Gert Lambers - 22 jan 2024

QR-codes zijn handig, makkelijk en dus alomtegenwoordig. Helaas misbruiken cybercriminelen ze ook om gegevens te stelen. Hoe werkt ‘quishing’ of QR-code phishing en hoe beschermt u zich ertegen?

Het grote succes van QR-codes spreekt voor zich: ze zijn superhandig en kunnen veel informatie opslaan. U scant ze simpelweg met de camera van uw smartphone om toegang te krijgen tot websites, betalingen te doen, kortingen te krijgen en nog veel meer. Maar wist u dat QR-codes ook gebruikt worden door cybercriminelen om uw persoonlijke of financiële informatie te ontfutselen? Dit fenomeen in opmars heet QR-code phishing of quishing.

Hoe werkt quishing?

Quishing is een vorm van phishing waarbij QR-codes worden gebruikt om slachtoffers naar malafide websites te lokken of malware te downloaden. Cybercriminelen maken QR-codes aan die ze omringen met een legitiem lijkende call-to-action om deze code te scannen. Denk aan aanbiedingen zoals een geschenk en een coupon of een doorverwijzing naar een enquête. Deze QR-codes en malafide boodschappen plaatsen ze op flyers, posters, e-mails, berichten op sociale media of zelfs op legitieme websites of producten.

Wie de QR-code scant komt op een website terecht die lijkt op wat de call-to-action beloofde, maar in feite wordt beheerd door de aanvaller. Op de website krijgt het slachtoffer de vraag om persoonlijke gegevens in te voeren, zoals een naam, e-mailadres, telefoonnummer of postadres. Naar creditcardgegevens, bankrekeninggegevens of inloggegevens voor onlinediensten wordt ook vaak gevist. Het slachtoffer wordt soms ook verleid om een app of bestand te downloaden dat malware bevat.


Hoe vermijdt u deze val?

Quishing is moeilijk te detecteren omdat QR-codes niet transparant zijn. Terwijl bijvoorbeeld een malafide URL er voor oplettende surfers vaak verdacht uitziet, oogt een QR-code bij quishing perfect normaal. De inhoud achter de QR-code is totaal niet zichtbaar voor u daadwerkelijk scant.

Gelukkig zijn er een aantal waarschuwingssignalen waarop u kunt letten en stappen die u kunt zetten om uzelf te beschermen tegen quishing:

  • Wees voorzichtig met QR-codes voor aanbiedingen die te mooi klinken om waar te zijn, zoals gratis geld, prijzen of al te zotte kortingen. Als het te mooi klinkt om waar te zijn, is het dat waarschijnlijk ook.
  • Wees op uw hoede voor QR-codes die afkomstig zijn van onbekende of onbetrouwbare bronnen, zoals ongevraagde e-mails, sms'jes of berichten op sociale media. Scan geen QR-codes die u op willekeurige flyers, posters of stickers vindt, zeker niet als ze op openbare plaatsen of producten staan.
  • Gebruik een QR-codescannerapp met beveiligingsfuncties, zoals het controleren van de URL of de inhoud vooraleer u deze opent. Sommige apps kunnen u ook waarschuwen als de QR-code naar een verdachte of kwaadaardige website of bestand leidt. 
  • Voer uw persoonlijke of financiële gegevens niet in op een website die u opent via een QR-code, tenzij u zeker weet dat de website legitiem en veilig is. Let op tekenen van legitimiteit, zoals het HTTPS-protocol, het hangslotpictogram en de juiste domeinnaam. Let op tekenen van illegaliteit, zoals spelfouten, een slecht ontwerp of ongebruikelijke verzoeken. 
  • Download of open geen app of bestand waarop u botst via een QR-code, tenzij u zeker weet dat het veilig is en afkomstig van een vertrouwde bron. Scan de app of het bestand met antivirussoftware voor u het installeert of opent. 
  • Werk uw smartphone en apps regelmatig bij met de nieuwste beveiligingspatches en -updates. Dit helpt malware-infecties en kwetsbaarheden voorkomen. 

Quishing is een nieuwe en uitdagende bedreiging die misbruik maakt van de populariteit en het gemak van QR-codes. Door u bewust te zijn van deze bedreiging en de bovenstaande tips op te volgen, kun u zichzelf ertegen beschermen en veilig genieten van de voordelen van QR-codes.

Aurelium kan uw digitale werkplek een pak veiliger maken. Contacteer ons voor meer info! 

Contacteer ons