Remind-R
Bekijk Remind-R in actie
← Alle artikelen
Kantoorautomatisering

Quishing: wanneer de QR-code het aas wordt

Bij quishing vervangt een kwaadaardige QR-code de klassieke phishinglink — de URL blijft onzichtbaar tot na het scannen. De reflexen die Safeonweb (CCB) aanbeveelt en hoe u een verdacht bericht meldt.

Rédaction Remind-R · 16/07/2026 · 3 min
Delen: LinkedIn X Facebook WhatsApp E-mail

De QR-code als nieuw phishingkanaal

« Quishing » — een samentrekking van « QR-code » en « phishing » — is een vorm van oplichting waarbij fraudeurs hun slachtoffers ertoe aanzetten een kwaadaardige QR-code te scannen. Volgens Safeonweb, de sensibiliseringsdienst van het Centrum voor Cybersecurity België (CCB), leidt die code naar een phishingwebsite of installeert hij schadelijke software.

Het typische scenario is ontstellend eenvoudig. De aanvaller genereert een vervalste QR-code en plaatst die op een openbare plek of verstuurt hem via e-mail, berichtendiensten of sociale media, vermomd als een aantrekkelijk aanbod of een zogenaamd noodzakelijke update. Het slachtoffer scant de code met zijn smartphone en belandt op de frauduleuze website — of de malware wordt ongemerkt op het toestel geïnstalleerd.

Een blinde vlek die de werkplek niet mag negeren

De kracht van de techniek schuilt in een asymmetrie: anders dan bij een link in een e-mail ziet u bij een QR-code de bestemmings-URL niet vóór het scannen, wat controle veel moeilijker maakt. Safeonweb documenteerde die omslag al bij de eerste valse berichten uit naam van netbeheerder Fluvius: het onderwerp beloofde een compensatie, en de klassieke link was vervangen door een QR-code met duidelijke scaninstructies. Het resultaat was identiek aan een klik op een besmette link: een frauduleuze website die persoonsgegevens opvraagt.

QR-codes zijn nochtans alomtegenwoordig geworden in het beroepsleven — affiches, onthaalbadges, facturen, menu's, laadpalen. Precies die vertrouwdheid ondermijnt de waakzaamheid: scannen is een automatisme geworden, en daar rekent de fraudeur op.

De vier reflexen die Safeonweb aanbeveelt

Melden: een klein gebaar dat anderen beschermt

Net zoals bij phishingmails vraagt Safeonweb om berichten met een verdachte QR-code door te sturen naar suspicious@safeonweb.be. De analyse verloopt volledig automatisch: gedetecteerde kwaadaardige URL's worden doorgegeven aan Google Safe Browsing en Microsoft SmartScreen, die de meeste browsers gebruiken om bezoekers te waarschuwen. In 2022 werden zo zes miljoen berichten naar het CCB doorgestuurd. Ook verdachte sms'en kunt u melden: een doorgestuurde schermafbeelding volstaat, want de technologie van het CCB herkent links in afbeeldingen. Verwacht geen persoonlijk antwoord — u ontvangt enkel een automatische ontvangstbevestiging.

Toch gescand?

Vul geen enkel veld in, geef nooit persoonlijke codes door en beëindig elke interactie. Hebt u een wachtwoord ingevoerd dat u ook elders gebruikt, wijzig het dan onmiddellijk. Bij geldverlies of doorgegeven bankgegevens raadt Safeonweb aan om meteen aangifte te doen bij de lokale politie en uw bank en/of Card Stop te bellen op 078 170 170.

De kern blijft evenwel terugkerende sensibilisering. Wie quishing opneemt in de basisopleidingen informaticaveiligheid — naast klassieke phishing — maakt van een blinde vlek een collectieve reflex.

Stel een AI een vraag over dit artikel

Bronnen

  1. Opgelet voor quishing: de nieuwe phishingtechniek — Safeonweb / Centrum voor Cybersecurity België (CCB)
  2. Wat is suspicious@safeonweb.be? — Safeonweb / Centrum voor Cybersecurity België (CCB)
  3. Nieuwe vorm van phishing: valse berichten met een QR-code — Safeonweb / Centrum voor Cybersecurity België (CCB)
Werkt het artikel bij volgens de recentste bronnen (één keer per dag).
Artikel opgesteld met behulp van kunstmatige intelligentie (overeenkomstig de Europese AI-Verordening). Informatie ter indicatie, te laten valideren door een professional vóór elke beslissing. De bronnen staan hierboven.