QR-kode på faktura, plakat eller e-post? Sjekk dette før du skanner
QR-koder er praktiske, men de kan skjule falske lenker. Her er en enkel sjekkliste for å vurdere QR-koder før du betaler, logger inn eller deler informasjon.

QR-koder er laget for å gjøre ting raskt. Du peker kameraet mot en kode, får opp en lenke og er videre på få sekunder. Det er nyttig på menyer, parkering, arrangementer, innlogging, produktinformasjon og betaling.
Problemet er at nettopp den farten gjør QR-koder attraktive for svindlere. En QR-kode viser ikke tydelig hvor den egentlig sender deg før du har skannet. I tillegg kan koden ligge i et bilde, et vedlegg eller på en fysisk lapp, slik at vanlige sikkerhetsfiltre ikke alltid vurderer lenken på samme måte som en synlig lenke i en e-post.
Du trenger ikke slutte å bruke QR-koder. Men du bør ha en kort sjekkliste før du logger inn, betaler eller gir fra deg informasjon.
Hva er QR-kode-svindel?
QR-kode-svindel kalles ofte quishing, altså phishing med QR-kode. Svindleren prøver å få deg til å skanne en kode som sender deg til en falsk nettside. Der kan du bli bedt om å skrive inn passord, BankID-informasjon, kortopplysninger, Microsoft-konto, Google-konto eller annen informasjon som kan misbrukes.
NorSIS beskriver quishing som phishing ved hjelp av QR-kode, der brukeren blir lurt inn på nettsider som fisker etter påloggings- eller betalingsinformasjon. NCSC i Storbritannia peker også på at kriminelle bruker QR-koder for å skjule lenker til skadelige nettsider, og at slike koder kan slippe forbi noen sikkerhetsverktøy fordi de ligger som bilder.
Kort sagt: QR-koden er ikke farlig i seg selv. Risikoen ligger i hvor den sender deg, og hva siden ber deg gjøre.
Når bør du være ekstra skeptisk?
Vær ekstra forsiktig når QR-koden ber deg gjøre noe som har konsekvens:
- logge inn
- betale
- oppgi kortnummer
- bruke BankID eller annen sterk autentisering
- godkjenne en forespørsel i en app
- laste ned en app eller fil
- oppgi personnummer, e-post, telefonnummer eller passord
- gi tilgang til Microsoft 365, Google-konto, skylagring eller sosiale medier
En QR-kode som bare åpner en offentlig meny er én ting. En QR-kode som ber deg logge inn, betale et gebyr eller bekrefte en konto er noe helt annet.
Sjekk adressen før du går videre
De fleste mobilkameraer viser en forhåndsvisning av lenken før du åpner den. Ikke trykk videre automatisk. Les adressen.
Se etter dette:
- Stemmer domenet med virksomheten du forventer?
- Er det rare stavefeil, ekstra ord eller uvante endelser?
- Går lenken via en forkorter eller et domene du ikke kjenner?
- Ber siden om innlogging eller betaling uten at du startet prosessen selv?
- Ser siden annerledes ut enn den pleier?
Hvis du ikke klarer å vurdere lenken, ikke bruk QR-koden. Gå heller manuelt til nettsiden du kjenner fra før, bruk en bokmerket adresse, eller finn riktig app selv.
QR-koder i e-post og vedlegg
QR-koder i e-post bør behandles omtrent som lenker i e-post. Det gjelder spesielt hvis meldingen haster, truer med stenging, lover refusjon, ber deg bekrefte konto, eller sier at du må skanne for å lese et dokument.
En vanlig felle er at e-posten ser ryddig ut, men inneholder en QR-kode som åpnes på mobilen. Da flyttes handlingen fra jobb-PC-en til telefonen, ofte uten samme nettleserbeskyttelse, passordhåndtering eller sikkerhetskontroll som på maskinen.
Hvis en e-post ber deg skanne en QR-kode for å logge inn, bør du stoppe. Gå heller direkte til tjenesten i nettleseren eller appen du vanligvis bruker.
Les også Falsk SMS eller e-post? Sjekk dette før du klikker.
QR-koder på plakater, lapper og terminaler
Fysiske QR-koder kan også misbrukes. En falsk kode kan settes som klistremerke over en ekte kode på en plakat, parkeringsautomat, ladestasjon, restaurantbord eller infoskranke.
Før du skanner en fysisk kode, se om den virker tuklet med. Er det en lapp over originalen? Er koden skeiv, dårlig klippet eller satt på som et ekstra klistremerke? Stemmer adressen etter skanning med tjenesten du forventer?
Ved betaling er det ofte tryggere å åpne den offisielle appen selv, skrive inn adressen manuelt eller finne riktig tjeneste via leverandørens kjente nettside.
Ikke la QR-koden styre BankID eller tofaktor
QR-koder brukes legitimt i flere innloggingsflyter. Det betyr ikke at alle QR-koder som ber om innlogging er trygge.
Start alltid fra riktig tjeneste. Hvis du selv går til nettbanken, Microsoft 365, Google, Altinn eller en annen kjent tjeneste, og deretter får en QR-kode som del av innloggingen, er situasjonen annerledes enn når en ukjent e-post eller plakat ber deg skanne først.
Godkjenn aldri en pålogging, betaling eller tofaktorforespørsel du ikke selv startet. Hvis mobilen spør om noe du ikke forventet, avbryt.
Se også Tofaktor er ikke bare en ekstra kode.
For bedrifter: lag én enkel QR-regel
Små bedrifter trenger ikke en tung sikkerhetshåndbok for QR-koder. Men de bør ha en kort regel alle forstår:
- QR-koder i uventet e-post brukes ikke til innlogging.
- QR-koder som ber om betaling sjekkes mot kjent kanal først.
- QR-koder på plakater og lapper vurderes før skanning.
- Ansatte skal rapportere mistenkelige QR-koder på samme måte som phishing.
- Ingen skal godkjenne tofaktor eller betaling hvis de ikke startet handlingen selv.
Det viktigste er å gjøre stoppunktet normalt. Brukeren skal ikke føle at det er dumt å spørre når en kode ber om passord, betaling eller tilgang.
Passord og profiler spiller også inn
Hvis du først havner på en falsk side, kan passordhåndtering hjelpe litt. En god passordhåndterer eller riktig nettleserprofil fyller normalt ikke inn passord på feil domene. Det kan være et tegn på at noe ikke stemmer.
Men ikke stol blindt på autofyll. Se på adressen, bruk tofaktor, og sørg for at jobbpassord ikke ligger blandet i private profiler eller gamle enheter.
Mer om dette finner du i Passord lagret i nettleseren: trygt nok for jobb?.
Hvis du allerede har skannet
Å skanne en QR-kode er ikke det samme som at alt er tapt. Hva du gjorde etterpå betyr mye.
Hvis du bare åpnet en side og lukket den igjen, er risikoen ofte lavere. Hvis du skrev inn passord, kortinformasjon, BankID-opplysninger, tofaktorkode eller lastet ned noe, må du handle raskt.
Gjør dette:
- Bytt passord for kontoen som kan være berørt.
- Logg ut av aktive økter hvis tjenesten støtter det.
- Kontakt banken hvis betalings- eller kortinformasjon kan være delt.
- Varsle IT-ansvarlig eller leverandør hvis det gjelder jobbtilgang.
- Ikke godkjenn flere forespørsler i BankID, tofaktor eller betalingsapp.
- Ta vare på e-post, SMS eller bilde av QR-koden hvis saken må undersøkes.
Hvis dette skjedde på reise eller fra en ukjent enhet, kan du også lese Jobbe på reise? Slik sikrer du laptop, mobil og filer.
En praktisk sjekkliste før du skanner
Bruk denne lille testen:
- Forventer jeg denne QR-koden akkurat nå?
- Vet jeg hvem som står bak den?
- Kan jeg se at fysisk kode ikke er manipulert?
- Stemmer nettadressen før jeg åpner den?
- Ber siden om innlogging, betaling eller sensitive opplysninger?
- Finnes det en tryggere vei via offisiell app eller kjent nettside?
- Ville jeg trykket på samme lenke hvis den kom som vanlig e-post?
Hvis du svarer nei eller er usikker på flere av punktene, stopp.
Kort oppsummert
QR-koder er nyttige, men de fjerner et viktig kontrollpunkt: du ser ikke lenken tydelig før du skanner. Derfor bør QR-koder behandles som lenker med litt ekstra forsiktighet.
Sjekk adressen, vær skeptisk til betaling og innlogging, bruk offisielle apper når det gjelder penger eller kontoer, og rapporter mistenkelige koder på samme måte som annen phishing. Det tar noen sekunder ekstra, men kan spare deg for mye opprydding.







