QR-codes zijn handig. Je scant een code en staat direct op de juiste pagina. In restaurants, parkeergarages, kantoren, evenementen en zelfs in e-mails worden QR-codes gebruikt om snel ergens naartoe te gaan. Het gemak is precies waarom ze zo populair zijn geworden.
Maar dat gemak heeft ook een keerzijde. Bij een gewone link kun je soms nog zien waar je naartoe gaat. Bij een QR-code is de bestemming minder zichtbaar. Je scant eerst en ziet pas daarna welke pagina wordt geopend. Dat maakt QR-codes aantrekkelijk voor phishing.
QR-phishing wordt ook wel quishing genoemd. Het idee is simpel: een aanvaller gebruikt een QR-code om iemand naar een valse website te leiden. Die website kan lijken op een inlogpagina, betaalpagina of intern formulier. Omdat het scannen snel en vertrouwd voelt, denken mensen minder lang na.
Waarom QR-codes extra lastig zijn
Een QR-code geeft weinig context. Je ziet een blokje met zwarte en witte vakjes, maar niet meteen de echte bestemming. Zeker op een poster, sticker of geprint document is het moeilijk te beoordelen of de code betrouwbaar is. Een aanvaller kan een sticker over een echte QR-code plakken of een eigen code toevoegen aan een plek waar mensen snelle actie verwachten.
Ook in e-mail komt QR-phishing voor. Een bericht zegt bijvoorbeeld dat je je account moet bevestigen door een QR-code te scannen. Daarmee verplaatst de aanval van de zakelijke computer naar de telefoon van de medewerker. Dat kan handig zijn voor aanvallers, omdat telefoons soms minder streng worden gecontroleerd dan laptops.
Daarnaast voelt scannen vaak minder risicovol dan klikken. Toch gebeurt er in de praktijk hetzelfde: je opent een link. Alleen is die link verpakt in een afbeelding.
Waar kom je QR-phishing tegen?
QR-codes kunnen op veel plekken worden misbruikt. Denk aan een poster bij een balie, een parkeerautomaat, een menukaart, een flyer op een evenement of een sticker in een openbare ruimte. In een zakelijke omgeving kan het gaan om een uitnodiging, een handleiding, een intern formulier of een nepbericht over wifi-toegang.
Ook betaalverzoeken via QR-codes verdienen aandacht. Als een code leidt naar een betaalpagina, controleer dan extra goed of de omgeving klopt. Een kleine aanpassing aan een sticker of flyer kan genoeg zijn om betalingen of gegevens naar de verkeerde plek te sturen.
Let op de bestemming na het scannen
De veiligste gewoonte is om na het scannen niet automatisch door te gaan. Kijk eerst naar het webadres dat wordt geopend. Past het domein bij de organisatie die je verwacht? Staat er een vreemde naam, extra teken of onbekende extensie in? Word je gevraagd om in te loggen of betaalgegevens in te vullen?
Veel telefoons tonen de link voordat je de pagina opent. Neem die korte pauze serieus. Als de link onduidelijk is, open hem dan niet. Typ liever zelf het bekende adres in of gebruik de officiële app.
Wees voorzichtig met openbare codes
Openbare QR-codes vragen extra aandacht. Je weet niet altijd wie de code heeft geplaatst of of die later is aangepast. Een code op een officiële poster kan betrouwbaar zijn, maar een losse sticker op een tafel, deur of automaat verdient meer twijfel.
Organisaties kunnen medewerkers helpen door eigen QR-codes herkenbaar te maken en duidelijk te communiceren waarvoor ze worden gebruikt. Gebruik bijvoorbeeld korte uitleg naast de code en verwijs naar bekende domeinen. Hoe duidelijker de context, hoe makkelijker medewerkers afwijkingen herkennen.
QR-codes zijn niet het probleem
QR-codes zijn op zichzelf niet onveilig. Ze zijn een handige manier om mensen naar informatie te leiden. Het risico ontstaat wanneer medewerkers zonder controle scannen, doorklikken en gegevens invullen.
Daarom geldt dezelfde regel als bij links in e-mail: verwacht je dit, klopt de bestemming en vraagt de pagina om gevoelige informatie? Als het antwoord onzeker is, stop dan en kies een bekende route. De link zit misschien verstopt in een code, maar de controle blijft hetzelfde.
Maak scannen minder automatisch
De belangrijkste gewoonte is dat scannen niet automatisch betekent dat je doorgaat. Laat medewerkers eerst kijken welke pagina wordt geopend en of die pagina logisch is. Zeker wanneer een QR-code leidt naar een login, betaling of formulier met persoonsgegevens, is een extra controle verstandig.