Quishing: wat is QR-code fraude en hoe kun je het voorkomen?

Wat is een quishing?

Quishing is een phishing-aanval waarbij cybercriminelen valse QR-codes inzetten om slachtoffers naar valse websites te lokken. Deze websites zijn speciaal opgezet om de gevoelige gegevens van slachtoffers te stelen, malware te installeren of financiële fraude te plegen, vaak zonder dat het slachtoffer dit direct doorheeft.

Een QR-code kan technisch gezien niet ‘vals’ of ‘nep’ zijn — een QR-code is simpelweg een link in de vorm van zwarte en witte blokjes die makkelijk gescand kan worden. Het gevaar zit hem in hoe cybercriminelen QR-code fraude inzetten om gebruikers naar valse websites te lokken. 

Uit onderzoek van NordVPN blijkt dat 45% van Nederlanders QR-codes nooit controleert voordat ze ze scannen – en dat is precies de kwetsbaarheid waar cybercriminelen op inspelen.

Opkomst van QR-code fraude in Europa

QR-code fraude neemt snel toe in Europa, vooral omdat het een eenvoudige en toegankelijke methode is voor oplichters. Iedereen met een smartphone is een potentieel slachtoffer, en criminelen hoeven slechts een legitieme QR-code met een schadelijke te vervangen om hun slag te slaan. Met name op openbare plekken zoals parkeergarages en bij parkeerautomaten wordt steeds vaker melding van quishing gemaakt. 

Dit is wat NordVPN’s cybersecurity-expert Adrianus Warmenhoven erover zegt:

“QR-codes zijn het perfecte Trojaanse paard voor cybercriminelen. Oplichters kunnen in enkele seconden een legitieme code vervangen door een schadelijke, waardoor elke openbare QR-code een potentiële valstrik wordt.”

Hoe werkt quishing?

Bij QR-code fraude misleiden criminelen gebruikers om een valse QR-code te scannen. Dit proces verloopt meestal als volgt:

• Je scant de QR-code → Er verschijnt een link op je scherm.
• Je klikt op de link → Veel mensen doen dit zonder na te denken.
• Je wordt doorgestuurd naar een frauduleuze website → Deze website kan lijken op een vertrouwde inlogpagina of een betaalplatform.

De uiteindelijke vorm van fraude kan vervolgens veel vormen aannemen, afhankelijk van de intentie van de cybercriminelen:

• Diefstal van inlog- of bankgegevens → Je denkt in te loggen op een vertrouwde website, maar geeft ongemerkt je gegevens aan oplichters.
• Financiële fraude → Je maakt geld over via een nagemaakt betaalplatform, waarna het direct bij criminelen terechtkomt.
• Malware-infectie → De frauduleuze website installeert ongemerkt schadelijke software op je apparaat, wat kan leiden tot spionage of overname van je apparaat.
• Identiteitsdiefstal → Je persoonlijke gegevens worden misbruikt voor frauduleuze accounts, leningen of andere criminele activiteiten.

Omdat QR-codes betrouwbaar ogen, realiseren veel mensen zich pas te laat dat ze zijn opgelicht. Daarom is het cruciaal om altijd te controleren waar een QR-code je naartoe leidt voordat je erop klikt.

Hoe kun je QR-code fraude herkennen?

Valse QR-codes zijn op het eerste gezicht moeilijk te onderscheiden van echte, maar er zijn verschillende voorzorgsmaatregelen die je kunt nemen:

• Controleer de URL. Controleer altijd de URL waar de link naartoe leidt. Ziet deze er vreemd uit of komt hij niet overeen met het verwachte adres? Dan is de kans groot dat je met QR-code fraude te maken hebt. Gebruik een betrouwbare link checker om URL’s te verifiëren en weet dat als een adres niet met ‘ HTTPS ’ begint, je er sowieso nooit op moet klikken.
• Gebruik een beveiligde QR-code scanner. Sommige apps waarschuwen je als een QR-code naar een verdachte website of link leidt.
• Let op fysieke manipulatie. Soms plakken criminelen hun eigen QR-code over de originele code heen. Kijk of er iets vreemds aan de QR-code is, zoals een sticker of afwijkend papier.
• Klik nooit zonder nadenken. QR-code fraude werkt omdat cybercriminelen inspelen op menselijk gedrag. Het krijgen van een goede deal of een cadeau met een simpele scan is heel verleidelijk, waardoor veel mensen hun veiligheidsinstinct negeren.

Hier kun je QR-code fraude tegenkomen

QR-code fraude kan overal opduiken, vooral op plekken waar mensen gewend zijn QR-codes te scannen. Oplichters plaatsen valse codes op strategische locaties om zoveel mogelijk slachtoffers te misleiden. Dit zijn een paar plekken waar de kans groot is dat je valse QR-codes tegenkomt:

1. 1.Op parkeerautomaten. Oplichters plaatsen nep QR-codes op of naast parkeermeters. Wanneer je de code scant om te betalen, word je doorgestuurd naar een valse betaalpagina waar je geld rechtstreeks naar de oplichter wordt gestuurd in plaats van de parkeerdienst.
2. 2.In restaurants. Valse QR-codes kunnen over echte codes worden geplakt op menu’s of tafels. Wanneer klanten de code scannen, belanden ze op een phishingwebsite die hen vraagt om persoonlijke gegevens of betaalinformatie in te voeren.
3. 3.In e-mails of sms’jes. Scammers sturen phishingberichten die lijken te komen van een legitiem bedrijf of overheidsinstantie, bijvoorbeeld van MijnOverheid. De QR-code in het bericht leidt echter naar een frauduleuze website.
4. 4.Op flyers en posters. Flyers of posters met QR-codes voor evenementen of aanbiedingen kunnen door criminelen worden aangepast. Als mensen de code scannen, komen ze terecht op een schadelijke website die hun apparaat kan infecteren met malware of hun gegevens kan stelen.
5. 5.Op geldautomaten. Oplichters plakken valse QR-codes op geldautomaten die beweren hulp te bieden bij transacties of promoties aanbieden. Bij het scannen kom je terecht op een valse website die probeert je bankgegevens te stelen.
6. 6.Bij ‘gratis’ wifi-spots. In openbare ruimtes zoals cafés of luchthavens kunnen criminelen valse QR-codes plaatsen die zogenaamd toegang geven tot gratis wifi. 

Onderzoek NordVPN: 77% controleert QR-codes niet altijd

Uit onderzoek van NordVPN in Frankrijk, België en Nederland blijkt dat veel mensen zich niet bewust genoeg zijn van de risico’s van QR-code fraude, ondanks de toenemende oplichting in Europa. Hoewel veel mensen QR-codes als een risico zien, controleert 77% ze niet altijd voordat ze ze scannen. Dit maakt het voor cybercriminelen rendabel om valse QR-codes in te zetten voor phishing of financiële fraude.

In Nederland scant 20% van de mensen minstens één keer per week een QR-code, en hoewel 76% cybersecuritytools zoals VPN’s en anti-malware gebruikt, worden QR-codes vaak zonder voorzorgsmaatregelen gescand. 

Belgen maken het meest gebruik van QR-codes (23% scant ze wekelijks of dagelijks), maar slechts 23% neemt altijd voorzorgsmaatregelen. In Frankrijk heeft 15% van de ondervraagden al eens een schadelijke QR-code gescand – het hoogste percentage onder de drie landen.

Dit laat zien hoe makkelijk criminelen misbruik kunnen maken van QR-codes, vooral op openbare plekken en objecten zoals parkeermeters. 

Ik heb een valse QR-code gescand. Wat nu?

Als je per ongeluk in QR-code fraude bent getrapt, is het belangrijk om snel te handelen:

1. 1.Sluit de website en verbreek de verbinding. Als je naar een verdachte website bent geleid, moet je de pagina sluiten en de internetverbinding verbreken.
2. 2.Verander je wachtwoorden. Als je persoonlijke of financiële gegevens hebt ingevuld, verander dan zo snel mogelijk je wachtwoorden en controleer je bankrekening op verdachte activiteiten.
3. 3.Installeer antivirussoftware. Scan je apparaat met betrouwbare antivirussoftware om het op malware te controleren.
4. 4.Neem contact op met je bank. Als je betalingsgegevens hebt ingevuld, neem dan onmiddellijk contact op met je bank om eventuele ongeautoriseerde transacties te blokkeren.
5. 5.Meld de fraude. Rapporteer de QR-code fraude aan de relevante instanties, zoals de politie of een fraudemeldpunt, zodat anderen gewaarschuwd kunnen worden.

Conclusie

Fraude met QR-codes, oftewel quishing, neemt snel toe en maakt steeds meer slachtoffers in Europa. Uit onderzoek van NordVPN blijkt dat 77% van de gebruikers QR-codes niet altijd controleert, waardoor cybercriminelen eenvoudig misbruik kunnen maken van deze gewoonte.

Omdat fraudeurs in seconden een legitieme QR-code kunnen vervangen door een schadelijke, is waakzaamheid essentieel. Controleer altijd de URL, gebruik een beveiligde scanner en wees altijd waakzaam. Bewust omgaan met QR-codes kan veel ellende voorkomen.