QR-code: Snelle reactie of zijn er risico's?

Aangemaakt op 7 November, 2022 | QR-code |   | in 5 minuten gelezen

Wij leggen je uit hoe je kunt voorkomen dat je wordt misleid door QR-codes

Je komt QR-codes regelmatig tegen, dit kan zijn op product verpakkingen, websites, en acties, maar ook op facturen en krasloten. QR-codes worden gebruikt om websites te openen, apps te downloaden, spaarpunten te verzamelen, betalingen te verrichten en geld over te maken aan goede doelen. De toegankelijke en praktische technologie is handig voor velen, inclusief, zoals altijd voor cybercriminelen. De creativiteit van criminelen kent geen grenzen en zij hebben al een verscheidenheid aan QR-gebaseerde toepassingen bedacht en veel mensen en bedrijven zijn hier al de dupe van. Hier lees je wat er mis kan gaan met die zwart-witte vierkantjes die je overal kunt tegen komen, en hoe je ze zonder angst en met een beetje waakzaamheid kunt gebruiken.


Wat zijn QR-codes en hoe worden ze gebruikt

Tegenwoordig bezit bijna iedereen een smartphone. Veel van de nieuwste modellen hebben een ingebouwde QR-scanner (wordt geactiveerd zodra de camera aan staat), maar je kan ook een app downloaden die QR-codes leest, of kiezen voor een speciale app die gebouwd is voor bijvoorbeeld een museum.

Om een QR-code te scannen, activeert de gebruiker de camera of een scanner-app en richt de camera van de telefoon op de code. Meestal vraagt de smartphone dan om naar een bepaalde website te gaan of een app te downloaden. Er zijn echter ook andere opties, waar we zo op terugkomen.

Er zijn ook gespecialiseerde scanners die geschikt zijn om specifieke set QR-codes uit te lezen. Zo'n code kun je bijvoorbeeld vinden op een bord van een historisch belangrijke boom in een park, in welk geval het scannen ervan met de officiële app van het park een rondleiding kan starten, terwijl een standaard scanner gewoon een beschrijving op de website van het park zou openen.

Bovendien kunnen sommige apps QR-codes maken om bepaalde informatie te geven aan iedereen die ze scant. Ze kunnen bijvoorbeeld de naam en het wachtwoord van je gast-Wi-Fi-netwerk ontvangen, of bankrekeninggegevens.


Hoe cybercriminelen QR-codes gebruiken

QR-codes zijn gewoon een meer geavanceerde versie van streepjescodes, dus wat kan er misgaan? Genoeg, zo blijkt. Mensen kunnen niet zomaar QR-codes lezen of op een andere manier vooraf controleren wat het scannen ervan zal doen, dus vertrouwen we op de integriteit van de makers ervan. We kunnen ook niet alles weten wat een QR-code bevat, zelfs niet als we onze eigen QR-code maken. Het systeem is zeer kwetsbaar.


Fake links

Een door cybercriminelen gemaakte QR-code kan verwijzen naar een phishingsite die eruitziet als de inlogpagina van een sociaal netwerk of online bank. Daarom raden wij aan links altijd te controleren voordat je erop klikt. Een QR-code biedt een dergelijke toegankelijkheid echter niet. Bovendien gebruiken aanvallers vaak korte links (short-links), waardoor het moeilijker is om een vervalsing te herkennen wanneer de smartphone om bevestiging vraagt.

Soortgelijke toepassingen kunnen gebruikers verleiden tot fouten bij het downloaden van apps, bijvoorbeeld door malware te downloaden in plaats van het bedoelde spel of kortingscode. Zodra de malware is geïnstalleerd zijn de mogelijkheden onbeperkt; malware kan wachtwoorden stelen, schadelijke berichten naar uw contacten sturen en nog veel meer.


QR-gecodeerde opdrachten

Behalve een link naar een website kan een QR-code ook een opdracht bevatten om bepaalde acties uit te voeren. Ook hier zijn de mogelijkheden onbeperkt; wat hieronder volgt is slechts een voorproefje:

  • Een contactpersoon toevoegen;
  • Een uitgaand gesprek voeren;
  • Een e-mail opstellen en de ontvanger en het onderwerp invullen;
  • Een tekst verzenden;
  • Jou locatie delen met een app;
  • Een social media account aanmaken;
  • Een kalendergebeurtenis plannen;
  • Een gewenst Wi-Fi-netwerk toevoegen met referenties voor automatische verbinding.

Het voordeel van QR-codes is, dat veel voorkomende handelingen worden geautomatiseerd. Door een QR-code te scannen kun je bijvoorbeeld contactgegevens van een visitekaartje toevoegen, betalen voor parkeren of toegang verlenen tot een wifi-netwerk voor gasten.

De uitgebreide mogelijkheden maken QR-codes zeer geschikt voor manipulatie of oplichting. Oplichters kunnen bijvoorbeeld hun contactgegevens aan jou adresboek toevoegen onder de naam "Bank" om geloofwaardigheid te verlenen aan een oproep om je op te lichten. Of een gratis nummer bellen. Of uitzoeken waar je nu bent.


Hoe cybercriminelen QR-codes maskeren

Als criminelen je willen schaden met behulp van een QR-code, moeten ze je eerst overhalen om de QR-code te scannen. Daarvoor hebben ze een paar trucjes.

Kwaadaardige bronnen. Cybercriminelen kunnen een QR-code met een speciale-link naar hun landingspagina plaatsen op een website, in een banner, in een e-mail of zelfs in een papieren advertentie. Het doel is meestal om het slachtoffer een kwaadaardige app te laten downloaden. In veel gevallen worden de logo's van Google Play en App Store naast de code geplaatst voor extra geloofwaardigheid.

Vervangen van een origineel. Het is niet ongebruikelijk dat aanvallers meeliften op het werk en de reputatie van legitieme partijen en een echte QR-code op een poster of bord vervangen door een valse.

Overigens blijft QR-code-bedrog niet beperkt tot cybercriminelen; gewetenloze sociale activisten zijn begonnen met het vervangen van QR-codes om hun ideeën te verspreiden. In Australië bijvoorbeeld werd onlangs een man gearresteerd omdat hij zou hebben geknoeid met de QR-codes op incheckborden in COVID-19-centra, zodat ze bezoekers naar een anti-vaccinatie website leidden.

Ook hier zijn de mogelijkheden vrijwel onbeperkt. QR-codes komen vaak voor op facturen, pamfletten, publicatieborden en bijna overal waar je informatie of instructies verwacht.


Hoe kan je QR-codes veilig gebruiken

Volg voor de veiligheid een paar eenvoudige regels bij het gebruik van QR-codes:

  • Scan geen QR-codes van duidelijk verdachte bronnen;
  • Let bij het scannen van de code op de weergegeven links. Wees vooral op je hoede als de URL is ingekort (short-links), want bij QR-codes is er geen dwingende reden om een link in te korten. Gebruik in plaats daarvan een zoekmachine of een officiële winkel om te vinden wat u zoekt;
  • Doe een snelle fysieke controle voordat je een QR-code op een poster of bord scant om er zeker van te zijn dat de code niet over de oorspronkelijke afbeelding is geplakt;
  • Gebruik een programma zoals Kaspersky's QR Scanner (beschikbaar voor Android en iOS) dat QR-codes controleert op schadelijke inhoud.


Belangrijke tip!

QR-codes kunnen ook waardevolle informatie bevatten, zoals e-ticketnummers, plaats nooit documenten met QR-codes op sociale media.

Blijf altijd alert bij welke informatie je ook scant of op welke link in een mail klikt, ga met je muis boven de link staan en controleer de link, als deze niet overeenkomt met de verzender klik dan NIET op de link!!

Bijgewerkt op 7 November, 2022