Toename in fraude met QR-codes

Man scant een QR-code met zijn smartphone op zijn computermonitor

Cybercriminelen gaan creatief te werk om geld te plunderen van nietsvermoedende slachtoffers. Een oplichtingstruc die de laatste weken regelmatig wordt gebruikt, is de malafide QR-code. Het gevaar van deze methode is dat je vooraf niet kunt zien welke informatie in een QR-code is verstopt. Daarnaast verschijnen de codes zowel digitaal als offline in communicatie die afkomstig lijkt van betrouwbare partijen, waaronder banken.

Dat blijkt uit onderzoek van Daniël Verlaan, techjournalist bij RTL Nieuws.

De gevaren van QR-codes

Een Quick Response of QR-code is een soort van digitaal streepjescode die mobiele apparaten kunnen uitlezen. Je pakt je smartphone, opent de camera-applicatie, scant de code en je wordt doorgeleid naar een vooraf ingestelde website. Grote voordeel is dat je niet langer de URL handmatig hoeft in te voeren, maar direct wordt doorgestuurd naar de site. Niet voor niets komen we ze overal nergens tegen, zoals in reclamefolders en tijdschriften, op producten in de supermarkt, op visitekaartjes, en ga zo maar door.

QR-codes worden niet alleen door adverteerders en producenten gebruikt: cybercriminelen hebben bedacht dat je ze ook voor oplichting kunt gebruiken. Daarin schuilt een groot gevaar. Om te beginnen zie je niet wat voor site en informatie er in een QR-code is verstopt. Bij traditionele vormen van phishing zie je naar welke pagina je wordt doorgestuurd. Je kunt dan voor jezelf nagaan of deze site betrouwbaar is of niet. Bij QR-codes kan dat niet, zeker niet als ze diensten als tiny.cc of s.id gebruiken. Malafide links kunnen hiermee worden getransformeerd in URL’s die legitiem lijken, bijvoorbeeld s.id/[naam-bank]-nieuwe-bankpas.

Het tweede gevaar heeft te maken met het apparaat waarmee je QR-codes scant: je smartphone. Mobiele telefoons hebben een relatief klein scherm, zeker als je het display vergelijkt met dat van een computermonitor of laptopscherm. Door het kleine scherm is het een stuk lastiger om phishingwebsites te herkennen. Tot slot zien we QR-codes door de coronapandemie op steeds meer plekken opduiken (testbewijzen, terrassen). Daardoor zijn we gewend geraakt aan en vertrouwd geraakt met het fenomeen, en daar spelen criminelen op in.

Zo misbruiken cybercriminelen QR-codes

De laatste tijd neemt betaalfraude met QR-codes toe. “Het gebruik van een QR-code als phishinglink zien wij pas sinds half april van dit jaar en is dus voor ons vrij nieuw”, zo bevestigt Marloes Kolthof, directeur van de Fraudehelpdesk tegenover RTL Nieuws. Malafide QR-codes zijn te vinden in phishingmails en -brieven. Deze zien er authentiek en betrouwbaarheid uit, omdat ze je persoonlijke gegevens bevatten. Deze data is veelal afkomstig van datalekken en is vaak tegen een kleine prijs te koop. In werkelijkheid zijn de mails en brieven afkomstig van gewiekste cybercriminelen en oplichters.

In de e-mail of brief staat bijvoorbeeld dat iemand een nieuwe bankpas moet aanvragen. Hiervoor hoeft hij zogenaamd alleen de QR-code te scannen en zijn gegevens in te vullen. Met deze informatie proberen boeven toegang te krijgen tot je bankrekening en al je zuurverdiende spaarcenten te stelen.

Een andere smoes die veel wordt gebruikt, is dat de Android-app is vernieuwd en dat je via de QR-code de nieuwste versie kunt downloaden. Als je deze op je smartphone installeert, haal je een virus of andere malware binnen. Mocht je op deze manier de app hebben gedownload, dan is er maar één oplossing: je telefoon terugzetten naar de fabrieksinstellingen. Een woordvoerder van ING zegt deze methode te herkennen. Hij benadrukt dat de bank nooit om inloggegevens, pincodes of andere beveiligingscodes vraagt per brief, sms, e-mail of telefonisch.

‘Goud waard voor criminelen’

Dave Maasland van cybersecuritybedrijf ESET erkent dat we door de coronacrisis vertrouwd zijn geraakt met QR-codes. “Die combinatie, het gemak en vertrouwen, is goud waard voor criminelen”, waarschuwt hij. Volgens hem zijn veel mensen zich niet bewust van het feit dat QR-codes misbruikt kunnen worden door fraudeurs.

Mocht je het slachtoffer zijn geworden van fraude door QR-codes? Doe dan aangifte, zo adviseert de politie. “Dat helpt ons om de omvang in te kunnen schatten, netwerken in kaart te brengen, het verdienmodel te verstoren en verdachten in beeld te krijgen”, zo laat de politie weten aan RTL Nieuws.

Wil je meer lezen over fraude met QR-codes? Lees dan ons achtergrondartikel ‘QR-code fraude: wat is het en hoe voorkom je het?’

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen