Hoewel QR-codes een geweldige manier zijn om content te delen voor allerlei doeleinden, in elke branche en overal ter wereld, zijn er helaas ook mensen die ze misbruiken.
Bij betaalde accounts zoals Trueqrcode heeft alleen de maker van het account toegang tot het dashboard, dus codes kunnen niet worden misbruikt, tenzij iemand toegang heeft tot je account. Je moet ook alleen QR-codes scannen die afkomstig zijn van plaatsen en merken die je vertrouwt, en ervoor zorgen dat niemand ze heeft gekopieerd.
Technologie is geweldig, maar net als bij alles bestaat er altijd een manier om er misbruik van te maken. We laten je zien waarom het gebruik van QR-codes – of je ze nu zelf maakt of scant – een snelle, handige en veilige manier kan zijn om content te delen, en hoe je kunt voorkomen dat je kwaadaardige QR-codes scant die malware downloaden, of nepcodes die je naar pagina’s leiden die je gegevens willen stelen.
Wat is quishing?
Een ‘quishing’- of QR-code-phishingaanval vindt vooral plaats wanneer een oplichter ergens een QR-code aanbrengt en zich voordoet als iemand anders, of doet alsof hij een nepbedrijf of -dienst heeft. De QR-code leidt je naar een valse of gekopieerde webpagina waar je wordt gevraagd om je inloggegevens of creditcardgegevens in te voeren.
Een kwaadaardige QR-code kan malware naar je mobiel sturen. Door het automatisch downloaden wordt de beveiliging aangetast en krijgt de dader van de zwendel toegang tot je telefoon.
Een ander teken van quishing is wanneer je wordt benaderd. Bijvoorbeeld als je een e-mail krijgt of als je op straat folders krijgt aangeboden waarin je wordt gevraagd om iets te scannen dat je misschien wel aanspreekt.
Hoe werken quishing-aanvallen, en hoe kan ik mezelf hiertegen beschermen?
We bespreken een aantal manieren waarop aanvallers dit doen, vertellen je hoe je jezelf kunt beschermen en laten je aan de hand van enkele veelvoorkomende voorbeelden zien wanneer het nuttig, leuk en handig voor je is om QR-codes te scannen, zodat deze geweldige technologie niet onbenut blijft.
Probleem: Aanvallers kunnen een QR-code afdrukken in een openbare ruimte, op een flyer, billboard, poster, visitekaartje enzovoort, waarmee ze een dienst of product aanbieden. Bescherming: Scan geen QR-codes van een onbekende bron. Er zijn andere manieren om het merk op internet of in het echt op te zoeken, en pas als je zeker weet dat het een echt bedrijf is, kun je de code scannen. Wanneer moet je een QR-code scannen: QR-codes op visitekaartjes zijn geweldig om te netwerken. Als je op een echt netwerkevenement of een verkoopbijeenkomst bent en je hebt die persoon in het echt ontmoet, op zijn of haar werk, scan dan de code en de contactgegevens worden automatisch en foutloos naar je telefoon gedownload. Dat is superhandig als er typefouten zijn gemaakt of als er verkeerde nummers zijn opgegeven.
Probleem: Je krijgt iets aangeboden dat eruitziet als een normaal gratis cadeautje, korting, kortingsbon of zelfs een aanbieding waarvoor je best zou willen betalen. Bescherming: Weet welk merk de code heeft afgedrukt. Soms kan een aanvaller een merknaam of logo stelen, dus let daar goed op. Maar als je in een echte winkel bent of op een plek waar je de eigenaar van de code kent, kun je de code gerust scannen. Wanneer je een QR-code moet scannen: Je bent in een boetiek en ze hebben een QR-code op een flyer staan met een geweldige CTA die je gewoon niet mag missen.
Probleem: Je scant een code en de site waar je naartoe wordt geleid, is een kopie van een echte site, soms met een kopie van de URL met daarachter een andere landcode. Bescherming: Scan alleen een code van een plek die je vertrouwt. Wanneer je een QR-code moet scannen: Je gaat naar een concert, en na afloop heeft de muzikant een spandoek met een QR-code erop waarmee je naar zijn of haar Spotify-pagina, sociale media of zelfs naar de kaartverkoop voor concerten kunt gaan. Het is duidelijk dat je favoriete bands gewoon eerlijke mensen zijn die hun werk promoten en leuke evenementen en muziek met de wereld delen.
Probleem: Een site waar je nog nooit bent geweest, vraagt om je creditcardgegevens om iets te kopen. Dit kan zelfs zonder QR-codes gebeuren. Er duiken overal websites op voor spullen zoals kleding, maar later kom je erachter dat het een professioneel ontworpen, prachtig gemaakte website is zonder dat er daadwerkelijk voorraad achter zit. Het zijn creditcardgegevensdieven. Bescherming: Kijk altijd even op Trustpilot, Google Reviews en dergelijke voor honderden of duizenden beoordelingen van een site. En soms zijn die zelfs nep. Als het merk geen goede reputatie heeft, vul dan geen creditcardgegevens in. Dat is jammer voor opkomende merken die naam willen maken. Wanneer je een QR-code moet scannen: Volg ze een tijdje en leer ze kennen zoals je een persoon zou leren kennen, voordat je iemand vertrouwt.
Soorten phishingaanvallen met QR-codes
- Kwaadaardige QR-codes kunnen je inloggegevens stelen voor belangrijke (of welke dan ook) online accounts, zoals je Gmail- of Microsoft-account. Ze maken kopieën van bekende websites, en als je inlogt op hun gekopieerde account, stelen ze je inloggegevens voor je echte account. Let goed op de URL als je inlogt op een site via een QR-code waarvan je de bron niet kent.
- Sommige QR-codes kunnen automatisch malware downloaden op je telefoon en vragen je vervolgens om een app te installeren die op spyware lijkt, om het te verwijderen. Installeer niet wat ze je ook maar opdragen, en zoek zelf naar manieren om te verwijderen wat ze hebben gedaan.
- Soms plakken oplichters valse QR-codes op parkeermeters, posters van goede doelen en andere plekken waar je kunt scannen en betalen. Zodra je naar hun valse site wordt doorgestuurd, ben je eigenlijk gewoon geld overmaken naar de oplichter.
- Aanvallen met vervangde QR-codes vinden plaats wanneer een oplichter zijn QR-code over de echte heen plakt op een openbare plek, dus let goed op of er nog een andere onder zit bij de code die je aan het scannen bent.
- Een valse beveiligingswaarschuwing zal je nu vragen om in te loggen, alleen maar om je inloggegevens van een bepaalde site te stelen.
- Nep WiFi verbindingen. Maak nooit verbinding met iets dat gratis wifi aanbiedt in het openbaar. Het is waarschijnlijk oplichterij. Wees voorzichtig op plekken zoals luchthavens. Vraag eerst aan het personeel waar je verbinding kunt maken.
- QR-codes met een CTA waarin kortingen of kortingsbonnen Meestal stelen ze gewoon je e-mailadres als je dat invult op de site waar ze je naartoe hebben gestuurd, en sturen ze je daarna vervelende nieuwsbrieven waar je je nooit voor hebt aangemeld. Er zijn nog steeds een paar goede bedrijven en eerlijke mensen die leuke dingen aanbieden, maar je moet ze eerst leren kennen.
- Aanbiedingen voor nep-evenementkaartjes die bestaan er ook, dus je moet er zeker van zijn dat het een echte ticketverkoper is voordat je gaat scannen. Als je bij een echt concert van een muzikant bent en er hangt een poster met een QR-code in de zaal, dan is het waarschijnlijk wel in orde. Maar als het gewoon een willekeurige code is die zomaar ergens opduikt, zoals een sticker op een vlaggenmast, betekent dat niet dat hij niet echt is; sterker nog, sommige jonge, opkomende artiesten en bandleden plakken overal stickers, maar je moet geen QR-code scannen die zomaar op een lantaarnpaal zit.
- Frauduleuze bank-, financiële en crypto-oplichting zijn altijd mogelijk. Ik zou je afraden om een code te scannen die niet door je bank is geplaatst, en zeker niet als je een bericht hebt ontvangen. Scan niets als je erom wordt gevraagd. Er zijn andere manieren om je bankzaken te regelen. Vooral als ze om creditcard- of bankrekeninggegevens vragen. Sluit gewoon de pagina.
- Er zijn bezorgoplichtingen Er worden mensen sms’jes gestuurd met valse informatie over pakketjes, dus vertrouw daar niet op, vooral niet als je eigenlijk geen pakketje verwacht. Negeer het gewoon.
- Nepmenu’s die je zou kunnen krijgen als ze door een restaurant worden uitgedeeld. Als je het menu al in je hand hebt, hoef je het niet ook nog eens op je telefoon op te slaan. Tenzij het restaurant het in je bezorgtas stopt, moet je het niet als vanzelfsprekend beschouwen als het zomaar in het openbaar wordt uitgedeeld.
Wat is QRLJacking?
Met een Quick Response-login (QRL) kun je direct inloggen op een site zonder je inloggegevens in te voeren. Een voorbeeld hiervan is de QR-code van WhatsApp, waarmee je WhatsApp direct opent zonder in te loggen. Het is bedoeld om het gebruiksgemak te vergroten, zodat je niet elke keer je wachtwoord hoeft in te voeren als je de site bezoekt.
Een QR-code is gewoon een code. Een QRL is een authenticatiemethode waarbij een QR-code wordt gebruikt.
Als je een valse QR-code scant, kan die de echte verificatieprocedures omzeilen en zo je wachtwoorden stelen om toegang te krijgen tot je accounts. Het kan ook zijn dat je toch wordt gevraagd om die gegevens in te voeren. Scan gewoon geen codes waarvan je niet weet waar ze vandaan komen en die je meteen willen inloggen.
Zelfs als 2FA of MFA is ingeschakeld, kan het zijn dat je wordt gevraagd je identiteit nogmaals via deze methode te bevestigen, zodat ze toegang krijgen. Als je deze tweede vorm van authenticatie niet accepteert, kun je jezelf zo beschermen.
Hoe herken ik een phishingaanval via een QR-code?
Je moet altijd weten waar de code vandaan komt. Ja, je favoriete merken zoals Prada of Calvin Klein kunnen een QR-code op een reclamebord of een poster bij een bushalte zetten om mensen erop te laten scannen. En dat kan heel legitiem zijn. Meestal geldt: als ze zoveel geld aan reclame uitgeven, bijvoorbeeld voor een reclamebord in een winkelgebied waar je lekker kunt rondlopen, dan is het betrouwbaar. Denk gewoon even na over wat je gaat scannen voordat je het doet, en wees voorzichtig. Let goed op de URL die je om geld vraagt. Is het echt de site van Prada? Wees niet bang voor QR-codes. Het is een geweldige technologie, maar zoals bij alles moet je wel voorzichtig zijn.
Scan geen mysterieuze codes. Als er op de hoek een verdachte kerel flyers uitdeelt, ja, dan kan het best een willekeurige artiest of muzikant zijn die kaartjes voor een optreden verkoopt. Bewaar de flyer dan gewoon. Als je onder druk wordt gezet om de code meteen te scannen, betekent dat dat je het beter niet kunt doen. Zoek de informatie op de flyer gewoon apart op. Flyers met QR-codes zijn prima als ze tijdens echte optredens en conferenties worden uitgedeeld door mensen die daar werken.
Als er iets aan de CTA raar lijkt of als hun er spelfouten in hun marketingmateriaal staan of URL’s die niet helemaal kloppen, enz., scan die niet. Landcodes aan het einde van een URL kunnen echt zijn als je in dat land bent, maar soms nemen ze een veelgebruikte URL, kopiëren die en voegen er een landcode aan toe. Als je dan iets koopt, stelen ze je gegevens.
Dringende berichten waarin je wordt gesmeekt om meteen informatie te geven Dat is een duidelijke aanwijzing dat het geen echte code is. QR-codes moeten je naar landingspagina’s leiden waar je informatie krijgt. Ze mogen je nooit om informatie vragen. QR-codes moeten inhoud delen op websites, sociale media, tutorials op YouTube, enzovoort. Er zijn bepaalde websites, zoals webwinkels van je favoriete winkels, die QR-codes aanbieden en herhalingsaankopen mogelijk maken. Je moet er echter wel zeker van zijn dat je daadwerkelijk op de website van die winkel bent en dat de code afkomstig is van echt marketingmateriaal van dat merk, en niet van een willekeurige openbare plek.
Hoe kan ik een quishing-aanval voorkomen of melden?
De beste manier om quishing op je telefoon te detecteren, is door een antivirusprogramma voor mobiele telefoons te downloaden. Die kosten zo’n 35 euro per jaar of ongeveer 40 Amerikaanse dollar. Maar zoek wel een betrouwbare antivirusdienst die je zelf hebt gevonden, en niet een die jou heeft benaderd, want dat kan oplichterij zijn. En zorg ervoor dat de dienst werkt in het land waar je bent. Zelfs legitieme antivirusprogramma’s kunnen in Europa je geld aannemen, maar werken niet buiten de VS en vice versa. En je krijgt je geld dan niet terug. Controleer voordat je iets koopt of de dienst in jouw land en op jouw toestel werkt.
Accepteer nooit zomaar meldingen op je mobiel waarin je wordt gevraagd om iets te verifiëren. Negeer ze gewoon. Hoe vaker je ze krijgt, hoe duidelijker het is dat iemand het op je gemunt heeft, maar ze kunnen je pas te pakken krijgen als je ze meer informatie geeft. Het betekent gewoon dat ze ergens je mobielnummer of e-mailadres hebben bemachtigd. Ze bellen je nu ook op om informatie te vragen en nemen je stem op voor stemverificatie met ‘ja’s’ of ‘nee’s’. Dat gebeurt zelfs zonder QR-codes, en neem sowieso niet op als robots je zomaar bellen om dingen te vragen. Hang gewoon op.
Je kunt phishingberichten melden bij bijvoorbeeld je bank of via de ‘misbruik melden’-pagina’s op websites zoals Google, als iemand heeft geprobeerd hun inlogpagina na te maken. Op alle gangbare sociale media zijn er ‘phishing melden’-pagina’s, afhankelijk van waar de kwaadaardige QR-code zich voor uitgaf.
Als je denkt dat je het slachtoffer bent geworden van een phishing-aanval via een QR-code, sluit de pagina dan meteen af. Deel geen persoonlijke gegevens. Log in vanaf een ander apparaat en wijzig je wachtwoorden. Je kunt beveiligingsscans uitvoeren en onbekende apps verwijderen. Ga indien nodig naar een echte IT-specialist die gespecialiseerd is in jouw apparaat. Ga niet zomaar naar een gewone mobiele telefoonwinkel waar ze niets van IT afweten. Je kunt ook 2FA of MFA inschakelen.
Laatste gedachten over phishing via QR-codes
Je moet goed opletten waar je QR-codes scant. Of je nu een groot of klein bedrijf hebt, neem eens een kijkje bij onze voorbeelden van QR -code-toepassingen en onze branchepagina’s voor leuke ideeën over hoe je QR-code marketing op je materialen. Je kunt het veilig en effectief doen, en je klanten zullen er blij mee zijn. Meld je aan voor een proefperiode bij onze QR-codegenerator en probeer het zelf eens uit!
