CERT-IS þykir ástæða að vara við QR-kóða vefveiðipóstum sem aukning hefur orðið á síðustu daga. Þeir lýsa sér þannig að notanda berst tölvupóstur sem inniheldur QR-kóða og virðist koma frá þekktum þjónustuaðila. Oft á tíðum skannar fólk kóðann með símanum sínum án þess að hugsa sig tvisvar um, en í þessum tilfellum opnast svikasíða sem óskar eftir persónu- eða greiðslukortaupplýsingum. Því að svikahlekkurinn er hulin í QR kóðanum getur tölvupósturinn komist í fram hjá hefðbundnum vörnum.
Þar sem hlekkurinn sést ekki áður en QR-kóðinn er skannaður og farið er inná síðuna, er erfitt að átta sig á að um sé að ræða svikasíður. Svikasíður geta verið af ýmsu tagi, en það umfangsmesta undanfarna daga eru Microsoft svikasíður. Hér má sjá dæmi um hvernig slíkar síður geta litið út:
CERT-IS bendir á mikilvægi þess að vera viss um hvaðan póstur kemur áður en QR-kóði úr honum er skannaður.
