QR-kod phishing (quishing) — så känner ni igen och stoppar attackerna 2026
QR-koder var en kuriositet 2019. Idag är de en av de mest effektiva phishing-vektorerna — eftersom de kommer förbi era spamfilter (länken är i en bild, inte i texten), de kräver att användaren byter enhet (mobilen, ofta utan företagsskydd), och de utnyttjar tillit till det fysiska. Den här guiden går igenom hur quishing fungerar, vilka mönster era anställda ska känna igen, och vad ni som företag kan göra utöver utbildning.
Vad är quishing — kort förklarat
Quishing är phishing där lock-länken är inbäddad i en QR-kod istället för att vara en klickbar URL i mailet. Användaren skannar koden med mobilen, vilket öppnar länken i mobilens webbläsare — ofta på en privat enhet utan företagets säkerhetslösningar.
Det här är inte en teknisk smartness. Det är en taktik som löser tre problem samtidigt för bedragaren:
- Spamfiltret ser inte länken. En QR-kod är en bild. Inga URL-rewriters, inga "Safe Links", ingen Defender-analys triggar.
- Företagets endpoint-skydd kringgås. När användaren skannar med privat mobil kringgås MDM, Conditional Access och alla andra skydd som hade fångat samma URL i Outlook på laptopen.
- Tilliten till det fysiska utnyttjas. QR-koder i mejl är skummigt, men QR-koder på en lapp i receptionen, på en parkeringsautomat, på en parkettrenovering-skylt — de uppfattas som äkta världen och får mer förtroende.
De fyra vanliga quishing-mönstren 2026
1. Mailet med en "verifierings-QR"
Ett mail som ser ut att komma från IT, banken, Microsoft, eller Skatteverket. Texten ber er "skanna QR-koden nedan för att verifiera kontot inom 24 timmar". QR-koden leder till en falsk inloggningssida som ser identisk ut med den riktiga.
Klassiska varianten är "din Microsoft 365-MFA behöver konfigureras om — skanna QR-koden för att fortsätta". Eftersom MFA-flöden faktiskt använder QR-koder ibland känns det legitimt. Det är det inte.
2. Klistermärket på offentlig plats
Den fysiska varianten: ett klistermärke över den riktiga QR-koden på en parkeringsautomat, en restaurangmeny, en laddstation, ett DHL-paket i er reception. Användaren skannar → landar på en bedrägeri-betalsida eller falsk inloggning.
Det här blev en stor våg under 2024-2025 i Sverige med fokus på parkering (Parkster-bluffar) och paketleveranser (PostNord/DHL-fakturor). I bägge fallen kunde användaren förlora flera tusen kronor på en betalning de trodde gick till parkering eller tullavgift.
3. QR-koden i receptionen / paketinkastet
Specifikt riktat mot företag: en lapp läggs i receptionen, paketinkastet, eller på en gemensam yta. Den ser officiell ut: "Akta dig — IT-incident pågår. Skanna för att verifiera din enhet." Anställda som råkar gå förbi skannar av nyfikenhet eller skyldighetskänsla.
När en lapp är fysiskt på plats i kontorets gemensamma utrymmen aktiveras en stark tillitsmekanism — "någon med tillgång till receptionen har satt upp den, alltså är den okej". Det är inte sant. Tailgaters och leveranspersonal har också den tillgången.
4. AI-genererade QR-koder i affärsmail
Nyare mönster (2025-2026): bedragare använder AI för att generera trovärdiga affärsmail där QR-koden är invävd i en logotyp eller signaturbild. Användaren upplever det som en helt vanlig mail-signatur, missar att signaturen innehåller en skannbar kod.
Vad era anställda ska titta efter
Tre konkreta varningstecken som täcker ~80% av attackerna:
| Varningstecken | Vad det betyder |
|---|---|
| QR-koden förväntar sig inloggning eller betalning | Legitima QR-koder leder oftast till informationssidor (meny, kvitto, app-länk). Om första som händer efter skanningen är "logga in med BankID/Microsoft/X" → varningssignal. |
| Avsändaren (om mail) har en QR-kod istället för text-länk | Ett legitimt företag som vill att du klickar på något lägger länken som text — inte i en bild. QR-koder i mail finns nästan alltid för att kringgå spamfilter. |
| QR-koden är på en plats där du inte väntade dig den | En QR-kod på ett paket i receptionen som "behöver verifieras". En extra QR-kod på en parkeringsautomat. En klisterlapp över en redan-existerande kod. Allt suspekt. |
De flesta moderna mobiler (iOS och Android) förhandsvisar URL:en innan de öppnar den efter en skanning. Det viktiga handlandet är att läsa förhandsvisningen och avbryta om något ser fel ut.
Vad ni gör som företag — utöver utbildning
Utbildning är grunden. Era anställda behöver veta vad de tittar efter. Men ni kan också stänga av attack-ytor tekniskt:
- MDM på arbets-mobilen — om er Intune-policy tvingar arbets-konton att gå genom Edge med Conditional Access så fångas falska Microsoft-loginsidor även om användaren skannar en QR-kod
- FIDO2 / passkeys istället för lösenord — phishing-resistenta autentiserings- metoder fångas inte av falska loginsidor oavsett om de når dit via QR eller URL
- DMARC + DKIM + SPF på er domän — gör det svårare för bedragare att fejka mail från er egen avsändare. Hindrar dem från att skicka quishing-mail som ser ut att komma internt
- "Säkerhetsbrev från IT"-protokoll — etablera en regel att IT ALDRIG skickar QR-koder i mail. Då blir alla QR-koder i "IT-mail" omedelbart misstänkta för era anställda
- Fysisk översyn av kontorsytor — receptionen och paketinkastet ska kontrolleras regelbundet för olovliga klistermärken
- Rapporterings-knapp i Outlook — så användarna kan flagga misstänkta mail med QR-koder med ett klick, IT får överblick över attacken
Vad ni gör när det redan hänt
Om en anställd har skannat en kod och loggat in på en sida som visade sig vara falsk:
- Pinga IT omedelbart — inte mail (kan vara läst av attackeraren), utan Teams DM, telefon, eller fysiskt
- Byt lösenord för det konto som drabbades, helst från en annan enhet än den där QR-koden skannades
- Återställ MFA-tokens om de var konfigurerade via samma flöde — antagligen kompromissade
- Kolla session-aktivitet i Entra (Sign-in logs) för aktiva sessioner från okända länder eller IP-adresser → revoke alla
- För BankID: ring banken direkt, spärra eventuellt — om någon hann starta BankID via den falska sidan kan de ha auktoriserat transaktioner
Vad RememberIT gör i det här
RememberIT Security Training har QR-phishing som ett av kursbiblioteketets ämnen — en 2-minuters mikrokurs som visar exempel på de fyra mönstren ovan, ger era anställda tre konkreta varningstecken och en handlingsplan. Skickas direkt i Outlook-inkorgen, ingen separat inloggning krävs.
Plus vårt Outlook-tillägg (ingår i alla prisnivåer) kan användaren klicka "Analysera" på ett misstänkt mail — om mailet innehåller en QR-kod-bild plus phishing-mönster (brådskande språk, suspekt avsändare) flaggas det med konkreta signaler innan användaren ens hinner skanna.
Allt körs på Azure OpenAI i Sweden Central — er data lämnar aldrig svenska datacenter. GDPR-säkert med personuppgiftsbiträdesavtal (DPA) tecknat vid avtalsstart. Läs vårt DPA.
Vill ni se hur det fungerar?
Testa exempelkursen om QR-phishing i två minuter. Samma format som era anställda får i sin inbox — ingen registrering behövs.
Källor och vidare läsning: Den här guiden bygger på offentligt rapporterade incidenter (Parkster-bluffvågen 2024-2025, PostNord/DHL-paket-bedrägerier 2024) samt branschmönster. För specifik teknisk rådgivning om er M365-konfiguration mot quishing, kontakta er IT-leverantör eller maila hej@rememberit.se.