Oeps! Scan jij ook elke QR-code?

Geen zorgen, er is niets aan de hand. Dit is een awareness-actie van Nekovri. Maar stel je voor dat dit een echte cyberaanval was geweest... had jij het op tijd doorgehad?

Wat is 'Quishing'?


Je bent waarschijnlijk bekend met phishing via e-mail. Quishing (ookwel QR-code phishing) is exact hetzelfde, maar dan via een QR-code. Criminelen plakken bijvoorbeeld een valse sticker over een originele code (bijv. op een parkeermeter of bij een laadpaal) of sturen een code via e-mail die afkomstig lijkt van de IT-afdeling of een bank.

Zodra je scant, word je naar een nagemaakte website geleid met als doel:


  • Inloggegevens stelen: Je denkt in te loggen op een bekende omgeving, maar je geeft je wachtwoord direct door aan de aanvaller.
  • Betalingsfraude: Je wordt verleid tot een "kleine betaling" die uiteindelijk je bankrekening plundert.
  • Malware installeren: Er wordt ongemerkt software gedownload die meekijkt op je telefoon.


Hoe herken je een Quishing aanval?

Vertrouw niet blind op wat je ziet. Gebruik deze checks voordat je actie onderneemt:

  • Check de fysieke laag: Voel of kijk of er een sticker over een andere QR-code is geplakt. Dit is bijna altijd een teken van fraude.
  • Inspecteer de URL: Je telefoon laat een voorvertoning van de link zien. Controleer het webadres (domein) kritisch. Staat er echt nekovri.nl of microsoft.com, of is het een vage afgeleide zoals login-beveiliging-check.cc?
  • Blijf alert bij inloggen: Moet je inloggen nadat je hebt gescand? Kijk dan dubbel zo goed naar de adresbalk van je browser. Een legitieme SharePoint- of Microsoft-link moet altijd eindigen op het officiële domein van die dienst. Vertrouw je het niet? Ga dan op je laptop via de gebruikelijke weg naar de dienst.
  • Onverwachte bron: Je krijgt een code via een kanaal dat je niet gewend bent (bijv. een brief of een onverwachte WhatsApp).
  • Dringende actie vereist: De tekst dwingt je om "nu" te handelen om een boete of blokkade te voorkomen.
  • Vreemde omwegen: Je moet meerdere keren doorklikken of extra apps installeren voordat je bij de informatie komt.
  • Website/app vraagt om machtigingen: Vraagt een website of app na het scannen om toegang tot je locatie, contacten of camera zonder duidelijke reden? Wijs dit direct af.


Blijf scannen, maar scan bewust

Een quishing-aanval maakt misbruik van ons vertrouwen en het gemak van de QR-code. Dat betekent absoluut niet dat je nooit meer een code mag scannen; ze blijven immers een handig hulpmiddel in ons dagelijks leven.

Het gaat erom dat je de automatische piloot uitzet. Wees vooral alert bij codes die je onverwacht ontvangt of die op openbare plekken hangen. Door even die korte check te doen, Wie stuurt dit en waar gaat de link naartoe?, geniet je van het gemak van de techniek zonder de veiligheid uit het oog te verliezen. Kortom: Scan gerust, maar kijk eerst waar je landt.