We doen het allemaal: even een QR-code scannen om een menukaart te bekijken, een betaling te doen of een app te downloaden. Het is makkelijk, snel en overal aanwezig. QR-codes zijn inmiddels dusdanig ingeburgerd dat we er nauwelijks nog bij stilstaan.
Maar juist dat gemak maakt ons kwetsbaar. Achter die vierkante codes kan een groot risico schuilgaan: Quishing. Quishing is een vorm van phishing waarbij gebruik wordt gemaakt van QR-codes om persoonlijke gegevens buit te maken of malware te installeren.
Wat is Quishing?
Quishing is een relatief nieuwe vorm van phishing waarbij cybercriminelen misbruik maken van QR-codes. Het principe is eenvoudig: achter een QR-code zit een link, maar die link kun je niet zien voordat je hem opent. Dat maakt QR-codes ideaal voor fraude.
Bij Quishing leidt de QR-code niet naar een vertrouwde website, maar naar een pagina die jouw gegevens probeert te stelen, zoals inloggegevens of betaalinformatie, of malware installeert om zo toegang te krijgen tot je bedrijfsnetwerk.
De opkomst van QR-codes zorgt ervoor dat Quishing steeds populairder wordt. Je vindt codes terug op facturen, pakketten, menukaarten en parkeerautomaten en ze zijn eenvoudig te gebruiken. En dat gemak is precies waar criminelen op inspelen.
Van parkeren naar plunderen
Na lang zoeken parkeer je je auto in een drukke binnenstad. Je loopt naar de automaat om te betalen. De automaat heeft een sticker met een QR-code: “Betaal online”. Het lijkt handig, zeker als je haast hebt. Je scant, vult je gegevens in en betaalt. Klaar, toch?
Niet helemaal. Eind 2024 waarschuwden Nederlandse gemeenten officieel voor deze vorm van fraude. Cybercriminelen plakten eigen QR-stickers over de officiële codes op parkeerautomaten. Wie deze code scande, kwam op een nepwebsite van de parkeeraanbieder. Alles leek betrouwbaar: een logo, een betaalpagina en zelfs een bevestiging. Maar het geld verdween rechtstreeks op de rekening van de oplichters.
Het gevolg? Geen geldig parkeerbewijs, een mogelijk boete én financiële schade. Het probleem was zo wijdverspreid dat gemeenten via nieuwsberichten en sociale media opriepen om alleen via officiële apps of automaten te betalen.
Bestellen? Betalen? Bestolen!
Je zit in een gezellig restaurant. De menukaart is digitaal. Je scant, bekijkt het menu en bestelt. Maar achter de schermen gebeurt iets anders: de QR-code leidt naar een site die niet van het restaurant is, maar van criminelen.
En toch viel dit niet snel op. De criminelen waren zo slim om niet alle tafels te voorzien van een frauduleuze QR-code. Ze plakten vervalste stickers over een aantal menukaarten. Bezoekers dachten dat ze via deze code konden bestellen en betalen. Toen na een tijdje nog niets op tafel stond, begonnen gasten melding te maken.
De restauranthouders waren zich in eerste instantie van geen kwaad bewust. Omdat niet alle tafels waren getroffen, duurde het lang voordat het probleem aan het licht kwam. Tegen die tijd hadden criminelen al veel gegevens buitgemaakt en betalingen onderschept.
Waarom Quishing zo effectief is
Quishing werkt goed omdat het inspeelt op ons vertrouwen in gemak. QR-codes zijn ontworpen om snel en eenvoudig informatie te delen. Dat gemak maakt ons minder alert. We zien een code en gaan ervanuit deze betrouwbaar is. Het probleem is dat een QR-code zelf niets verraadt over de bestemming. Je kunt niet zien waar de link naartoe leidt voordat je hem opent.
Daar komt bij dat we QR-codes meestal scannen met onze telefoon, een apparaat waarop we minder geneigd zijn om URL’s kritisch te controleren. Criminelen maken gebruik van deze situatie door codes de plaatsen in contexten waarin we haast hebben óf ontspannen zijn. Het voelt vertrouwd en dat is precies waarom we niet twijfelen.
Deze combinatie van onzichtbare links, ons vertrouwen in digitaal gemak en slimme sociale manipulatie maakte Quishing tot een effectieve aanvalstechniek.
Als individu
De eerste stap is kritisch kijken naar de bron van de QR-code. Staat de code op een officiële website, een vertrouwde app of een originele verpakking? Dan is de kans op fraude klein. Maar een sticker of losse QR-code? Dat is verdacht. Gebruik bij voorkeur een QR-scanner die de volledige URL toont voordat je de site opent. Controleer of het adres begint met https:// en of het domein klopt.
Daarnaast is het verstandig om devices goed te beveiligen. Installeer updates direct en wees terughoudend met het invoeren van persoonlijke gegevens na het scannen van een QR-code. Betaal nooit zomaar via een link die je niet vertrouwt. Typ liever zelf het webadres in of gebruik een officiële app.
Als organisatie
Maar ook voor organisaties is Quishing een enorm risico, vooral omdat medewerkers vaak QR-codes scannen. Een enkele fout kan leiden tot datalekken of ransomware-aanvallen. Daarom is het cruciaal om beleid en technologie te combineren.
Begin met bewustwordingstraining: leer je medewerkers dat QR-codes niet altijd veilig zijn en dat ze nooit zomaar moeten scannen zonder de bron te controleren. Simuleer phishing-aanvallen met QR-codes om alertheid te vergroten.
Daarnaast zijn technische maatregelen onmisbaar. Gebruik software die verdachte links blokkeert op alle apparaten. Implementeer Mobile Device Management om bedrijfsdata te beschermen en beperk de toegang tot gevoelige systemen. Multi-Factor Authenticatie (MFA) is een absolute must: zelfs als inloggegevens worden buitgemaakt, voorkomt MFA dat criminelen direct toegang krijgen.
Tot slot: zorg voor een incidentresponsplan. Als een medewerker toch op een malafide QR-code klikt, moet duidelijk zijn wat de stappen zijn om schade te beperken.
Samen strijden tegen Quishing
Quishing is geen tijdelijk probleem, maar een blijvende dreiging. Individuele maatregelen zijn belangrijk, maar organisaties zijn net zo verantwoordelijk. Bij TCC staan we naast jou in deze strijd. Wij bieden niet alleen de technologie om aanvallen te blokkeren, maar ook de kennis en training om medewerkers alert te houden. Samen zorgen we voor een robuuste beveiligingsstrategie die voorkomt dat één scan leidt tot een groot incident.
Wil jij weten hoe we jouw organisatie kunnen beschermen tegen Quishing en andere dreigingen? Neem contact op en we zorgen samen voor een veilige digitale omgeving.
