De QR-code als nieuw phishingkanaal
« Quishing » — een samentrekking van « QR-code » en « phishing » — is een vorm van oplichting waarbij fraudeurs hun slachtoffers ertoe aanzetten een kwaadaardige QR-code te scannen. Volgens Safeonweb, de sensibiliseringsdienst van het Centrum voor Cybersecurity België (CCB), leidt die code naar een phishingwebsite of installeert hij schadelijke software.
Het typische scenario is ontstellend eenvoudig. De aanvaller genereert een vervalste QR-code en plaatst die op een openbare plek of verstuurt hem via e-mail, berichtendiensten of sociale media, vermomd als een aantrekkelijk aanbod of een zogenaamd noodzakelijke update. Het slachtoffer scant de code met zijn smartphone en belandt op de frauduleuze website — of de malware wordt ongemerkt op het toestel geïnstalleerd.
Een blinde vlek die de werkplek niet mag negeren
De kracht van de techniek schuilt in een asymmetrie: anders dan bij een link in een e-mail ziet u bij een QR-code de bestemmings-URL niet vóór het scannen, wat controle veel moeilijker maakt. Safeonweb documenteerde die omslag al bij de eerste valse berichten uit naam van netbeheerder Fluvius: het onderwerp beloofde een compensatie, en de klassieke link was vervangen door een QR-code met duidelijke scaninstructies. Het resultaat was identiek aan een klik op een besmette link: een frauduleuze website die persoonsgegevens opvraagt.
QR-codes zijn nochtans alomtegenwoordig geworden in het beroepsleven — affiches, onthaalbadges, facturen, menu's, laadpalen. Precies die vertrouwdheid ondermijnt de waakzaamheid: scannen is een automatisme geworden, en daar rekent de fraudeur op.
De vier reflexen die Safeonweb aanbeveelt
- Behandel elke QR-code als een onbekende link. Dezelfde voorzichtigheid geldt als bij een onverwachte link in een e-mail of sms.
- Controleer de bron. Een QR-code die u via e-mail of sociale media ontvangt, verdient een herkomstcontrole vóór het scannen.
- Gebruik een veilige scanner. Sommige scan-apps tonen de URL en controleren de veiligheid van de link vóór het openen.
- Houd uw toestellen up-to-date. Regelmatige updates van toestellen en applicaties beschermen tegen gekende kwetsbaarheden die hackers uitbuiten.
Melden: een klein gebaar dat anderen beschermt
Net zoals bij phishingmails vraagt Safeonweb om berichten met een verdachte QR-code door te sturen naar suspicious@safeonweb.be. De analyse verloopt volledig automatisch: gedetecteerde kwaadaardige URL's worden doorgegeven aan Google Safe Browsing en Microsoft SmartScreen, die de meeste browsers gebruiken om bezoekers te waarschuwen. In 2022 werden zo zes miljoen berichten naar het CCB doorgestuurd. Ook verdachte sms'en kunt u melden: een doorgestuurde schermafbeelding volstaat, want de technologie van het CCB herkent links in afbeeldingen. Verwacht geen persoonlijk antwoord — u ontvangt enkel een automatische ontvangstbevestiging.
Toch gescand?
Vul geen enkel veld in, geef nooit persoonlijke codes door en beëindig elke interactie. Hebt u een wachtwoord ingevoerd dat u ook elders gebruikt, wijzig het dan onmiddellijk. Bij geldverlies of doorgegeven bankgegevens raadt Safeonweb aan om meteen aangifte te doen bij de lokale politie en uw bank en/of Card Stop te bellen op 078 170 170.
De kern blijft evenwel terugkerende sensibilisering. Wie quishing opneemt in de basisopleidingen informaticaveiligheid — naast klassieke phishing — maakt van een blinde vlek een collectieve reflex.