Egidio
Dossier · 2026

Kod QR palsu & quishing

Kod QR tidak mempunyai alamat yang boleh dilihat — itulah tepatnya yang menjadikannya alat penipuan yang praktikal. Inilah apa yang didokumenkan oleh FBI dan FTC mengenai vektor yang semakin berkembang ini.

Amaran rasmi, bukan khabar angin

FBI — Internet Crime Complaint Center (IC3), amaran PSA250731

Diterbitkan pada 31 Julai 2025, amaran ini menerangkan satu skema khusus: bungkusan yang tidak diminta dihantar kepada orang awam, mengandungi nota dengan kod QR yang mengajak mereka mengimbasnya "untuk maklumat lanjut" — satu cara memulakan skema penipuan menerusi perantara fizikal yang tidak dijangka.

FTC (Federal Trade Commission) — amaran pengguna

FTC menerbitkan dua amaran berbeza mengenai topik ini: pada Disember 2023, mengenai penipu yang menyembunyikan pautan berniat jahat dalam kod QR; pada Januari 2025, amaran khusus mengenai kod QR yang diterima bersama bungkusan yang tidak dijangka, mengalihkan pengguna ke laman phishing yang direka untuk mencuri kelayakan log masuk atau nombor kad bank.

82.6%
Bahagian e-mel phishing yang dianalisis menggunakan AI generatif, kenaikan 53.5% berbanding tahun sebelumnya — konteks lebih luas di sebalik peningkatan quishing.
KnowBe4, 2025 Phishing Threat Trends Report. Diakses pada 14/07/2026.

Kenapa vektor ini berkesan

Pautan biasa dalam e-mel boleh diperiksa dengan menghover kursor untuk mengesahkan alamat sebelum diklik. Kod QR pula tidak: ia perlu diimbas untuk mengetahui ke mana ia menuju, dan kamera telefon menyembunyikan langkah pengesahan yang telah dipelajari ramai orang untuk pautan teks. Inilah tepatnya sebab FTC dan FBI menyasarkan vektor ini secara khusus dalam amaran terkini mereka — bungkusan, meter tempat letak kereta, poster di tempat awam: bahan fizikal memberikan kesahan yang tidak akan dimiliki oleh pautan semata-mata.

🔒 Pautan yang tersembunyi di sebalik kod QR hampir selalu membawa kepada SMS pengesahan atau panggilan "verifikasi" seterusnya — di sinilah Egidio bertindak, dengan mengaitkan apa yang berlaku selepas imbasan dengan saluran lain. Lihat laporan penipuan global.

Soalan lazim

Apakah quishing?

Gabungan perkataan "kod QR" dan "phishing": satu penipuan di mana kod QR palsu, selalunya ditampal pada bahan sebenar (bungkusan, meter tempat letak kereta, poster), mengalihkan mangsa ke laman web menipu, bukan laman web sah.

Adakah FBI benar-benar memberi amaran mengenai perkara ini?

Ya. Pusat aduan FBI (IC3) menerbitkan pada 31 Julai 2025 satu amaran khusus mengenai bungkusan yang tidak diminta yang mengandungi kod QR digunakan untuk memulakan skema penipuan.

Bagaimana mengesan kod QR palsu?

Berwaspada secara sistematik terhadap kod QR yang diterima melalui pos, ditampal pada bahan sedia ada, atau disertai mesej yang mencipta rasa segera. Langkah paling selamat: jangan sekali-kali imbas kod QR yang tidak dijangka, dan sahkan alamat yang dipaparkan sebelum meneruskan jika anda tetap mengimbas.

Untuk maklumat lanjut