QR-codes zijn een gemak van het moderne leven geworden. Scan gewoon het zwart-witmozaïek met de camera van uw telefoon en u kunt alles doen, van verbinding maken met de Wi-Fi van uw hotelkamer tot het betalen voor die openbare parkeerplaats en het weergeven van een restaurantmenu.
Maar QR-codes kunnen u ook kwetsbaar maken. Dat komt omdat oplichters, georganiseerde criminele bendes en duistere natiestaten deze bescheiden technologie gebruiken om u onbewust uw gegevens te laten overhandigen. Hier leest u hoe ze het doen en hoe u uzelf kunt beschermen.
Mensen houden van het gemak van QR-codes, maar dat geldt ook voor oplichters
Het is moeilijk te geloven dat er iets snodes in een QR-code kan zitten, maar dat kan wel. Om te begrijpen waarom, helpt het om te weten hoe een QR-code werkt. Een afkorting voor ‘quick response code’, een QR-code is in wezen een meer geavanceerde versie van de UPC ‘barcodes’ die al tientallen jaren op verpakte producten worden aangetroffen.
Een ouderwetse UPC-code (afkorting van ‘universele productcode’) is een eendimensionale afbeelding die bestaat uit verticale balken van verschillende breedtes die verschillende getallen vertegenwoordigen. Wanneer de barcode wordt gescand, worden de cijfers gelezen en vergeleken met een database om het gerelateerde product te identificeren.
QR-codes zijn tweedimensionale afbeeldingen met glyphs van verschillende groottes die niet alleen cijfers, maar ook tekst bevatten. Wanneer uw telefoon wordt gescand, extraheert deze de gecodeerde informatie en kan hierop actie ondernemen. QR-codes bevatten bijvoorbeeld vaak URL’s, waardoor u bijvoorbeeld een parkeermeter kunt scannen om een webpagina te openen waar u online kunt betalen.
Dit is zeker een stuk handiger dan handmatig een URL in de browser van je telefoon te typen om de betaalpagina te laden. Maar ons verlangen naar – en onze onvoorwaardelijke aanvaarding van – dit gemak wordt nu uitgebuit door oplichters via wat bekend is geworden als ‘quishing.”
De groeiende dreiging van quishing
Steeds vaker komt iedereen uit oplichters naar natiestaten proberen onze bereidheid om QR-codes te gebruiken te exploiteren. Ze doen dit door er kwaadaardige links in te integreren en deze via e-mail naar een persoon te sturen, waarbij ze vaak doen alsof ze afkomstig zijn van hun bank of een online dienst die ze gebruiken. Als alternatief is het bekend dat individuele kwaadwillende actoren QR-codes afdrukken met ingebedde kwaadaardige links en deze fysiek over authentieke QR-codes plaatsen parkeermetersrestauranttafels en in hotelkamers.
Nietsvermoedende personen scannen vervolgens deze QR-codes, zonder te beseffen dat de URL die erin is ingebed, naar een oplichtingssite leidt die is ontworpen om de echte na te bootsen. Deze op elkaar lijkende sites zijn ontworpen om de inloggegevens, creditcardgegevens of andere gevoelige gegevens van de gebruiker te stelen.
Als dit veel lijkt op de ouderwetse phishing waarmee we te maken hebben gehad sinds het ontstaan van het internet, dan is dat omdat het zo is: het is zojuist bijgewerkt voor een wereld met QR-codes, vandaar de term ‘quishing’.
Hoe u uzelf kunt beschermen tegen valse QR-codes
Quishing wordt een steeds groter probleem, maar er zijn manieren waarop u zich ertegen kunt beschermen.
De eerste is door gezond scepticisme aan te nemen over QR-codes. Het feit dat een QR-code op het nachtkastje van de hotelkamer, onder de wijzerplaat van de parkeermeter of in een e-mail die van uw bank lijkt te komen, betekent niet dat deze goedaardig is. Als u dat begrijpt, is dit uw eerste stap om uzelf te beschermen.
De volgende stap is het zorgvuldig onderzoeken van QR-codes voordat ze worden gescand. Oplichters plaatsen vaak valse QR-codes over echte QR-codes in de fysieke wereld. Neem dus, voordat u een QR-code op een restauranttafel scant, even de tijd om deze te inspecteren op tekenen die erop kunnen wijzen dat het mogelijk een sticker is die de authentieke code bedekt. Zoek naar ruwe randen, scheuren of zwarte vierkanten van een diepere QR-code die door de witte ruimte heen zichtbaar is. Deze kunnen erop duiden dat de QR-code niet de code is die u zou moeten scannen.
Wees ook uiterst voorzichtig met QR-codes die u in e-mails ontvangt, vooral van afzenders die zich voordoen als uw financiële instelling of de online diensten die u gebruikt, en vooral als deze e-mails berichten bevatten die taal gebruiken als ‘scan de code nu om uw account te beveiligen’. Oplichters vertrouwen op de urgentie om mensen te dwingen hun inloggegevens haastig in te voeren op nepwebsites. Inloggegevens die de oplichters vervolgens zullen gebruiken om toegang te krijgen tot uw accounts op de echte website.
Voer ten slotte nooit informatie in op een webpagina die is geladen vanaf een gescande QR-code zonder eerst de URL handmatig in uw webbrowser te controleren. De webpagina lijkt misschien op het inlogscherm van uw bank, maar een oplichtingswebsite heeft een URL die niet overeenkomt met het adres van de authentieke website. Als u twijfelt of een URL authentiek is, kunt u het beste een ander browservenster openen, op Google naar de betreffende website zoeken en op de link klikken die Google u geeft.
