Het Internet Crime Complaint Center (IC3) van de FBI waarschuwt voor een nieuwe vorm van oplichting waarbij criminelen pakketten versturen met QR-codes om ontvangers te misleiden. Deze methode, een variant van 'quishing', wordt momenteel vooral in de Verenigde Staten toegepast maar zal zich naar verwachting uitbreiden naar Europa.
Volgens Martin Krämer van beveiligingsbedrijf KnowBe4 gebruiken criminelen in Nederland al langer QR-codes voor frauduleuze doeleinden. Ze leiden slachtoffers via e-mail naar phishingwebsites of installeren ongemerkt malware. Veel beveiligingsprogramma's herkennen QR-codes als onschuldige afbeeldingen, waardoor malafide berichten vaak in de inbox belanden.
De nieuwe tactiek behelst het versturen van fysieke pakketten zonder afzendergegevens, maar wel voorzien van een QR-code. Ontvangers scannen uit nieuwsgierigheid de code en komen terecht op websites die persoonlijke gegevens vragen of hen verleiden tot het downloaden van apps. Hierdoor kan ongemerkt spyware of malware op telefoons worden geïnstalleerd.
Criminelen passen deze methode ook toe op posters en parkeerautomaten. De nieuwe pakketvorm maakt gebruik van de natuurlijke nieuwsgierigheid van mensen die een onverwacht pakket ontvangen zonder duidelijke afzender.
Technische oplossingen bieden beperkte bescherming. Sommige beveiligingsapps zoals Microsoft Defender controleren QR-code bestemmingen en blokkeren bekende kwaadaardige links. Deze systemen herkennen echter alleen bekende dreigingen en kunnen geen volledige garantie bieden tegen nieuwe oplichterswebsites.
Gebruikers moeten daarom zelf waakzaam blijven. Krämer adviseert om altijd de standaard camera-app van de telefoon te gebruiken in plaats van gratis QR-code scanners. Vul nooit persoonlijke gegevens in op websites die via QR-codes worden bereikt zonder eerst de veiligheid te controleren. Bij twijfel is het beter om zelf naar de organisatie-website te gaan of telefonisch contact op te nemen voor verificatie.
Voorlichting over veilig QR-code gebruik is essentieel. Werkgevers kunnen hun verantwoordelijkheid nemen door medewerkers te trainen over oplichtertactieken. Alleen door begrip van misleidingsmethoden kunnen mensen alert blijven en voorkomen dat ze waardevolle informatie aan onbekenden verstrekken.
