QR-codes zijn een gemak van het moderne leven geworden. Scan gewoon een zwart-witmozaïek met de camera van uw telefoon en u kunt alles doen, van verbinding maken met de Wi-Fi van uw hotelkamer tot betalen voor een openbare parkeerplaats en het openen van een restaurantmenu.
Maar QR-codes kunnen je ook kwetsbaar maken. Dit komt omdat fraudeurs, georganiseerde criminele bendes en onverantwoordelijke landen deze eenvoudige technologie gebruiken om u onbewust uw gegevens te laten overhandigen. Hier leest u hoe ze het doen en hoe u uzelf kunt beschermen.
Mensen houden van het gemak van QR-codes, en dat geldt ook voor oplichters
Het is moeilijk te geloven dat er iets kwaadaardigs in een QR-code kan zitten, maar het blijkt wel zo te zijn. Om te begrijpen waarom, helpt het om te weten hoe QR-codes werken. QR-codes, een afkorting voor ‘quick response code’, zijn in wezen een meer geavanceerde versie van de UPC ‘barcodes’ die al tientallen jaren op verpakte producten worden aangetroffen.
Een ouderwetse UPC-code (afkorting van ‘universele productcode’) is een eendimensionale afbeelding die bestaat uit verticale balken van verschillende breedtes die verschillende cijfers vertegenwoordigen. Wanneer een barcode wordt gescand, worden de cijfers gelezen en vergeleken met een database om het gerelateerde product te identificeren.
QR-codes zijn tweedimensionale afbeeldingen met glyphs van verschillende groottes waarin niet alleen cijfers, maar ook tekst zijn opgeslagen. Wanneer uw telefoon wordt gescand, extraheert deze gecodeerde informatie en kan op basis van die informatie acties ondernemen. QR-codes bevatten bijvoorbeeld vaak een URL, waardoor u bijvoorbeeld een parkeermeter kunt scannen om een webpagina te openen waar u online kunt betalen.
Dit is natuurlijk veel handiger dan handmatig de URL in de browser van uw telefoon te typen om de afrekenpagina te laden. Toch wordt ons verlangen – en onze onvoorwaardelijke aanvaarding – van dit gemak nu uitgebuit door fraudeurs via wat bekend staat als ‘vragen.”
De dreiging van quishing neemt toe
Steeds meer mensen uit fraudeur naar natiestaat proberen te profiteren van onze bereidheid om QR-codes te gebruiken. Ze doen dit door er kwaadaardige links in te integreren en deze via e-mail naar iemand te sturen, waarbij ze vaak beweren dat ze afkomstig zijn van een bank of een online dienst die ze gebruiken. Als alternatief is het bekend dat bepaalde kwaadwillende actoren QR-codes met ingebedde kwaadaardige links afdrukken en deze fysiek bovenop de originele QR-code plaatsen parkeermeterrestauranttafels en in hotelkamers.
Nietsvermoedende mensen scannen vervolgens deze QR-codes, zich er niet van bewust dat de URL’s die erin zijn ingebed naar frauduleuze sites leiden die zijn ontworpen om het echte werk te imiteren. Deze vergelijkbare sites zijn ontworpen om de inloggegevens, creditcardgegevens of andere gevoelige gegevens van gebruikers te stelen.
Als dit veel lijkt op de ouderwetse phishing waarmee we sinds het ontstaan van het internet te maken hebben gehad, komt dat doordat deze phishing zojuist is bijgewerkt voor een wereld met QR-codes, vandaar de term ‘quishing’.
Hoe u uzelf kunt beschermen tegen valse QR-codes
Quishing wordt een steeds groter probleem, maar er zijn manieren om jezelf ertegen te beschermen.
De eerste is het aannemen van een gezonde scepsis ten aanzien van QR-codes. Het feit dat een QR-code op het nachtkastje van uw hotelkamer, onder de knop van de parkeermeter of in een e-mail staat die van uw bank lijkt te komen, betekent niet dat deze onschadelijk is. Dit begrijpen is uw eerste stap om uzelf te beschermen.
De volgende stap is om de QR-code zorgvuldig te controleren voordat u deze scant. Fraudeurs plaatsen in de fysieke wereld vaak valse QR-codes bovenop echte QR-codes. Neem dus, voordat u een QR-code op een restauranttafel scant, even de tijd om te controleren of er tekenen zijn dat het mogelijk een sticker is die de echte code bedekt. Zoek naar ruwe randen, scheuren of zwarte vierkanten van diepere QR-codes die door de witte ruimte heen zichtbaar zijn, omdat deze erop kunnen wijzen dat de QR-code niet de QR-code is die u moet scannen.
Wees ook op uw hoede voor QR-codes die u in e-mails ontvangt, vooral van afzenders die beweren een financiële instelling of online dienst te zijn die u gebruikt, en vooral als de e-mail een bericht bevat waarin taal wordt gebruikt als ‘scan de code nu om uw account te beveiligen’. Fraudeurs vertrouwen op urgentie om mensen te dwingen haastig hun inloggegevens op een nepwebsite in te voeren; een login die de fraudeur vervolgens zal gebruiken om toegang te krijgen tot uw account op de echte website.
Voer ten slotte nooit informatie in op een webpagina die is geladen vanaf een gescande QR-code zonder eerst de URL handmatig in uw webbrowser te controleren. De webpagina lijkt misschien op het inlogscherm van uw bank, maar de frauduleuze website heeft een URL die niet overeenkomt met het echte websiteadres. Als u twijfelt of een URL echt is, kunt u het beste een ander browservenster openen, op Google naar de betreffende website zoeken en op de link klikken die Google u geeft.
