QR-codes worden op steeds meer plaatsen voor uiteenlopende doeleinden gebruikt omwille van hun gebruiksgemak. Denk bijvoorbeeld aan het scannen van een QR-code voor toegang tot de filmzaal, maar bijvoorbeeld ook voor het betalen van een factuur. Oplichters zien echter ook voordelen in het gebruik van QR-codes en misbruiken deze codes steeds vaker om gebruikers ervan naar malafide websites te leiden of om malafide applicaties te laten downloaden.
Dit relatief nieuw fenomeen wordt QR-phishing of Quishing genoemd.
Waarom worden QR-codes misbruikt?
Voor oplichters zijn er meerdere redenen om QR-codes te gebruiken in plaats van traditionele hyperlinks:
- Door het gebruik van een QR-code wordt de werkelijke bestemming van een hyperlink verborgen. Vele QR-scanners openen onmiddellijk de link waarnaar de code verwijst zodra deze gescand wordt. De gebruiker krijgt onmiddellijk de inhoud van de (vervalste) website te zien, waardoor minder aandacht besteed wordt aan de legitimiteit van de website en de gebruiker zich bijgevolg niet of nog minder bewust is van het misbruik.
- QR-codes kunnen ook misbruikt worden op vervalste papieren. Doordat men de website niet meer manueel moet overtikken, staat men niet langer stil bij welke website bezocht wordt.
- Door berichten van legitieme instanties inclusief de QR-codes na te bootsen, ogen de vervalste berichten professioneel en legitiem.
- Wanneer een malafide website geblokkeerd wordt, kan een oplichter simpelweg een nieuwe website koppelen aan de QR-code, zonder een nieuwe code te moeten uitsturen.
Hoe kan ik me beschermen tegen malafide QR-codes?
Controleer steeds naar welke website een QR-code verwijst. We raden aan om hiervoor een QR-scanner te gebruiken die duidelijk weergeeft naar welke website de code verwijst vooraleer deze bezocht wordt.
Wanneer de QR-code verwijst naar een applicatie in de Play/App Store, raden we aan om de uitgever van de applicatie te controleren. Malafide apps kunnen namelijk legitieme apps nabootsen.
Malafide QR-codes kunnen in eerste instantie verwijzen naar de legitieme login-pagina van bijvoorbeeld Microsoft of Google, maar na het inloggen vragen om een bepaalde applicatie toegang te geven tot jouw account. Wees in dit geval zeer voorzichtig! De applicatie kan mogelijks gevoelige gegevens zoals account-informatie, e-mails en dergelijke meelezen en delen met een oplichter. Ga hier dus niet op in tenzij je zeker weet dat de applicatie legitiem is.
Wanneer er twijfel is of een QR-code al dan niet legitiem is, raden we aan om de code niet te gebruiken en via een andere methode het gewenste resultaat te bereiken. Bij vele instanties zoals telecomoperatoren en energieleveranciers is het bijvoorbeeld mogelijk om rechtstreeks naar hun website te surfen en in te loggen om openstaande facturen te bekijken en langs deze weg te betalen. Indien er geen openstaande facturen te zien zijn, maar je toch een uitnodiging tot betaling kreeg via post of e-mail, raden we aan om telefonisch contact op te nemen met die instantie.