Een QR-code, ofwel ‘Quick Response code’, is een soort digitale streepjescode die je gemakkelijk kunt scannen met de standaard camera-app op je telefoon. Er is geen aparte app voor nodig. Bij het scannen haalt de QR-code automatisch een URL, document of andere gegevens op.
Cybersecurity
Pas op voor Quishing: zijn QR-codes nog veilig te gebruiken?
QR-codes zijn handig, maar wist je dat ze ook gevaarlijk kunnen zijn? Op zoek naar nieuwe manieren om digitaal in te breken, zetten hackers steeds vaker de QR-code in. Deze nog niet zo bekende aanvalsmethode heet Quishing, een samentrekking van ‘QR-code’ en ‘phishing’. Wat houdt dat precies in? En hoe kun je je ertegen wapenen?
Handig aan QR-codes is dat je niet handmatig een lange URL hoeft in te voeren in de webbrowser. Je scant de code en klaar ben je. QR-codes kom je dan ook op allerlei plekken tegen:
- In restaurants, met een link naar de menukaart
- Op mobiele tickets voor festivals of concerten
- Bij het delen van een Wi-Fi-netwerk
- Tijdens de coronapandemie was er de "corona check app" met daarin een QR-code
- Ook kun je eenvoudig betalen met je telefoon door een QR-code te scannen
Handig, toch? Maar pas op: hoewel QR-codes misschien onschuldig lijken, kunnen ze heel riskant zijn. Hoe zit dat?
QR code phishing 📧🎣
'Quishing', ofwel ‘QR Code phishing’, is de term voor phishingpogingen waarbij QR-codes worden gebruikt. Hackers creëren dan kwaadaardige QR-codes en verspreiden ze via verschillende kanalen, zoals e-mail, sociale media, advertenties of zelfs gedrukt materiaal zoals posters, flyers of stickers.
Vaak gaan die vergezeld van een verleidelijke aanbieding, korting of andere prikkels om gebruikers aan te moedigen ze te scannen. Argeloze gebruikers belanden vervolgens op kwaadaardige pagina’s die legitieme websites nabootsen, zoals een bankportal, sociale media of online winkel. Deze nepsites zijn ontworpen om persoonlijke informatie van gebruikers te stelen.
Quishing-mails zien er hetzelfde uit als phishing-mails, met als belangrijkste uitzondering de toevoeging van een QR-code. Een andere veel voorkomende aanvalsmethode is het plaatsen van een kwaadaardige QR-code in het openbaar, soms over een legitieme QR-code geplakt.
De QR-code leidt het slachtoffer door naar een vervalste webpagina waar om account- en inloggegevens wordt gevraagd.
QR-codes kom je op steeds meer plekken tegen, maar helaas zijn ze niet altijd te vertrouwen.
IT-inzichten die je niet mag missen
Als eerste op de hoogte zijn van de laatste IT-ontwikkelingen? Schrijf je in voor onze maandelijkse nieuwsbrief.
Waar kun je kwaadaardige QR-codes tegenkomen?
- Stickers op betaalautomaten in parkeergarages. Op parkeermeters waren valse QR-codes geplakt, vermomd als 'snel betalen'-opties. Automobilisten werd gevraagd de code te scannen en creditcardgegevens in te voeren, maar wie dat deed werd naar een valse website geleid.
- Valse tickets voor concerten, sportwedstrijden en festivals. Oplichters maken valse tickets om toegang te krijgen tot evenementen zoals concerten, sportwedstrijden en festivals. Deze neptickets worden vervolgens online of via sociale mediaplatforms verkocht, vaak tegen sterk gereduceerde prijzen.
- Valse coupon QR-codes die beweren korting te geven of een speciale aanbieding te doen en die moeten worden gescand met de camera van een smartphone om vervolgens te worden toegepast bij de kassa, wanneer een online aankoop wordt gedaan bij een authentieke online verkoper. De pagina "Je hebt een abonnement op Netflix gewonnen" is een social engineering-aanval probeert je te verleiden tot het installeren van schadelijke apps, browserextensies of programma's op uw computer en telefoon.
- Nep-goede doelen. Kwaadaardige QR-codes die mensen naar een website leidt om geld te doneren aan wat een liefdadigheidsorganisatie lijkt te zijn. Het geld van nietsvermoedende donateurs wordt echter rechtstreeks naar de oplichters gesluisd.
Het is maar een greep uit de situaties waar misbruik van QR-codes al is aangetoond. Reken er op dat hackers en andere kwaadwillenden creatief zijn, gemotiveerd als ze zijn om jou te misleiden voor hun eigen gewin.
Hoe ga je met dit in je achterhoofd nou verantwoord om met die handige vierkante blokjes? Een paar do’s en don’ts:
Doen
✅ Stel je telefoon zo in dat die eerst om toestemming vraagt voordat er een QR-actie wordt gestart.
✅ Scan alleen QR-codes als je de poster, het restaurant of de website die de QR-code toont, vertrouwt.
✅ Controleer de URL van de website als er na het scannen van een QR-code om een wachtwoord of inloggegevens wordt gevraagd. Herken je de URL, controleer dan alsnog of die niet 'spoofed' is; zoek naar spelfouten of een verwisselde letter.
✅ Schakel automatische (beveiligings)updates in voor je telefoon.
✅ Gebruik de ingebouwde app op je telefoon om QR-codes te scannen. Zowel Android- als iOS-apparaten kunnen QR-codes scannen zonder daarvoor een externe app te downloaden.
Wat je níet moet doen
❌ Laat je device niet automatisch een QR-code actie uitvoeren.
❌ Scan geen QR-code die is opgehangen in de openbare ruimte, zoals een treinstation of advertentie op straat.
❌ Scan geen QR-code als deze is afgedrukt op een label dat een andere QR-code kan bedekken.
❌ Scan geen QR-codes in e-mails of sms-berichten.
❌ Gebruik geen QR-scanner apps die zijn uitgebracht door onbekende bedrijven of instellingen. Kwaadwillenden kunnen een schadelijke scan-app maken en deze gebruiken om malware te verspreiden of toegang te krijgen je apparaat.
