Poliisi on varoittanut yleistyneistä digihuijauksista, joissa rikolliset hyödyntävät QR-koodeja. Kalasteluviestejä lähetetään erityisesti yritysten ja organisaatioiden sähköpostiosoitteisiin. QR-koodia hyödyntävän huijausviestin voi kuitenkin saada kuka tahansa.
QR-koodikalastelussa uhri houkutellaan skannaamaan koodi mobiililaitteella. Viesteissä saatetaan esimerkiksi väittää, että vastaanottajan salasana on vanhentumassa. Vaihtoehtoisesti viesteissä voidaan väittää, että kyse on kaksivaiheisesta tunnistautumisesta, kirjautumissession vanhenemisesta tai maksuhuomautuksista. QR-koodihuijausten tunnetuimpia tekotapoja on kolme:
1. Jossain esillä olevan, lailliseen tarkoitukseen tehty QR-koodi korvataan toisella esimerkiksi päälle kiinnitetyllä tarralla. Uusi koodi johtaa tietojenkalastelusivustolle.
2. QR-koodien lukusovelluksessa on painikkeita, jotka on naamioitu muistuttamaan sovelluksen käyttämiseen liittyvää painiketta. Ne johtavat haitallisille sivustoille. QR-koodien lukusovellukset ovat ladattavissa sovelluskaupoista.
3. Sähköpostin tietoturvaominaisuuksia kierretään lisäämällä haitallinen linkki QR-koodin muodossa. Näin ollen se läpäisee suojauksen.