Een valse QR-code herkennen (qrishing voorkomen)
Een valse QR-code herken je niet aan het blokjespatroon zelf, want dat ziet er altijd hetzelfde uit. Je herkent hem aan de plek waar hij naartoe leidt. De gouden regel: bekijk altijd de volledige link vóór je hem opent, controleer of het domein klopt, en geef nooit inloggegevens of een betaling op via een code die je niet verwachtte. Zo voorkom je qrishing: phishing via QR-codes.
In dit artikel leg ik uit hoe oplichters QR-codes misbruiken, waar je op let, en welke instelling je telefoon (en QR Toolkit) daarbij helpt.
Wat is qrishing?
Qrishing is phishing via een QR-code. In plaats van een nepmail krijg je een nepcode te zien: op een sticker, een poster, een parkeerautomaat, een “boete” onder je ruitenwisser of in een bericht. Scan je hem, dan kom je op een nagemaakte website die je probeert te laten inloggen of betalen.
QR-codes zijn aantrekkelijk voor oplichters omdat je de bestemming niet ziet voordat je scant. Bij een gewone link kun je het adres lezen; bij een blokjespatroon niet. Daarom verschuift de controle naar het moment ná het scannen: dat is precies waar je moet opletten.
De trucs die oplichters gebruiken
Een paar terugkerende patronen:
- Sticker over een echte code. Bij parkeerautomaten, laadpalen en menukaarten plakken oplichters hun eigen QR over de echte. Visueel zie je niks; de bestemming is een nepbetaalpagina.
- Lookalike-domeinen. De link lijkt op het echte adres maar wijkt subtiel af: een extra woord, een streepje, een andere extensie (
.comin plaats van.nl), of een verdwaalde letter. - Onverwachte codes met urgentie. Een “pakket kon niet bezorgd worden”, een “openstaande boete”, een “account geblokkeerd”. Druk en haast zijn altijd een waarschuwingssignaal.
- Verkorte links. Een korte doorstuurlink verbergt waar je echt terechtkomt. Niet per se kwaadaardig, maar je ziet de eindbestemming niet.
Bekijk altijd de link vóór je opent
Dit is je belangrijkste verdediging. Een goede QR-scanner toont eerst de volledige link en laat jou beslissen of je hem opent.
Let bij die link op:
- Het domein, niet de rest. Lees het deel direct vóór de eerste enkele schuine streep. Bij
bank.nl.veilig-login.com/...is het echte domeinveilig-login.com, nietbank.nl. Dat is dus nep. - De extensie. Verwacht je een Nederlandse organisatie? Dan is
.nllogischer dan een vreemde extensie. Geen garantie, wel een signaal. - Spelfouten en rare tekens. Vreemde tekens, dubbele letters of een merknaam die net verkeerd gespeld is, zijn rode vlaggen.
- De context. Hangt de code op een logische plek? Een losse sticker op een automaat is verdachter dan een code in een officiële brochure.
QR Toolkit toont de link vóór je hem opent. Decoderen gebeurt op je apparaat; de inhoud van een scan verlaat je telefoon niet tenzij je zelf op de link tikt. Zo houd je de keuze in eigen hand.
Wat je nooit doet via een onverwachte code
Ook als een link er overtuigend uitziet, gelden deze grenzen:
- Niet inloggen. Een onverwachte code mag je nooit naar een inlogpagina van je bank, DigiD, e-mail of een webshop sturen. Ga in zulke gevallen zelf naar de site via je browser of de officiële app.
- Niet betalen. Vertrouw geen betaalverzoek dat uit een gescande code rolt, zeker niet bij parkeren of een “boete”.
- Geen app installeren. Stuurt de code je naar een installatie buiten de officiële App Store of Google Play, stop dan meteen.
- Geen gegevens invullen. Geen BSN, geen wachtwoord, geen creditcardnummer op een pagina die je via een onverwachte code bereikte.
Snelle controlelijst
| Check | Veilig | Verdacht |
|---|---|---|
| Link zichtbaar vóór openen | Ja | Code opent meteen iets |
| Domein klopt met de organisatie | Ja | Lookalike of vreemde extensie |
| Code zit op een logische plek | Ja | Losse sticker, lijkt overgeplakt |
| Vraagt om login of betaling | Nee, of via officiële app | Ja, met haast |
| Je verwachtte deze code | Ja | Nee, kwam onaangekondigd |
In NL let de Autoriteit Persoonsgegevens scherp op gegevensverwerking rond QR-codes, en de security-pers schrijft regelmatig over qrishing. Gezond wantrouwen is hier geen overdreven reactie, maar normaal.
Veelgestelde vragen
Is het gevaarlijk om een QR-code te scannen?
Het scannen zelf is doorgaans niet het probleem; het openen van de bestemming wel. Met een scanner die de link eerst toont, kun je controleren waar de code naartoe wijst voordat er iets gebeurt. Open je niets verdachts, dan loop je weinig risico.
Hoe weet ik of een QR-code over een echte is geplakt?
Voel en kijk of er een losse sticker overheen zit, vooral bij parkeerautomaten en laadpalen. Wijkt het materiaal af van de rest, zit er een randje los of staat de code scheef geplakt, wees dan op je hoede. Twijfel je, gebruik dan de officiële app of website in plaats van de code.
Beschermt QR Toolkit me tegen valse codes?
QR Toolkit toont de link vóór je hem opent, zodat je het domein kunt controleren voordat er iets gebeurt. Decoderen gebeurt op je apparaat, zonder tracking. De uiteindelijke beoordeling blijft bij jou: de app helpt je de juiste informatie te zien om een veilige keuze te maken.