Welke QR-codescanner is veilig voor oplichting | ExpressVPN

QR-codes zijn een vast onderdeel geworden van onze moderne samenleving. Met één snelle scan krijg je direct toegang tot digitale content, zoals betaalportalen of restaurantmenu’s.

Die brede acceptatie maakt QR-codes echter ook een aantrekkelijk doelwit voor cybercriminelen die malware willen verspreiden, gegevens willen stelen of fraude willen plegen.

Het gevaar van QR-codes schuilt in hun eenvoud: een schadelijke code kan er exact hetzelfde uitzien als een legitieme. Zelfs geavanceerde beveiligingstools kunnen menselijke fouten niet volledig voorkomen. Eén onoplettend moment is genoeg om een frauduleuze code te scannen, waardoor waakzaamheid essentieel is.

Deze gids geeft je de kennis die je nodig hebt om veilig met QR-codes om te gaan. Je leest hoe ze werken, welke oplichtingstechnieken worden gebruikt en krijgt praktische tips om schadelijke codes te herkennen en te vermijden.

Wat is een QR-code?

Een QR-code (Quick Response-code) is een tweedimensionale code die digitale apparaten razendsnel kunnen uitlezen. Elke QR-code bestaat uit een uniek zwart-wit patroon van stippen, waarbij elke stip onderdeel is van maximaal 177 x 177 gecodeerde modules. QR-codes werden in 1994 ontwikkeld door Masahiro Hara en Takayuki Nagaya van Denso Wave, met als doel het scannen van digitale codes efficiënter te maken.

Tegenwoordig zijn QR-codes veelzijdige tools voor het direct delen van informatie. Ze kunnen aanzienlijk meer gegevens opslaan dan traditionele eendimensionale barcodes en worden gebruikt in supermarkten, restaurants, op luchthavens en op tal van andere plekken.

Hoe werkt een QR-code?

Wanneer je een QR-code scant, legt de camera van je apparaat of een speciale QR-code-app een afbeelding van de code vast. De software herkent de unieke zwart-witte patronen waarin specifieke gegevens zijn versleuteld. Deze patronen worden vervolgens omgezet naar een bruikbaar formaat.

Zodra de informatie is gedecodeerd, wordt er een actie uitgevoerd. Bevat de code bijvoorbeeld een website-URL, dan opent je browser automatisch die pagina. Gaat het om contactgegevens, dan krijg je de optie om een nieuw contact op te slaan.

Uit welke onderdelen bestaat een QR-code?

Een QR-code bestaat doorgaans uit de volgende belangrijke onderdelen:

• Positiedetectiepatronen: Drie grote vierkante patronen linksboven, rechtsboven en linksonder. Deze geven de scanner de juiste oriëntatie, zodat de QR-code vanuit elke hoek kan worden gelezen.
• Uitlijnpatronen: Deze kleinere patronen komen vooral voor bij grotere QR-codes en helpen de uitlijning te behouden bij complexere codes, zodat vervorming tijdens het scannen wordt voorkomen.
• Timingpatronen: Afwisselende zwarte en witte modules tussen de positiedetectiepatronen. Ze vormen een soort coördinatensysteem waarmee de scanner de grootte van de datamatrix kan bepalen.
• Formaatinformatie: Dit gebied, dicht bij de positiedetectiepatronen, bevat gegevens over het foutcorrectieniveau en het gebruikte datamasker. Hierdoor kan de scanner de code correct uitlezen, zelfs als deze gedeeltelijk beschadigd is.
• Versie-informatie: Geeft aan om welke QR-codeversie het gaat, wat bepalend is voor de structuur en de maximale datacapaciteit.
• Gegevens- en foutcorrectiesleutels: Dit vormt het grootste deel van de QR-code en bevat de daadwerkelijke data, gecombineerd met foutcorrectiecodes. Dankzij deze foutcorrectie kan een QR-code vaak nog worden gescand als tot wel 30% van het oppervlak is beschadigd of afgedekt.
• Stille zone: Een lege rand zonder patronen rondom de QR-code. Deze helpt de scanner om de code te onderscheiden van de omgeving en voorkomt verstoring door andere visuele elementen.

Soorten en stijlen QR-codes

Er bestaan verschillende soorten QR-codes, elk met eigen kenmerken die invloed hebben op hun flexibiliteit, datacapaciteit en beveiliging. Als je de verschillen kent, begrijp je beter hoe ze worden gebruikt en waar mogelijke risico’s kunnen ontstaan.

Statische versus dynamische QR-codes

Een van de belangrijkste verschillen tussen QR-codes is of ze statisch of dynamisch zijn. In de praktijk werken ze hetzelfde; het verschil zit in waar de link in de code naartoe leidt.

Statische QR-codes verwijzen direct naar een vaste URL of een specifiek gegeven, zoals een kortingscode, een telefoonnummer of een wifi-wachtwoord. Zodra de code is aangemaakt, kan deze link niet meer worden aangepast.

Dynamische QR-codes werken meer als een dienst. Een aanbieder genereert een unieke doorverwijs-URL en maakt een QR-code die hiernaar verwijst. Via die dienst kun je vervolgens bepalen waar de doorverwijs-URL naartoe leidt. Vaak krijg je daarbij extra functionaliteiten, zoals het automatisch loggen van verzoeken die via die URL binnenkomen.

Hoewel de QR-codes zelf technisch gezien hetzelfde functioneren, bieden dynamische codes dus veel meer flexibiliteit en controle dankzij het gebruik van een tussenliggende doorverwijsdienst.

Veelvoorkomende QR-codevarianten (Model 1, Micro QR, rMQR, Frame QR)

Naast het onderscheid tussen statische en dynamische codes zijn er verschillende gestandaardiseerde QR-codevarianten, waaronder:

• Model 1- en Model 2-QR-codes: Model 1 was het eerste QR-codemodel en kon maximaal 1.167 cijfers opslaan met 14 modules. Model 2 bouwde hierop voort en is tegenwoordig de meest gebruikte standaard. Deze variant ondersteunt tot 7.089 cijfers met maximaal 40 modules. Model 2 is wat je meestal ziet op posters, flyers en productverpakkingen.
• Micro QR-codes: Dit zijn veel kleinere varianten met een maximale capaciteit van slechts 35 cijfers. Ze bevatten maar één positiedetectiepatroon en worden vooral gebruikt voor kleine objecten, zoals elektronische componenten, productlabels en visitekaartjes.
• Rechthoekige Micro QR-codes (rMQR): Deze rechthoekige QR-codes zijn ontworpen voor smalle ruimtes waar een vierkante QR-code niet past. Ze bevatten anderhalf positiedetectiepatroon en kunnen tot 361 cijfers opslaan.
• Frame QR-codes: Deze codes hebben een aanpasbaar ‘frame’ in het midden. In dat centrale gedeelte kan een afbeelding, logo of tekst worden geplaatst, terwijl de QR-code eromheen gewoon scanbaar blijft.

Beveiligde QR-codes (SQRC): wat maakt ze veiliger?

SQRC’s lijken op het eerste gezicht op gewone QR-codes, maar onderscheiden zich doordat één code zowel openbare als privégegevens kan bevatten. Iedereen die de QR-code scant, krijgt toegang tot de openbare informatie. De privégegevens zijn echter alleen zichtbaar voor iemand met een specifiek apparaat dat deze kan uitlezen.

Dankzij deze gelaagde structuur zijn SQRC’s zeer geschikt voor toepassingen zoals het veilig benaderen van inloggegevens, het verspreiden van gevoelige documenten of identiteitsverificatie. Onbevoegde gebruikers kunnen de beschermde gegevens niet inzien, zelfs niet als ze de code scannen.

SQRC’s maken gebruik van versleuteling en gecontroleerde toegang. Door beveiligingselementen toe te passen, zoals een public key-infrastructuur of apparaatspecifieke toegangscontroles, verkleinen ze het risico op spoofing, datalekken en man-in-the-middle-aanvallen aanzienlijk. Ze zijn populair binnen de zakelijke en industriële branche, bijvoorbeeld voor fraudebestendige producttracking.

Kort gezegd kunnen aanvallers niets beginnen zonder de juiste inloggegevens, omdat het zichtbare deel van de QR-code geen informatie prijsgeeft over het versleutelde gedeelte. Dat maakt SQRC’s een veiliger alternatief voor traditionele QR-codes in situaties waarin beveiliging cruciaal is.

Waarom worden QR-codes gebruikt bij oplichting?

Het gemak en de brede acceptatie van QR-codes maken ze aantrekkelijk voor cybercriminelen. Oplichting via QR-codes wordt ook wel "quishing” genoemd (QR-code-phishing).

De opkomst van QR-codes en wereldwijde acceptatie

QR-codes zijn inmiddels overal te vinden en hebben de afgelopen jaren een explosieve groei doorgemaakt. Wat ooit begon als een nichetool in de productie-industrie, is uitgegroeid tot een onmisbaar onderdeel van marketing, retail en logistiek wereldwijd. Door deze brede integratie zijn veel mensen gewend geraakt om QR-codes te scannen zonder er kritisch bij stil te staan.

Hoe cybercriminelen misbruik maken van vertrouwen in QR-codes

Het kernprobleem bij de beveiliging van QR-codes ligt vooral bij het vertrouwen van gebruikers. Veel mensen scannen een code zonder deze eerst te controleren. Kwaadwillenden maken hier misbruik van door schadelijke links in QR-codes te verwerken die leiden naar phishingwebsites. Daarnaast kunnen ze QR-codes kapen door valse codes over legitieme codes heen te plakken op openbare plekken, zoals in restaurants of op parkeermeters.

Deze combinatie van verborgen schadelijke bestemmingen en de mogelijkheid tot fysieke manipulatie maakt QR-codes tot een krachtig middel voor misbruik.

Zijn QR-codes te volgen?

Ja, maar alleen als het dynamische QR-codes betreft. In dat geval maakt elk apparaat dat de code scant eerst verbinding met een doorverwijsserver, die je vervolgens doorstuurt naar de uiteindelijke bestemming. Deze interactie kan worden gebruikt om het aantal scans, het tijdstip en de datum van scannen en zelfs de locatie van de scan (op basis van het IP-adres) te registreren.

Als je niet wilt dat je locatie via QR-codes kan worden gevolgd, kun je ExpressVPN gebruiken om je IP-adres te verbergen. Zo kan de doorverwijsserver je echte locatie niet zien.

Verzamelen QR-codes persoonlijke gegevens?

QR-codes zelf verzamelen geen persoonlijke gegevens. De content waarnaar een QR-code verwijst, kan dat echter wel doen. Als een QR-code je doorstuurt naar een schadelijke website, kan die site proberen om je inloggegevens, locatiegegevens, apparaatinformatie en andere gevoelige data te verzamelen.

Kunnen QR-codes worden gehackt?

Een QR-code is in feite een statische afbeelding met gecodeerde data en kan niet worden "gehackt” zoals een traditioneel systeem. De informatie in de QR-code kan niet achteraf worden aangepast. Wel kunnen kwaadwillenden QR-codes kapen door malafide codes als stickers over legitieme QR-codes heen te plakken.

De meest voorkomende vormen van QR-code-oplichting

1. Codes in phishingmails

Bij deze vorm van oplichting wordt een schadelijke QR-code rechtstreeks in een e-mail geplaatst. Deze e-mails lijken afkomstig te zijn van betrouwbare organisaties, zoals banken, populaire online diensten of bezorgbedrijven, en vragen je de code te scannen voor ogenschijnlijk legitieme acties, zoals accountverificatie of het volgen van een pakket.

Omdat traditionele e-mailfilters afbeeldingen minder goed analyseren dan tekst, glipt een schadelijke QR-code vaak langs beveiligingscontroles. Dit maakt het een veelgebruikte aanvalsmethode.

In onze uitgebreide gids over phishing-e-mails lees je alle waarschuwingssignalen die je moet kennen om te bepalen of een e-mail gevaarlijk is

2. Neppe QR-codes op restauranttafels en menu’s

Omdat veel restaurants QR-codes gebruiken voor hun menu’s en tafels, kunnen oplichters hier misbruik van maken door neppe QR-code-stickers over echte codes te plakken. Deze valse codes leiden naar schadelijke websites die je persoonlijke gegevens kunnen stelen.

Remember, you should use a VPN on public Wi-Fi to encrypt your data and hide your IP address. ExpressVPN also offers protection against malicious websites via its ools.

3. QR-codes bij openbare wifi of gratis toegangszones

Openbare wifi in cafés, op luchthavens of in winkelcentra wordt vaak aangeboden via QR-codes. Cybercriminelen spelen hierop in door valse QR-codes te plaatsen die gratis wifi beloven, maar kunnen leiden tot de volgende dreigingen:

• Schadelijke wifi-verbinding: de QR-code kan je apparaat verbinden met een onbeveiligd of schadelijk netwerk, waardoor aanvallers je internetverkeer kunnen onderscheppen.
• Malwaredownloads: je wordt gevraagd om schadelijke software te downloaden die zich voordoet als een wifi-configuratiebestand.
• Phishingpagina’s: de QR-code leidt naar nep-inlogpagina’s die zijn bedoeld om persoonlijke gegevens te stelen.

Gebruik altijd een VPN op openbare wifi om je gegevens te beschermen met versleuteling en je IP-adres te verbergen. ExpressVPN biedt daarnaast bescherming tegen schadelijke websites via de Threat Manager-tools.

4. Vervalste verpakkingen en gemanipuleerde labels

Ook productverpakkingen en labels worden misbruikt voor QR-code-oplichting. Oplichters kunnen de QR-code van een echt product kopiëren en deze op een vervalst product plakken. Wanneer iemand de code scant om de echtheid te controleren, wordt diegene alsnog doorgestuurd naar de officiële website.

5. QR-codes bij bank- en betaalfraude

Het veelvuldig gebruik van QR-codes voor snelle, contactloze betalingen maakt ze aantrekkelijk voor financiële fraude, onder andere via:

• Valse code-overlays: frauduleuze QR-code-stickers op openbare betaalpunten, zoals parkeermeters en brandstofpompen, die je doorsturen naar nep-betaalportalen om creditcard- of bankgegevens te stelen.
• Valse facturen: cybercriminelen sturen nep-rekeningen of energienota’s met een schadelijke QR-code, waarmee betalingen naar de rekening van de oplichter worden omgeleid.

6. QR-codes bij zorg- en medische fraude

In de zorgbranche worden QR-codes gebruikt voor patiëntinformatie, het plannen van afspraken en toegang tot digitale medische dossiers. Oplichters kunnen dit misbruiken door frauduleuze e-mails of fysieke brieven te sturen met QR-codes die leiden naar phishingwebsites, met als doel je gevoelige informatie te ontfutselen.

7. Cryptovaluta QR-code-oplichting

Als je crypto gebruikt, is het belangrijk alert te zijn op de volgende vormen van oplichting:

• Valse walletadressen: QR-codes die eruitzien als legitieme cryptotransacties of giveaways kunnen in werkelijkheid het walletadres van de oplichter bevatten.
• Phishing naar walletgegevens: QR-codes kunnen je doorsturen naar nep-inlogpagina’s van cryptobeurzen of valse ‘walletkoppelingen’ die proberen de privésleutels van je cryptowallet te stelen.
• ‘Gratis crypto’-lokazen: Online kun je links of berichten tegenkomen met QR-codes die leiden naar phishingwebsites die beweren gratis crypto weg te geven.

8. QR-code-oplichting op sociale media

Sociale mediaplatforms zitten vol met QR-code-oplichting. Denk aan QR-codes in berichten of in bio’s van accounts die grote prijzen, gratis cadeaubonnen of exclusieve content beloven. In werkelijkheid leiden deze codes naar schadelijke websites die je gevoelige informatie kunnen stelen.

9. Nepcodes in ongewenste post

Zelfs fysieke post is niet veilig voor QR-code-oplichting. Je kunt brieven ontvangen met QR-codes die naar scams leiden. Een bekend voorbeeld is een incident waarbij mensen post ontvingen die zogenaamd afkomstig was van MeteoSwiss, het Zwitserse federale bureau voor meteorologie en klimatologie. In de brief werd gevraagd een weerwaarschuwingsapp te downloaden, die uiteindelijk schadelijk bleek te zijn.

10. Nep-apps voor het scannen van QR-codes

Hoewel de meeste smartphones tegenwoordig standaard een QR-codescanner hebben, downloaden sommige gebruikers nog steeds apps van derden. Dit kunnen schadelijke apps zijn die malware op je apparaat installeren of gevoelige gegevens verzamelen. Controleer altijd of een app afkomstig is van een betrouwbare ontwikkelaar en of deze veel gebruikers en positieve beoordelingen heeft.

Zo blijf je veilig bij het scannen van QR-codes

Met een paar eenvoudige gewoontes kun je je veiligheid aanzienlijk vergroten en met meer vertrouwen QR-codes scannen. De sleutel is om elke QR-code met een gezonde dosis wantrouwen en waakzaamheid te benaderen. De onderstaande tips helpen voorkomen dat je per ongeluk een schadelijke QR-code scant.

Checklist voor het scannen van QR-codes

Doorloop deze korte checklist voordat je een QR-code scant:

• Controleer de bron: Zorg ervoor dat de QR-code afkomstig is van een betrouwbare bron.
• Denk na over de context: Past de QR-code bij de situatie? Een QR-code op een restauranttafel is logisch, maar een losse QR-code op een openbare muur zonder context kan gevaarlijk zijn.
• Controleer op manipulatie: Kijk of de QR-code een sticker is die over een andere code heen is geplakt. Elk teken van aanpassing is een belangrijk waarschuwingssignaal.
• Bekijk de URL vooraf: De meeste smartphones tonen een voorbeeld van de URL bij het scannen van een QR-code. Controleer of het om een legitieme link gaat voordat je deze opent.

Aanbevolen apps voor veilig QR-scannen

De beste app om QR-codes te scannen is de standaard camera-app van je smartphone. Bij vrijwel alle moderne smartphones is de scanner hierin ingebouwd. Door de ingebouwde app te gebruiken, weet je zeker dat je geen app van derden gebruikt die je data monitort of mogelijk malware bevat.

Zo herken je een schadelijke of aangepaste QR-code

Er zijn verschillende signalen die erop wijzen dat een QR-code is aangepast en mogelijk schadelijk is, waaronder:

• Fysieke overlay: Een veelvoorkomend teken van manipulatie is een sticker die direct over een legitieme QR-code is geplakt. Let op loslatende randen, afwijkende texturen of scheve plaatsing.
• Slechte afdrukkwaliteit: Schadelijke QR-codes zijn soms van lage kwaliteit en ogen korrelig, vervaagd of vervormd in vergelijking met professioneel drukwerk.
• Verdachte plaatsing: Een QR-code op een vreemde plek, zoals een willekeurige lantaarnpaal, zou direct argwaan moeten wekken.
• Onjuiste branding: Als een QR-code beweert van een bekend bedrijf te zijn, maar het logo of de kleuren niet kloppen, kan het om een vervalsing gaan.
• Onbekende URL: Wees voorzichtig als je bij het scannen een onbekende of vreemde URL te zien krijgt.

Wat moet ik doen als ik een verdachte QR-code heb gescand?

Het per ongeluk scannen van een schadelijke QR-code kan schrikken zijn, maar door snel te handelen kun je de schade beperken. De juiste stappen hangen af van wat er na het scannen gebeurde: werd alleen een vreemde webpagina geopend, of heb je ook persoonlijke of financiële gegevens ingevuld? Hieronder vind je de belangrijkste acties die je moet ondernemen als je vermoedt dat je met oplichting te maken hebt gehad.

Verbreek de internetverbinding

Het verbreken van je internetverbinding is je eerste verdedigingslinie. Schakel direct je wifi en mobiele data uit zodra je een probleem vermoedt. Zo voorkom je dat er gegevens worden doorgestuurd of dat er ongemerkt extra malware wordt gedownload.

Maak een back-up van je bestanden

Zorg zo snel mogelijk voor een back-up van je belangrijke bestanden. Met een recente back-up blijven waardevolle documenten, foto’s en andere data veilig. Dit is vooral belangrijk als malware een fabrieksreset noodzakelijk maakt. Gebruik hiervoor een externe harde schijf of een betrouwbare cloudopslagdienst.

Voer een malwarescan uit

Gebruik een betrouwbare antivirusoplossing om een volledige systeemscan uit te voeren als je apparaat tekenen van malware vertoont. Zorg dat de virusdefinities volledig up-to-date zijn en volg de aanbevelingen van de software om gedetecteerde bedreigingen in quarantaine te plaatsen of te verwijderen.

Beveilig je online accounts

Werk je accountgegevens direct bij als je vermoedt dat je slachtoffer bent geworden van QR-code-oplichting, vooral als je ergens inloggegevens hebt ingevoerd. Beveilig je digitale accounts met de volgende stappen:

• Wijzig je wachtwoorden: Pas onmiddellijk de wachtwoorden aan van je belangrijkste accounts, zoals e-mail, bankdiensten, sociale media en accounts die aan betalingen zijn gekoppeld. De Keys wachtwoordmanager van ExpressVPN kan dit proces vereenvoudigen.
• Schakel tweestapsverificatie (2FA) in: Activeer 2FA op alle ondersteunde accounts. Dit voegt een extra beveiligingslaag toe, waardoor een cybercrimineel zonder de tweede verificatiestap geen toegang krijgt, zelfs als je wachtwoord is buitgemaakt.

Blokkeer je krediet

Als persoonlijk identificeerbare informatie is buitgemaakt, zoals een Burgerservicenummer of rijbewijsnummer, is het verstandig om een kredietblokkade te laten instellen. Hiermee voorkom je dat iemand nieuwe kredietrekeningen op jouw naam opent en beperk je de schade van identiteitsfraude.

Waarschuw je bank of betaalprovider

Heb je bankgegevens, creditcardnummers of andere betaalinformatie ingevuld, neem dan onmiddellijk contact op met je bank of creditcardmaatschappij. Zij kunnen aangeven welke beschermende maatregelen nodig zijn, zoals het blokkeren van kaarten en het uitgeven van nieuwe exemplaren.

Let op signalen van identiteitsdiefstal

Houd na een mogelijk datalek goed in de gaten of er tekenen zijn van identiteitsdiefstal, zoals:

• onbekende transacties op je bank- of creditcardafschriften
• rekeningen voor diensten die je niet herkent
• onverwachte telefoontjes, e-mails of berichten over accounts die je nooit hebt geopend

Waakzaamheid is hierbij cruciaal. Bevind je je in de VS, dan kun je ExpressVPN Identity Defender gebruiken ter bescherming tegen identiteitsdiefstal. Deze dienst biedt ID-meldingen, identiteitsdiefstalverzekering, dataverwijdering en een kredietscanner, die samen zorgen voor uitgebreide bescherming.