Een QR-code voelt modern, snel en frictieloos. U scant, de juiste pagina opent en u gaat verder. Juist daar zit het probleem: een QR-code haalt een belangrijke controle weg. Bij een gewone link kunt u nog even kijken waar die naartoe leidt. Bij een QR-code doet bijna niemand dat rustig genoeg.
Safeonweb noemde dat al bij zijn eerste waarschuwingen bijzonder gevaarlijk. De federale politie gebruikt intussen zelfs het woord quishing voor QR-phishing, onder meer na fraude met stickers op Brusselse parkeermeters.
Waarom QR-codes meer vertrouwen krijgen dan ze verdienen
Een QR-code lijkt neutraal. Er staat geen dreigende tekst in, geen vreemde afzender en geen lang webadres vol rommel. Daardoor voelt de stap kleiner dan ze is.
Toch is een QR-code in essentie gewoon een andere ingang naar:
- een phishingwebsite;
- een valse betaalpagina;
- een nep-inlogscherm;
- of zelfs een schadelijke download.
Febelfin waarschuwt expliciet dat quishing u naar een phishingwebsite kan sturen of malware kan laten installeren op uw toestel.
Drie plaatsen waar QR-fraude het vaakst misgaat
In berichten over geld of terugbetalingen
Dat kan een mail, sms of WhatsApp-bericht zijn over een compensatie, een levering of een administratieve stap. Zodra het bericht u laat scannen om sneller iets te regelen, probeert het vaak snelheid boven controle te zetten.
In het straatbeeld
Parkeerautomaten, affiches en loketten lijken betrouwbaar omdat ze fysiek aanwezig zijn. Net daarom werken overkleefde of valse QR-stickers zo goed. De federale politie raadt zelfs aan om letterlijk te kijken of er geen sticker bovenop een bestaande code kleeft.
In betaalflows die al vertrouwd aanvoelen
Pakjes, tweedehandsverkoop, kleine supplementen of "bevestig even uw betaalmethode": dat zijn allemaal contexten waarin mensen denken dat ze nog maar een gewone laatste stap zetten. In werkelijkheid starten ze soms een heel nieuwe, valse flow.
Wat u wel controleert voor u scant of betaalt
Een veilige reflex bij QR-codes is niet ingewikkeld, maar wel bewust:
- Vraag eerst of u deze stap uberhaupt verwachtte.
- Kijk waar u belandt voor u iets invult.
- Gebruik liever de officiele app of website die u al kent.
- Scan geen code in een bericht alleen omdat de tekst dringend klinkt.
Twijfelt u in een publieke ruimte? Dan is zelf zoeken of zelf openen bijna altijd veiliger dan scannen.
Wanneer het na een scan echt dringend wordt
Niet elke scan is meteen een ramp. Het wordt vooral dringend als u daarna ook nog iets deed:
- u gaf bank- of kaartgegevens door;
- u logde in;
- u bevestigde een betaling;
- u installeerde een app of bestand.
Dan moet u niet meer redeneren alsof het alleen om een QR-code ging. Dan gaat het over betaling, accounttoegang of toestelbeveiliging. In dat soort gevallen horen uw volgende stappen thuis bij uw bank, Card Stop of de officiele hulproute.
Wat u best onthoudt
QR-fraude werkt niet omdat QR-codes technisch slim zijn, maar omdat ze vertrouwde controle overslaan.
Onthoud vooral dit:
- een QR-code is geen garantie op veiligheid;
- scannen is ook een klik, alleen minder zichtbaar;
- hoe sneller de flow moet gaan, hoe voorzichtiger u moet worden;
- zelf openen blijft veiliger dan blind scannen.
