माध्यम से भी दुर्भावनापूर्ण वेबसाइटों का पता लगा सकें और उन्हें ब्लॉक कर सकें, जिससे क्रेडेंशियल चोरी और मैलवेयर से अतिरिक्त सुरक्षा मिलती है।

वास्तविक उदाहरण

एक छोटे व्यवसाय के मालिक को उनके अकाउंटिंग सॉफ्टवेयर प्रदाता से प्रतीत होने वाला एक ईमेल मिला जिसमें 'अनिवार्य सुरक्षा सत्यापन' के लिए QR कोड था। इसे स्कैन करने पर वे एक विश्वसनीय नकली लॉगिन पेज पर पहुंचे जहां उन्होंने अपने क्रेडेंशियल दर्ज किए। 2 घंटे के भीतर, धोखेबाजों ने उनके खाते तक पहुंच बनाई, पुनर्प्राप्ति जानकारी बदली और $8,400 के धोखाधड़ी वाले ACH ट्रांसफर बाहरी खातों में जमा किए। व्यवसाय को तब पता चला जब वैध भुगतान अनुरोध अपर्याप्त धन के कारण अस्वीकृत हो गए।

एक लोकप्रिय डाउनटाउन रेस्टोरेंट में ग्राहक मेनू देखने के लिए टेबल टेंट पर QR कोड स्कैन करते थे, बिना यह जाने कि धोखेबाजों ने वैध कोड को रातोंरात बदल दिया था। नकली कोड एक क्लोन वेबसाइट पर ले जाते थे जो रेस्टोरेंट के वास्तविक ऑर्डरिंग सिस्टम जैसी दिखती थी। एक सप्ताहांत में, 47 ग्राहकों ने अपने क्रेडिट कार्ड विवरण दर्ज किए, और धोखेबाजों ने चोरी किए गए डेटा का उपयोग औसतन $2,300 प्रति कार्ड की धोखाधड़ी खरीदारी के लिए तुरंत किया, इससे पहले कि रेस्टोरेंट को बदलाव का पता चला।

रिपोर्ट कहाँ करें — भारत

आपके क्षेत्र में इस घोटाले की रिपोर्ट के लिए आधिकारिक चैनल।

राष्ट्रीय साइबर अपराध रिपोर्टिंग पोर्टल

साइबर अपराध

गृह मंत्रालय का साइबर अपराध हेल्पलाइन (1930) और रिपोर्टिंग पोर्टल।

1930 जाएँ →

CERT-In

रिपोर्टिंग

इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय के तहत साइबर सुरक्षा एजेंसी।

जाएँ →

राष्ट्रीय उपभोक्ता हेल्पलाइन

उपभोक्ता संरक्षण

उपभोक्ता मामलों के विभाग द्वारा संचालित शिकायत हेल्पलाइन।

1915 जाएँ →

RBI Sachet (वित्तीय धोखाधड़ी)

वित्तीय नियामक

भारतीय रिजर्व बैंक का अनधिकृत संस्थाओं की रिपोर्ट के लिए पोर्टल।

जाएँ →

क्या आपको लगता है कि आप इस घोटाले के संपर्क में आए?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), क्विशिंग (qr कोड फ़िशिंग): एक पूर्ण सुरक्षा मार्गदर्शिका is described at https://scamlens.org/hi/encyclopedia/quishing-qr-code-phishing.

https://scamlens.org/hi/encyclopedia/quishing-qr-code-phishing

यहाँ से शुरू करें

सुरक्षा जाँच

इंटेलिजेंस

उपकरण और रिपोर्ट

प्रीमियम सेवाएँ

एक्सटेंशन और API