QR-codes zijn een gemak geworden in het moderne leven. Scan gewoon het zwart-witmozaïek met de camera van uw telefoon en u kunt alles doen, van verbinding maken met de wifi van uw hotelkamer tot betalen voor openbare parkeergelegenheid en een restaurantmenu weergeven.
Maar QR-codes kunnen je ook kwetsbaar maken. Dat komt omdat oplichters, georganiseerde misdaadbendes en duistere natiestaten deze nederige technologie gebruiken om u te misleiden zodat u onbewust uw gegevens overhandigt. Hier leest u hoe ze het doen en hoe u uzelf kunt beschermen.
Mensen houden van het gemak van QR-codes, maar dat geldt ook voor oplichters
Het is moeilijk te geloven dat er iets sinisters in een QR-code kan zitten, maar dat kan wel. Om te begrijpen waarom, helpt het om te weten hoe een QR-code werkt. Een afkorting voor ‘quick response code’, een QR-code is in wezen een geavanceerdere versie van de UPC-‘barcodes’ die al tientallen jaren op verpakte producten worden aangetroffen.
Een ouderwetse UPC-code (afkorting van “universele productcode”) is een eendimensionale afbeelding die bestaat uit verticale lijnen van verschillende breedte die verschillende cijfers vertegenwoordigen. Wanneer de streepjescode wordt gescand, worden de cijfers gelezen en vergeleken met een database om het gerelateerde product te identificeren.
QR-codes zijn tweedimensionale afbeeldingen met glyphs van verschillende groottes die niet alleen cijfers maar ook tekst bevatten. Bij het scannen extraheert uw telefoon de gecodeerde informatie en kan hierop reageren. QR-codes bevatten bijvoorbeeld vaak URL’s, zodat u b.v. een parkeermeter om een webpagina te starten waar u online kunt betalen.
Het is zeker veel handiger dan handmatig een URL in de browser van uw telefoon in te voeren om de betalingspagina te laden. Maar ons verlangen naar – en misschien wel acceptatie van – dit gemak wordt nu uitgebuit door fraudeurs via wat bekend is geworden als ‘quishing.”
De groeiende dreiging van quishing
Steeds vaker is iedereen weg fraudeurs naar natiestaten proberen onze bereidheid om QR-codes te gebruiken te exploiteren. Ze doen dit door er kwaadaardige links in te integreren en deze via e-mail naar iemand te sturen, waarbij ze zich vaak voordoen als afkomstig van hun bank of een online dienst die ze gebruiken. Als alternatief is het bekend dat individuele kwaadwillende actoren QR-codes afdrukken met ingebedde kwaadaardige links en deze fysiek over authentieke QR-codes plaatsen parkeermetersrestauranttafels en in hotelkamers.
Nietsvermoedende mensen scannen vervolgens deze QR-codes, zonder te beseffen dat de daarin ingebedde URL naar een nepwebsite leidt die is ontworpen om de echte na te bootsen. Deze vergelijkbare pagina’s zijn ontworpen om de inloggegevens, creditcardgegevens of andere gevoelige gegevens van de gebruiker te stelen.
Als dit veel lijkt op de ouderwetse phishing waarmee we sinds het begin van het internet te maken hebben gehad, komt dat omdat het zo is: het is zojuist bijgewerkt voor een wereld met QR-code, vandaar de term ‘quishing’.
Hoe u uzelf kunt beschermen tegen valse QR-codes
Quishing wordt een groeiend probleem, maar er zijn manieren waarop u uzelf ertegen kunt beschermen.
De eerste is het aannemen van een gezonde scepsis over QR-codes. Het feit dat er een QR-code op het nachtkastje van uw hotelkamer, onder de parkeermeter of in een e-mail staat die van uw bank lijkt te komen, betekent niet dat deze goedaardig is. Als u dat begrijpt, is dit uw eerste stap om uzelf te beschermen.
De volgende stap is het zorgvuldig onderzoeken van QR-codes voordat ze worden gescand. Fraudeurs plaatsen vaak valse QR-codes over echte QR-codes in de fysieke wereld. Neem dus, voordat u een QR-code op een restauranttafel scant, even de tijd om deze te inspecteren op tekenen die erop kunnen wijzen dat het mogelijk een sticker is die de authentieke code bedekt. Zoek naar ruwe randen, scheuren of zwarte vierkanten van een diepere QR-code die door de witte ruimte heen zichtbaar is, omdat deze erop kunnen wijzen dat de QR-code niet geschikt is om te scannen.
Wees ook uiterst voorzichtig met QR-codes die u in e-mails ontvangt, vooral van afzenders die zich voordoen als uw financiële instelling of de online diensten die u gebruikt – en vooral als die e-mails berichten bevatten die taal gebruiken als ‘scan de code nu om uw account te beveiligen’. Oplichters vertrouwen op de urgentie om mensen te dwingen snel hun inloggegevens op nepwebsites in te voeren – inloggegevens die de oplichters vervolgens zullen gebruiken om toegang te krijgen tot uw accounts op de echte website.
Voer ten slotte nooit informatie in op een webpagina die is geladen vanaf een gescande QR-code zonder eerst de URL handmatig in uw webbrowser te controleren. De website lijkt misschien op het inlogscherm van uw bank, maar een frauduleuze website heeft een URL die niet overeenkomt met het adres van de authentieke website. Als u twijfelt of een URL authentiek is, kunt u het beste een ander browservenster openen, een Google-zoekopdracht uitvoeren naar de betreffende site en op de link klikken die Google u geeft.
