QR-codes en phishing: waarom dat sticker-trucje op je parkeermeter ook jouw kantoor raakt

QR-codes zitten overal: op menukaarten, parkeerautomaten en facturen. Maar criminelen plakken er steeds vaker een eigen sticker overheen. Zo herken je het en zo bescherm je je team.

Een paar jaar geleden was een QR-code nog iets uit een reclame. Nu scan je er een om te parkeren, om af te rekenen op een terras, om in te loggen op een gastnetwerk en om een factuur te betalen. Heel handig. Maar precies dat gemak maakt het ook een aantrekkelijk doelwit voor oplichters. De truc heet inmiddels quishing (QR + phishing) en hij raakt het MKB harder dan je zou denken.

Wat is quishing precies?

Bij quishing zit de boobytrap niet in een linkje in een mail, maar in een QR-code. Die code stuurt je naar een nepwebsite die er identiek uitziet als je bank, je betaaldienst, je Microsoft-login of je leverancier. Je vult je gegevens in en de oplichter logt mee.

Wat het zo lastig maakt: een QR-code is gewoon een blokje pixels. Je kunt er met het blote oog niet aan zien waar hij heen leidt. En omdat je hem met je telefoon scant — vaak buiten kantoor, vaak in een haastig moment — schakelt je gezonde achterdocht uit.

Drie scenario's die we de afgelopen maanden zagen

1. De sticker op de parkeerautomaat

In meerdere steden zijn QR-stickers van fraudeurs over de echte parkeer-QR geplakt. Wie scande, kwam op een nep-betaalpagina en gaf inloggegevens van zijn bank weg. Voor een ondernemer die snel een klant bezoekt: zo gebeurd.

2. De factuur met de "handige" betaal-QR

Een Nederlandse leverancier zet tegenwoordig vaak een iDEAL-QR op de factuur. Fraudeurs hebben dat overgenomen: ze onderscheppen een echte factuur, vervangen de QR-code door hun eigen, en sturen hem opnieuw. De rest van de factuur klopt — alleen het IBAN achter de QR niet.

3. De "MFA-resetten"-mail

Een mail die lijkt op een berichtje van Microsoft 365: "Uw tweestapsverificatie moet opnieuw worden ingesteld, scan deze QR met uw telefoon." De code leidt naar een nep-loginscherm. Omdat het op je telefoon opent (en niet op je laptop), zie je de filters van je werkmail niet, en heb je geen URL-balk die je gewend bent te checken.

Waarom QR-codes lastiger zijn dan gewone phishing

• Je springt van apparaat naar apparaat. Mail op laptop → scan met telefoon. Je verlaat de beveiligingslaag van je kantoor.
• URL's zijn moeilijk leesbaar op mobiel. Een lange link met microsft-login.xyz ertussen zie je op een klein scherm niet snel.
• Scanners openen direct. Veel telefoons openen de link automatisch zonder voorvertoning.
• Stickers zijn fysiek. Geen spamfilter ter wereld die een sticker op een paaltje tegenhoudt.

Wat je deze week kunt doen — zonder IT-afdeling

Zet je telefoon op "URL eerst tonen"

Op de meeste iPhones en Android-toestellen kun je instellen dat de camera bij een QR-code eerst de link laat zien voordat hij opent. Doe dat. Eén tik extra, maar je ziet of er tikkie.me staat of tikkie-betalen.support.

Spreek één regel af voor betalingen

Betaal nooit een factuur via een QR-code zonder dat iemand het IBAN er los naast heeft gezien. Dat geldt vooral bij nieuwe leveranciers of gewijzigde rekeningnummers. Twijfel je over een IBAN? Check 'm even via onze IBAN-check — die haalt direct de bank en het land erbij, zodat je een nep-rekening sneller herkent.

Geen logins via QR

Maak van deze een harde huisregel: je logt nooit in op een zakelijke dienst via een QR-code die je per mail kreeg. Microsoft, je boekhoudpakket en je bank gaan dat nooit zo vragen. Login altijd via je eigen bookmark of door de URL zelf in te typen.

Bekijk fysieke QR-codes met argwaan

Sticker over een sticker? Twijfel. Liever een paar minuten extra parkeerkosten dan een leeggehaalde rekening. Bij de buurman betalen lukt ook nog gewoon met de pinpas of in de app.

Train je team kort

Je hoeft hier geen uur over te vergaderen. Vijf minuten aan de koffietafel: laat deze drie voorbeelden zien, leg uit waarom QR-phishing eigenlijk gewone phishing in vermomming is, en spreek de regels hierboven af. Klaar.

En als het tóch misgaat?

Heeft iemand op kantoor zijn inloggegevens ingevuld op een nepsite na het scannen van een QR-code? Doe dit dan vandaag nog:

1. Wachtwoord direct wijzigen, en op alle plekken waar dat wachtwoord nog werd gebruikt.
2. Tweestapsverificatie controleren. Staat er een onbekend toestel? Verwijderen.
3. Recent verzonden mail en aangemaakte regels in de mailbox bekijken — fraudeurs zetten vaak doorstuurregels neer.
4. Bij betaling: bel de bank en meld het bij de Fraudehelpdesk.

Wil je de basis op orde brengen voordat er iets misgaat? Onze diensten 2FA implementeren en mail-beveiliging sluiten de meest gebruikte gaten waar quishing doorheen kruipt. Begin daar — een sticker op een paaltje krijg je niet weg, maar een onbeveiligde mailbox wel.