Wat is quishing precies?
Quishing is een vrij nieuwe vorm van online oplichting die de afgelopen jaren snel terrein wint. De naam is een samenvoeging van 'QR' en 'phishing': cybercriminelen gebruiken frauduleuze QR-codes om slachtoffers naar nepwebsites te lokken of om kwaadaardige software op een smartphone te installeren. Omdat een QR-code op het oog onschuldig oogt, voelen mensen zich vaak veiliger dan bij een verdachte link in een e-mail. Juist die schijn van veiligheid maakt quishing zo effectief.
Waar duikt quishing meestal op?
Parkeerautomaten en oplaadpunten
Oplichters plakken nepstickers met een eigen QR-code over de echte op betaalautomaten of bij laadpalen voor elektrische auto's. Wie scant, komt op een nep-betaalpagina terecht die er identiek uitziet als die van de echte aanbieder. Bankgegevens worden direct buitgemaakt.
Brieven en facturen die er officieel uitzien
Een veelgebruikt trucje is een nepbrief van de Belastingdienst, een bank of een incassobureau met een QR-code 'voor snelle betaling'. De code leidt naar een phishingsite of opent automatisch een betaalverzoek voor het verkeerde bedrag.
E-mails en chatberichten
QR-codes in e-mails omzeilen vaak de spamfilters die wel goed op verdachte links scannen. Een afbeelding met een QR-code wordt eenvoudiger doorgelaten, terwijl de bestemming net zo gevaarlijk kan zijn.
Hoe herken je een verdachte QR-code?
De QR-code zelf zegt visueel weinig: het is technisch onmogelijk om aan het patroon te zien waar je terechtkomt. De controle moet dus daarna gebeuren. Let op de volgende signalen:
– De URL wijkt subtiel af van de officiële domeinnaam (bijvoorbeeld 'ing-veilig.com' in plaats van 'ing.nl').
– Je wordt direct gevraagd om je inloggegevens, pincode of een sms-code in te voeren.
– De pagina dringt aan op haast: 'binnen 10 minuten betalen om incassokosten te voorkomen'.
– De sticker met de QR-code zit zichtbaar over een andere sticker geplakt of voelt los aan.
Vier manieren om jezelf te beschermen
1. Lees de URL voor je doorklikt
Vrijwel elke moderne smartphone toont na het scannen eerst de volledige link, voordat de browser of app wordt geopend. Neem de paar seconden om die URL goed te lezen. Bij twijfel: niet doorklikken.
2. Gebruik liever de officiële app of website
Wilt u betalen bij een parkeermeter, laadpaal of webshop? Open dan zelf de officiële app of typ het webadres handmatig in plaats van een onbekende QR-code te scannen. Een paar seconden extra werk levert veel veiligheid op.
3. Controleer betaalverzoeken altijd dubbel
Krijgt u een betaalverzoek via een QR-code van iemand die u kent? Verifieer dan via een ander kanaal (bellen of een aparte chat) of het verzoek echt klopt. Vooral bij grotere bedragen.
4. Houd uw apparaten up-to-date
Updates van het besturingssysteem en de bankapp dichten beveiligingsgaten waardoor sommige quishing-aanvallen onschadelijk worden. Stel automatische updates in en negeer ze niet.
Wat te doen als u toch slachtoffer bent?
Bent u op een nep-betaalpagina geweest en heeft u gegevens ingevoerd? Bel direct uw bank (op het officiële nummer achterop uw bankpas), blokkeer de pas en doe aangifte bij de politie. Hoe sneller u handelt, hoe groter de kans dat een transactie nog kan worden tegengehouden.
Tot slot
Quishing speelt slim in op de routine waarmee we tegenwoordig QR-codes scannen. Een gezonde dosis achterdocht en het kort controleren van de bestemmingslink zijn de beste verdediging. Op DMSA blijven we de ontwikkelingen rond online veiligheid op de voet volgen, zodat u steeds weet welke valkuilen er bijkomen en hoe u ze omzeilt.
