De gevaren van quishing:
bescherm jouw kredietinformatie

In coronatijden brak het scannen van een QR-code door als dé oplossing om mensen snel, correct en vooral contactloos naar de juiste URL's te loodsen. Parkeren? QR-code scannen om de app te downloaden. Restaurantbezoek? QR-code scannen voor de menukaart. Maar ook betalingen gebeuren steeds vaker via een QR-code. Je neemt een foto met je smartphone en landt meteen op de juiste plek, bij het juiste bedrag en de juiste gegevens van een verkoper.

Toch? Meestal. Niet altijd. Oplichters gebruiken steeds vaker QR-codes om malafide apps te installeren op smartphones of om mensen persoonlijke gegevens – en dan vooral kredietinformatie – te ontfutselen. Phishing aan de hand van QR-codes dus. Ook wel quishing genoemd.

De FOD Economie waarschuwde recent nog dat steeds meer mensen het slachtoffer worden van quishing. Het goede nieuws? Als je bewust omgaat met QR-codes kan je heel wat leed vermijden. Dit artikel geeft je alle informatie en de tips die je nodig hebt om niet in de problemen te komen.

Wil jij niet in de statistieken van de quishing-slachtoffers terechtkomen? Zeker lezen!

Wat is quishing?

Quishing - de combinatie van phishing en QR-code - is een phishingaanval waarbij QR-codes gebruikt worden om mensen te misleiden. Eenvoudig gezegd proberen oplichters hun slachtoffers een QR-code te laten scannen. Slagen ze daarin, dan leiden ze hun slachtoffers naar een phishing-website of worden er meteen kwaadaardige softwareprogramma's geïnstalleerd op hun smartphone.

Net zoals alle vormen van phishing is quishing een groot risico voor iedereen die vandaag online financiële transacties doet. Zowat iedereen kan slachtoffer worden.

Hoe werkt quishing?

De aanpak is verontrustend eenvoudig en daarom ook zo doeltreffend. Dit zijn de vijf fasen van een succesvolle scam.

Stap 1: De QR-code maken

Quishing begint met een oplichter die een QR-code aanmaakt. Die leidt naar een valse pagina die er echt uitziet en waar je aangespoord wordt om persoonlijke informatie, logingegevens en kredietinformatie te delen.

Of…je wordt niet naar een pagina geleid, maar activeert een kwaadaardig softwareprogramma dat onmiddellijk begint te downloaden nadat de QR-code wordt gescand.

Stap 2: Slim delen

De oplichter plaatst deze QR-code op een openbare plaats (in de supermarkt bij de zoekertjes bijvoorbeeld). Of hij bezorgt zijn slachtoffers de QR-code persoonlijk via steeds ingenieuzere mailings, sms-berichten of socialemediaberichten.

Stap 3: Het slachtoffer scant de code

Als onoplettend slachtoffer scan je de QR-code met jouw smartphone en kom je terecht op een pagina – schijnbaar van een vertrouwde instantie, maar eigenlijk van de oplichter – waar je wordt gevraagd om jouw persoonlijke gegevens of kredietinformatie in te voeren.

Stap 4: Meteen toeslaan of social engineering

De hacker gaat verder aan de slag met jouw persoonlijke informatie. Ofwel heeft hij alles in handen om je meteen op te lichten, ofwel gebruikt hij de info die je deelde voor social engineering. Dat is een techniek waarbij de hackers jouw gegevens gebruiken om je nog persoonlijker te kunnen benaderen en je vervolgens nog beter te misleiden.

Hoe? Bijvoorbeeld door je valse facturen of aanslagbiljetten te sturen die er zo echt en gedetailleerd uitzien dat je ze betaalt. Of ze hacken jouw mailbox met behulp van de malware die ze installeerden, lezen jouw mails en doen zich met een bijna identiek mailadres voor als de tuinman waarmee je al een tijdje in gesprek was. En ze vragen in naam van die tuinman een voorschot voor de tuinwerken. Bestemming van dat voorschot? Hun eigen rekening.

Stap 5: Het later nog eens proberen

Ben je het slachtoffer van phishing of quishing? Soms blijft het niet bij één poging. De FOD Economie waarschuwt dat gegevens die op deze manier gestolen worden, soms jarenlang worden bewaard in databanken waardoor je zelfs lang nadat je het slachtoffer werd erg waakzaam moet blijven.

Tekenen van een poging tot quishing

Het Centrum voor Cybersecurity meldt dat er in 2023 bijna 10 miljoen verdachte mails gerapporteerd en doorgestuurd werden naar verdacht@safeonweb.be. Stuk voor stuk mails waarvan ze vermoedden dat het om phishing-mailtjes ging. Heel wat mensen laten zich dus niet meer vangen als ze een verdachte mail krijgen. Minder positief is dat het aantal mensen dat met quishing verleid wordt, steeds toeneemt.

Quishing checklist: de meest voorkomende boodschappen om je in de val te lokken

Deze lijst geeft een overzicht van de meest voorkomende verhalen en valstrikken die hackers gebruiken om je aan te sporen om hun QR-code te scannen:

• Overheidsinstanties: erg veel berichten lijken van overheidsdiensten te komen. Wees dus erg alert als je een bericht krijgt van de FOD Financiën, de Pensioendienst, de FOD Justitie, ... Oplichters lokken je in de val met dringende informatie die nodig is om jouw dossier in orde te brengen. Of terugbetalingen uit te voeren waarvoor ze jouw gegevens nodig hebben.
• Klantendiensten: bij quishing doen oplichters soms ook alsof ze medewerkers zijn van de klantendienst van een groot bedrijf. Een veelvoorkomende scam? Je vragen om jouw logingegevens te delen om jouw identiteit te bevestigen.
• Politie: volgens het Centrum voor Cybersecurity scoren boodschappen waarin oplichters zich voordoen als de Federale Politie of Europol ook erg goed. Bijvoorbeeld door mensen bang te maken met berichten over onderzoek naar zedenfeiten. En uiteraard werken valse berichten over overtredingen en meteen te betalen boetes ook goed.
• Banken, telecomoperatoren, internetproviders, energieleveranciers en het authenticatieplatform Itsme^® worden ook vaak nagebootst door criminelen. Het nabootsen van banken, financiële instellingen en kredietverstrekkers is voor criminelen uiteraard extra interessant omdat ze op die manier meteen recht op hun doel, jouw financiën, kunnen afgaan.
• Sociale media: krijg je het warm bij de melding dat jouw Facebook-account zal geschrapt worden? Je bent niet alleen. Deze wordt dan ook vaak gebruikt door hackers.
• Jouw werkgever: het is erg eenvoudig te achterhalen voor wie je werkt. Eens de hacker dat weet, kan hij ook jouw werkgever nabootsen en je zo waardevolle informatie of geld afhandig maken.
• Familieleden in de problemen: ken je deze al? Een WhatsApp-berichtje of een sms met deze boodschap: “Mama mijn smartphone is gestolen en ik leen deze van een vriend. Ik heb een dringend probleem.” Ook een erg succesvolle scam om je te laten scannen of klikken.

Er zijn ongetwijfeld nog tientallen andere voorbeelden. Hackers zijn erg creatief. Alles wat jou aanspoort om zonder veel nadenken een QR-code te scannen, is een perfect aanknooppunt voor quishing.

7 tips om een quishing te herkennen

Los van de verhaallijnen die gebruikt worden om je in de val te lokken, zijn er nog een aantal waardevolle tips die ervoor kunnen zorgen dat je nooit het slachtoffer wordt van quishing.

• Urgentie: krijg je boodschappen als 'beperkt aanbod', 'uw account is gehackt' en 'dringende betaling vereist', 'herinnering' of 'terugbetaling' met de vraag om meteen een QR-code te scannen? Dan is de kans groot dat het om valse e-mails gaat. Criminelen maken je met die “dringende boodschappen” bang of heel onvoorzichtig (bijvoorbeeld door een superkorting aan te bieden die maar beperkt geldig is) en rekenen erop dat je de bijgevoegde QR-code dan meteen scant.
• Onbekende afzender: krijg je een bericht of een mail van iemand die je niet kent? Wees dan voorzichtig vooraleer je scant.
• Verdachte URL: check de URL en probeer die te achterhalen voor je scant. Krijg je dan een vreemde link te zien? Neem de tijd om na te gaan of de URL van de pagina matcht met de website van de afzender. Als je bijvoorbeeld ziet dat de QR-code je naar politiebelgium.com wil brengen, kan je er zeker van zijn dat je niet met de Federale Politie te maken hebt, maar met oplichters. Krijg je een verkorte URL die gemaakt is door een URL-shortener? Niet scannen. Oplichters gebruiken vaak verkorte URL’s om hun ware bestemming (een vreemde URL) te verbergen.
• Slechte grammatica: hackers bevinden zich vaak in het buitenland en spreken onze taal niet. Hoewel ze daar met AI-tools als ChatGPT meestal wel een mouw aan passen de dag van vandaag, blijft het toch een goed idee om de grammatica en spelling van berichten goed te checken. Taalfouten? Een ongebruikelijke manier om je aan te spreken? Waakzaam zijn!
• Persoonlijke informatie: financiële instellingen en bedrijven actief in de kredietsector werken hard aan de veiligheid van hun klanten. Jouw bank of kredietinstelling zal je dan ook nooit vragen om een QR-code te scannen en persoonlijke informatie te delen.
• Stickers met een QR-code op een openbare plaats: de kans bestaat dat de hackers hun QR-code over een echte code kleven. Misschien denk je dat je een advertentie in de bus scant om een auto te winnen, maar je komt in werkelijkheid terecht op de pagina van de hacker.
• Rekeningen waarvan je niet op de hoogte was: krijg je plots een dringende aanmaning om een boete te betalen of een rekening te vereffenen waarvan je niet eens op de hoogte was? Niet doen. De kans is groot dat het om phishing of quishing gaat.

Gevolgen van quishing voor jouw Financiële Gezondheid

Gehaaide hackers houden van de waaier aan mogelijkheden die quishing biedt. Het kan leiden tot identiteitsdiefstal, kredietkaartfraude, ransomware-aanvallen, datalekken en enorme financiële verliezen. Niet alleen voor particulieren, maar ook voor organisaties en bedrijven. Een overzicht:

• Identiteitsdiefstal: hackers kunnen quishing gebruiken om persoonlijke informatie te stelen, zoals jouw gebruikersnaam, wachtwoorden en andere gevoelige gegevens. Deze informatie gebruiken ze daarna voor identiteitsdiefstal. Ze nemen online jouw identiteit over om misdrijven te plegen.
• Financieel verlies: quishing is een erg succesvolle manier om toegang te krijgen tot financiële gegevens, zoals kredietkaartinformatie en bankrekeningnummers. Met die informatie krijgen oplichters toegang tot de bankrekeningen van hun slachtoffers en kunnen ze daarnaast nog heel wat andere frauduleuze transacties opzetten.
• Ransomware-aanvallen: met quishing kunnen hackers kwaadaardige software (malware), zoals bijvoorbeeld ransomware, downloaden op de smartphones van hun slachtoffers. Ransomware versleutelt bestanden en vraagt de slachtoffers vervolgens losgeld om de toegang tot de gegevens te herstellen.
• Privacy: met quishing-aanvallen krijgen criminelen toegang tot vertrouwelijke informatie die ze kunnen lekken. Dit kan niet alleen leiden tot financiële schade, maar ook tot enorme reputatieschade voor bedrijven.

De buit varieert van erg veel verschillende kleine geldsommen, tot de nodige data om grotere aanvallen te plegen of meteen erg grote sommen geld. Wat criminelen eruit halen, hangt af van hun aanpak. Eén ding is zeker. Hoe dichter de hackers bij jouw kredietinformatie kunnen komen en jou belangrijke logins en paswoorden kunnen ontfutselen, hoe groter jouw persoonlijke financiële schade als slachtoffer van quishing.

Hoe kan je je beschermen tegen quishing?

Dé gouden tip om niet het slachtoffer te worden van quishing is uiteraard deze:
Ga heel voorzichtig om met jouw financiële gegevens. Krijg je de vraag om gevoelige persoonlijke of financiële informatie te delen? Druk dan bij jezelf even de pauzeknop in en denk na over wat je wil delen en waarom. De oplichters spelen bij phishing en quishing immers in op snelheid en emoties.

Met deze tips ben je nog beter gewapend tegen quishing.

• Gebruik een betrouwbare QR-code scanner: de meeste smartphones kunnen QR-codes scannen met hun camera. Wil je toch een scanner downloaden, zorg dan dat je een betrouwbare app gebruikt. Hackers gebruikten in het verleden al updates van onbetrouwbare apps om malafide software te installeren op smartphones. Zorg er ook voor dat je de URL kunt zien. Ziet die er vreemd uit? Is het een ingekorte URL? Dan kan het om quishing gaan.
• Zorg voor tweestapsverificatie (sterke klantauthenticatie): deze extra laag van beveiliging zorgt ervoor dat hackers niet door de tweede verificatie geraken als je het slachtoffer bent geworden van quishing.
• Zorg dat je smartphone up-to-date is: de apps op jouw toestel regelmatig updaten kan zeker helpen om hackers buiten te houden.
• Vermijd het downloaden van apps en bestanden via QR-codes: ben je geneigd om een QR-code te scannen, maar twijfel je over de echtheid ervan? Denk na over veilige alternatieven. Surf zelf even naar de website van het bedrijf of download apps vanuit jouw vertrouwde app-store.
• Blijf op de hoogte: hackers en cybercriminelen maken vooral misbruik van de onwetendheid van hun slachtoffers. Eén van de meest succesvolle manieren om quishing te bestrijden is op de hoogte blijven. Zo blijf je hackers een stap voor.
• Installeer de safeonweb extensie: de Safeonweb browser-extensie laat je voor elke website die je bezoekt zien of de eigenaar van de website werd goedgekeurd (groen) of niet (oranje).

Case studies

Kan je je nog steeds niet goed voorstellen hoe mensen zich in de val laten lokken? Deze voorbeelden en case studies van quishing tonen aan hoe slim en creatief hackers hun slachtoffers bespelen. En hoe onbeperkt de mogelijkheden zijn.

• Bij een aanval in Amerika deden de hackers zich voor als een bank. Ze stuurden de klanten e-mails met daarin de vraag om dringend akkoord te gaan met het nieuwe privacybeleid van de bank. Daarvoor moesten ze een QR-code scannen. Van zodra de klanten dat deden, werden ze naar een landingspagina geleid die eruitzag als de inlogpagina van de bank. De oogst? Alle gebruikersnamen en logins van die mensen.
• Nog in Amerika kleefden hackers valse QR-codes op betalingsautomaten in een parking. De bestuurders die op deze manier voor hun parkeersessie wilden betalen, kwamen zo terecht op een pagina waar ze al hun kredietkaartinformatie moesten invoeren, waardoor de hackers al die confidentiële informatie in handen kregen.
• Een ander Amerikaans voorbeeld is quishing aan de hand van parkeerboetes. In Atlanta vonden bestuurders valse parkeerboetes onder hun ruitenwisser met daarop een QR-code om de boete snel te kunnen betalen. Bestemming van al dat geld? De rekening van de oplichters.
• In 2022 imiteerden hackers in China het Chinese Ministerie van Financiën in een e-mail. Ze lieten mensen geloven dat ze in aanmerking kwamen voor een nieuwe overheidsbeurs. Om die te krijgen, moesten ze een QR-code scannen op een document in de bijlage van de mail. Op die manier werden de slachtoffers naar een pagina geleid om de aanvraag in te vullen. Inclusief zeer gedetailleerde informatie over hun creditcards en bankrekeningen.

FAQ over quishing en krediet

Hier vind je de antwoorden op de meest gestelde vragen over quishing en krediet.

Is het mogelijk om phishing en quishing geld terug te krijgen?

Onder bepaalde voorwaarden zijn banken verplicht om slachtoffers te vergoeden. Volgens Testaankoop zijn banken bij een niet-toegestane transactie zoals phishing wettelijk verplicht om het bedrag terug te betalen, tenzij de bank kan bewijzen dat die transactie het gevolg is van jouw fraude, opzet of grof nalatig handelen.

Wat doet de bank bij phishing en quishing?

Banken doen erg veel om online fraude te bestrijden. Ze zijn voortaan ook steeds bereikbaar voor slachtoffers van phishing. Belangrijk want hoe sneller je contact opneemt met jouw bank, hoe groter de kans dat ze jou meteen kunnen helpen en de schade beperken.

Wat is phishing of quishing en hoe werkt het?

Phishing is een vorm van online oplichting waarbij hackers proberen persoonlijke informatie te krijgen van hun slachtoffers of meteen malware installeren op jouw pc of smartphone. Quishing is een specifieke vorm van phishing waarbij QR-codes gebruikt worden om slachtoffers naar malafide online omgevingen te brengen.

Wat moet je doen als je slachtoffer bent van phishing of quishing?

Ben je slachtoffer van phishing of quishing? Doe dan zo snel mogelijk aangifte bij de politie. Neem ook meteen contact op met je cardstop en jouw bank en laat je rekening blokkeren. Verzamel zoveel mogelijk bewijs van de feiten, noteer alle gegevens van de oplichters (telefoonnummers, namen, websiteadres, ...) en deel die informatie met verdacht@safeonweb.be.

Hulp nodig of wil je meer tips?

Contacteer ons