זו האזהרה של מעבדת קספרסקי, שהבחינה במקרה הראשון של שיבוש קוד QR. התַקרִיתהתרחש ברוסיה בחודש שעבר והסיט צרכנים שחשבו שהם מורידים אפליקציית אנדרואיד בשם Jimm. הקוד הכיל למעשה תוכנה זדונית ששלחה קודי SMS למספר תעריף פרימיום שגבה עבור כל הודעה.

טים ארמסטרונג, חוקר תוכנות זדוניות בקספרסקי, אומר שמספרי תעריף פרימיום פועלים בדומה ל-900 מספרים בארה"ב. מספרים בני ארבע עד חמש ספרות גובים עבור כל טקסט נכנס, ושולפים מזומנים ממשתמשים תמימים. ארמסטרונג אומר שהרבה יותר קשה להגדיר מספרים כאלה בארה"ב, אבל גנבי סייבר יוכלו בקרוב ליצור מספרי תעריפי פרימיום עולמיים שיכולים תיאורטית לתקוף צרכנים אמריקאים באותה צורה. קודי QR נגועים יכולים לשמש גם להונאות דיוג, אומר ארמסטרונג.

רוברט סיציליאנו, אנליסט אבטחה מקוון ב-McAfee, אומר כי קודי QR נגועים הם חדשים במקום. "זה פשוט פוגע במכ"ם בקהילת האבטחה", הוא אומר ומוסיף כי מדובר ב"תוכנית די מבריקה".

גם ארמסטרונג וגם סיציליאנו אומרים שצרכנים לא צריכים להיות זהירים מדי לגבי קודי QR בשלב זה. ארמסטרונג מציין כי ישנו שלב ביניים בין סריקת הקוד לבין השקת אפליקציה שבה הצרכנים יכולים לקבוע אם הונחו. "אם זה משחק והוא מבקש SMS, אז אתה יודע שמשהו לא בסדר", הוא אומר. סיציליאנו, בינתיים, אומר שכלל טוב הוא רק ללחוץ על קודי QR על ידי ספק או מפרסם ידועים.

קודי QR פופולריים יותר באסיה ובאירופה מאשר בארה"ב, אבל מפרסמים רבים, כוללטאקו בלוקלווין קליין, בין היתר, העסיקו אותם. הם גם הופיעו בגגותועל אמַצֵבָה.