QR-codes zijn overal. In restaurants, parkeergarages, facturen, tickets, brieven, posters en e-mails. Ze zijn handig omdat je snel met je telefoon naar een website gaat. Juist dat gemak maakt QR-code phishing populairder. Criminelen gebruiken QR-codes om mensen naar nepwebsites te sturen zonder dat de link direct zichtbaar is.
Bij normale phishing kun je een link soms bekijken voordat je klikt. Bij een QR-code is dat lastiger. Je ziet een blokje met zwarte en witte vakjes, maar niet meteen de bestemming. Veel mensen scannen automatisch, zeker als de QR-code in een betrouwbaar ogende context staat.
Een QR-code voelt neutraal, maar is gewoon een verborgen link. En elke link verdient aandacht.
Wat is QR-code phishing?
QR-code phishing wordt ook wel quishing genoemd. Een aanvaller plaatst een QR-code in een e-mail, brief, poster of document. Na het scannen kom je op een website die lijkt op een bekende dienst. Daar wordt gevraagd om in te loggen, gegevens te controleren of een betaling te doen.
Omdat de telefoon wordt gebruikt, kan de aanval extra effectief zijn. Op een klein scherm is een nepwebsite moeilijker te herkennen. Ook zijn mensen op mobiel sneller geneigd om door te tikken.
Waarom criminelen QR-codes gebruiken
QR-codes kunnen sommige beveiligingsfilters omzeilen. Een e-mailfilter ziet misschien geen verdachte link, maar alleen een afbeelding met een QR-code. Daarnaast verplaatst de aanval van de zakelijke computer naar de telefoon van de medewerker. Dat kan controle lastiger maken.
Ook speelt vertrouwen mee. QR-codes worden vaak gebruikt door echte organisaties. Mensen zijn eraan gewend geraakt. Daardoor voelt scannen normaal, zelfs wanneer de context eigenlijk vreemd is.
Voorbeelden van QR-code phishing
Denk aan een e-mail die zegt dat je je Microsoft-account moet bevestigen via een QR-code. Of een parkeerboete met een QR-code om direct te betalen. Of een poster op kantoor met een QR-code voor een zogenaamd nieuw HR-portaal. In al deze gevallen probeert de aanvaller de gebruiker naar een nepomgeving te leiden.
Een QR-code kan ook fysiek worden geplakt over een echte code. Bijvoorbeeld op een betaalautomaat, poster of informatiebord. Daardoor lijkt de omgeving betrouwbaar, terwijl de bestemming is aangepast.
Hoe herken je het risico?
Vraag jezelf af of je de QR-code verwacht. Waarom moet je via een QR-code inloggen? Is er een bekende route om dezelfde actie te doen? Komt de QR-code uit een betrouwbare bron? Wordt er druk gezet? Moet je persoonlijke of zakelijke gegevens invullen?
Scan niet automatisch. Controleer de link die je telefoon toont voordat je opent. Ziet het domein er vreemd uit, open het dan niet. Bij twijfel ga je zelf naar de bekende website of app.
Wat organisaties kunnen doen
Maak afspraken over QR-codes. Gebruik ze niet onnodig voor gevoelige acties zoals inloggen of betalen. Leg medewerkers uit dat QR-codes verborgen links zijn. Zorg dat verdachte QR-codes gemeld kunnen worden, ook als ze fysiek op kantoor verschijnen.
Techniek helpt, maar bewust gedrag is cruciaal. Medewerkers moeten weten dat een QR-code net zo verdacht kan zijn als een link in een e-mail.
Hoe SecuSnack bewustwording vergroot
SecuSnack kan QR-code phishing uitleggen met korte scenario's. Bijvoorbeeld: je krijgt een e-mail met een QR-code om je wachtwoord te resetten. Wat doe je? Door dit te oefenen, wordt Security Awareness concreet.
QR-code phishing wordt populairder omdat het inspeelt op snelheid en gewoonte. We scannen, tikken en gaan door. Juist daarom is de beste verdediging simpel: pauzeer even, controleer de bestemming en gebruik bij twijfel een bekende route.