Quishing: QR-code phishing

Quishing is het gebruik van frauduleuze QR-codes om malware op je apparaat te installeren en toegang te krijgen tot persoonlijke gegevens.

Ontdek de gevaren van QR-phishing (Quishing): Leer het te herkennen en te voorkomen, en zorg voor je digitale veiligheid en privacy.

Gratis Antivirus

Wat is quishing?

QR-phishing, ook bekend als 'quishing', is een cybercrime die de populariteit van QR-codes misbruikt. In deze scam maken cybercriminelen kwaadaardige QR-codes die, wanneer gescand, leiden naar frauduleuze websites of downloads van schadelijke software starten. Naarmate mensen QR-codes steeds meer gebruiken voor verschillende doeleinden, zoals het bekijken van menu's of het doen van betalingen, kunnen ze zonder het te weten deze misleidende codes scannen, waardoor hun persoonlijke informatie gevaar loopt.

Dit gedrag werd benadrukt tijdens de Super Bowl van 2022 toen de innovatieve QR-codeadvertentie van Coinbase leidde tot een significante toename in app-downloads. Het veroorzaakte echter ook bezorgdheid in de cyberbeveiligingsgemeenschap, vooral in het licht van recente Crypto QR-scams waarbij oplichters QR-codes gebruikten om slachtoffers te manipuleren tot het opnemen van geld van hun rekeningen.

De term "quishing" combineert QR-codes en phishing, wat een methode aangeeft waarbij kwaadwillenden neppe QR-codes maken om gebruikers naar gespoofte sites te leiden, informatie te stelen of malware op hun apparaten te installeren. Het doel is om individuen te misleiden in de veronderstelling dat ze omgaan met een onschuldige of noodzakelijke QR-code, terwijl het werkelijke doel is om persoonlijke en financiële informatie te benaderen en te stelen.

Wat is een QR-code?

QR-codes, of Quick Response-codes, zijn tweedimensionale barcodes die een grote hoeveelheid gegevens kunnen opslaan en snel kunnen worden gelezen door smartphones of barcodescanners. Oorspronkelijk uitgevonden door een Japanse autofabrikant in 1994 om de efficiëntie in de productie te verbeteren, hebben QR-codes de afgelopen jaren een stijging in gebruik gezien.

Ze werden vooral populair tijdens de pandemie als een manier om de bedrijfscontinuïteit te handhaven terwijl de regels voor sociale afstand worden nageleefd. Als gevolg hiervan zijn consumenten meer gewend geraakt aan het scannen van QR-codes, waarbij studies voorspellen dat meer dan 100 miljoen gebruikers in de VS tegen 2025 hun telefoon zullen gebruiken om QR-codes te scannen.

De veelzijdigheid van QR-codes, die zowel van schermen als op papier kunnen worden gescand, heeft geleid tot hun brede acceptatie in verschillende industrieën, waaronder betalingsverkeer, marketing en reclame. Tegenwoordig worden QR-codes veelvuldig aangetroffen in openbare ruimtes zoals billboards en restaurants, evenals in digitale communicatie zoals sms-berichten, sociale media en e-mails.

Statische vs dynamische QR-codes

QR-codes kunnen worden gecategoriseerd in twee hoofdtypen op basis van hun gegevensflexibiliteit: statisch en dynamisch.

Statische QR-codes zijn vast en kunnen niet meer worden gewijzigd zodra ze zijn aangemaakt. Ze worden vaak gebruikt voor het delen van statische informatie zoals een website-URL, contactgegevens of een wifi-wachtwoord.

Dynamische QR-codes daarentegen zijn flexibeler omdat de informatie die ze coderen kan worden bijgewerkt of gewijzigd zonder dat het uiterlijk van de code verandert. Ze bevatten een unieke URL die gebruikers naar een server leidt waar de informatie is opgeslagen. Deze flexibiliteit maakt ze ideaal voor situaties waarin de inhoud vaak moet worden bijgewerkt, zoals evenementinformatie, promotieaanbiedingen of realtime voorraadracking. Dezezelfde flexibiliteit vormt echter ook een beveiligingsrisico, aangezien oplichters dynamische QR-codes kunnen misbruiken door hun bron te wijzigen om gebruikers naar schadelijke sites om te leiden.

Wat is phishing?

Phishing is een veelgebruikte methode door cybercriminelen om toegang te krijgen tot waardevolle data via social engineering-aanvallen, voornamelijk via e-mails. Een typisch phishing-email bevat een link of bijlage die de gebruiker verleidt erop te klikken of te downloaden, met als doel het stelen van gevoelige informatie zoals financiële gegevens of bedrijfslogin gegevens.

Echter, nu aanvallers continu effectievere technieken zoeken, zijn nieuwe phishingtactieken ontstaan, inclusief vishing (stem-phishing), smishing (SMS-phishing), en quishing (QR-phishing). Deze varianten exploiteren verschillende communicatiemiddelen om vergelijkbare misleidende praktijken uit te voeren, waarbij quishing specifiek leunt op de populariteit en het gemak van QR-codes om gebruikers te misleiden tot het prijsgeven van hun persoonlijke informatie.

Hoe werkt quishing?

Quishing is een vorm van phishing-aanval die QR-codes gebruikt om individuen te verleiden om schadelijke websites te bezoeken of bestanden te downloaden die malware bevatten. QR-codes kunnen verschillende bronnen hosten, zoals links, documenten en betalingsportalen, waardoor ze een veelzijdig hulpmiddel zijn voor cybercriminelen. Deze codes kunnen worden gemanipuleerd om kwaadaardige links, virusbevattende documenten of nepbetalingsportalen te bevatten. Omdat de inhoud achter een QR-code niet zichtbaar is wanneer deze als afbeelding wordt weergegeven, biedt het oplichters een ideale manier om veiligheidsmaatregelen te omzeilen door deze in e-mails op te nemen.

Een quishing-aanval begint meestal met een cybercrimineel die QR-codes creëert die omleiden naar een frauduleuze inlogpagina om de inloggegevens van slachtoffers te oogsten of naar een site die automatisch malware downloadt bij het scannen. Deze kwaadaardige QR-codes kunnen als afbeeldingen of bijlagen in e-mails worden opgenomen, of ze kunnen worden geplaatst op openbare plekken waar mensen ze waarschijnlijk scannen. Zodra de QR-code is gescand, kunnen slachtoffers worden gevraagd gevoelige informatie zoals inloggegevens of bankgegevens in te voeren, of ze kunnen onbewust schadelijke software of apps downloaden. In sommige gevallen kan de download van kwaadaardige inhoud automatisch plaatsvinden direct nadat de code is gescand, waardoor het apparaat van het slachtoffer verder in gevaar komt.

QRLJacking begrijpen: Een case study in quishing

QRLJacking is een geavanceerde vorm van quishing die specifiek gericht is op Quick Response Login (QRL) systemen. QRL is een gebruiksvriendelijke authenticatiemethode waarmee gebruikers kunnen inloggen op websites, applicaties of digitale services door met hun smartphone een QR-code te scannen. Deze methode elimineert de noodzaak om complexe wachtwoorden te onthouden en biedt een handig alternatief voor gebruikers.

Echter, deze gebruiksgemak introduceert ook een kwetsbaarheid die cybercriminelen hebben leren exploiteren. In een QRLJacking-aanval starten hackers een sessie op de beoogde website of app en klonen ze de legitieme QR-code. Ze manipuleren vervolgens de gekloonde code door deze om te leiden naar hun eigen server en sluiten deze in een nep-inlogpagina in die het origineel nabootst. De kwaadaardige QR-code wordt verspreid via e-mails of andere kanalen, waardoor gebruikers worden misleid om deze te scannen om in te loggen.

Het gevaar van QRLJacking wordt duidelijk wanneer multi-factorauthenticatie niet is geactiveerd. Zodra het slachtoffer de gemanipuleerde QR-code scant, krijgt de aanvaller direct toegang tot het account van het slachtoffer. Een opmerkelijk voorbeeld van deze aanval vond plaats bij de ING Bank, waarvan de app klanten toestond in te loggen met een tweede apparaat door een QR-code te scannen. Cybercriminelen maakten misbruik van deze functie door legitieme QR-codes binnen de app te manipuleren. Onwetende gebruikers die het slachtoffer werden van de scam ontdekten dat er aanzienlijke bedragen aan geld van hun rekeningen waren verdwenen.

Hoe kun je een quishing-aanval detecteren?

Het detecteren van een quishing-aanval kan een uitdaging zijn vanwege de inherente aard van QR-codes, die hun inhoud pas onthullen wanneer ze worden gescand. In tegenstelling tot traditionele phishing-aanvallen bevatten quishing-e-mails QR-codes als gewone afbeeldingen of binnen bijlagen met niet-verdachte extensies, waardoor ze malware detectors en e-mailfilters kunnen omzeilen. Dit betekent dat ze niet worden gedetecteerd en niet naar de spam-map worden verplaatst, waardoor individuen kwetsbaar blijven voor social engineering aanvallen.

De aantrekkingskracht van QR-codes voor oplichters ligt in hun vermogen om nieuwsgierigheid te wekken en emoties zoals angst en urgentie uit te buiten. Deze emotionele triggers kunnen nietsvermoedende slachtoffers ertoe brengen om kwaadaardige QR-codes te scannen bedoeld voor frauduleuze activiteiten, zoals het betalen van nep-rekeningen of boetes. De eenvoud en snelheid van QR-codes worden benut om deze scams te vergemakkelijken.

Om jezelf te beschermen tegen QR-code fraude, is het belangrijk om waakzaam te zijn en te letten op bepaalde signalen voordat je een QR-code scant:

  • Onverwachte of ongewenste QR-codes: Wees voorzichtig met QR-codes die verschijnen in ongewenste e-mails of berichten, vooral als ze je aansporen om direct actie te ondernemen.
  • Gebrek aan context of uitleg: Legitieme QR-codes worden meestal vergezeld van duidelijke uitleg over hun doel. Wees op je hoede voor codes zonder context of een geloofwaardige bron.
  • Verdachte afzender: Controleer het e-mailadres van de afzender of contactgegevens voor tekenen van onwettigheid, zoals spelfouten of ongebruikelijke domeinnamen.
  • Urgentie of druk: Oplichters creëren vaak een gevoel van urgentie om snel handelen te bevorderen. Wees sceptisch over berichten die je onder druk zetten om direct een QR-code te scannen.
  • Verifieer de bron: Als het mogelijk is, verifieer de legitimiteit van de QR-code door contact op te nemen met de vermeende afzender via officiële kanalen.
  • Gebruik een veilige QR-code scanner: Sommige apps voor QR-code scanners bieden beveiligingsfuncties die de veiligheid van de link controleren voordat deze wordt geopend. Overweeg het gebruik van een dergelijke app voor extra bescherming.

Door je bewust te zijn van deze signalen en voorzichtig te zijn, kun je het risico verminderen om slachtoffer te worden van een quishing-aanval en je gevoelige informatie beschermen tegen compromittering.

Zo kun je jezelf beschermen tegen quishing

Om jezelf te beschermen tegen quishing-aanvallen, is het belangrijk om algemene phishing preventiestrategieën te combineren met maatregelen die specifiek zijn toegespitst op de unieke uitdagingen die QR-codes met zich meebrengen:

  1. Controleer de bron van de QR-code: Wees voorzichtig bij het scannen van QR-codes, vooral die van onbekende bronnen of die te mooi zijn om waar te zijn aanbiedingen beloven. Als de code afkomstig lijkt te zijn van een officiële bron, een vriend, of een collega, verifieer dan direct de authenticiteit bij hen of bezoek hun officiële website.
  2. Gebruik een betrouwbare QR-code lezer: Hoewel de meeste smartphones ingebouwde QR-scancapaciteiten hebben, als je kiest voor een app van derden, zorg ervoor dat deze betrouwbaar is. Wees op je hoede voor frauduleuze updates voor QR-scanningsapps, omdat deze in het verleden bekend zijn geweest om malware te verspreiden.
  3. Bekijk de bestemmings-URL vooraf: Als je scan-app dit toestaat, bekijk de link waarnaar de QR-code je leidt voordat je deze opent. Deze voorzorgsmaatregel helpt te beschermen tegen QR-codes die automatisch malware downloaden bij het scannen.
  4. Wees voorzichtig met persoonlijke informatie: Wees waakzaam wanneer je wordt gevraagd om persoonlijke informatie in te voeren op een gekoppelde pagina nadat je een QR-code hebt gescand. Controleer het logo en de volledige URL van de site dubbel, en typ indien mogelijk handmatig de originele URL in je browser in plaats van de link te gebruiken die door de QR-code is verstrekt.
  5. Schakel tweefactorauthenticatie in: Door deze extra beveiligingslaag toe te voegen, kun je ongeautoriseerde toegang tot je accounts voorkomen, zelfs als een cybercrimineel je inloggegevens verkrijgt. Wees voorzichtig met het accepteren van authenticatiemeldingen op je telefoon, tenzij je zelf een poging tot accounttoegang hebt gedaan.
  6. Blijf op de hoogte met veiligheidsbewustzijnstraining: Het regelmatig bijwerken van je kennis van de tactieken van cybercriminelen en hoe te reageren op mogelijke aanvallen kan je een stap voor blijven op bedreigingen.

Door deze aanbevelingen op te volgen, kun je je verdediging tegen quishing-aanvallen versterken en je gevoelige informatie beschermen tegen vallen in verkeerde handen.

Wat is een QR-code?

Wat is phishing?

Wat is social engineering?

Wat is een digitale voetafdruk?

Wat is spear phishing?

Wat is catfishing?

Wat is phishing e-mail?

Veelgestelde vragen

QR-codes kunnen door cybercriminelen worden gebruikt voor kwaadaardige acties, zoals het insluiten van malware in de codes. Wanneer deze gecompromitteerde QR-codes worden gescand, kunnen ze apparaten infecteren met verschillende soorten malware, waaronder virussen, wormen, Trojaanse paarden, spyware en adware, wat kan leiden tot diefstal van persoonlijke informatie, ongeautoriseerde toegang tot gevoelige gegevens of phishing-aanvallen.