QR-codefraude: een blijvend gevaar
De QR-code. Nu de fysieke menukaart z’n rentree met dit mooie weer aan het maken is, wordt de toepassing stukje bij beetje minder gebruikt. Maar weggaan zal-ie voorlopig niet. De QR-code bestaat sinds 1994, leek in 2012 de absolute piek van z’n populariteit te hebben bereikt en beleefde tijdens de coronacrisis een onnavolgbare wederopstanding. Waar u ook ging, u kon er niet onderuit. Maar de comeback kwam niet zonder gevolgen. Misbruik kwam massaal op, en blijkt hardnekkig. “Eén ding is zeker: QR is here to stay en daarmee ook alle risico’s. Wij willen u graag wijzen op de gevaren en wat u er tegen kunt doen,” aldus Ruben Gomes Faria, een van onze consultants bij International Security Partners.
QR staat voor ‘Quick Response’. En dat zegt eigenlijk alles al. Het handige aan de code is dat alles in een handomdraai geregeld is. De menukaart erbij pakken of kledingartikelen reserveren – het komt allemaal op hetzelfde neer. Je pakt je telefoon, scant de code met je camera, wordt doorverwezen naar een link en voilá! Het gebeurt allemaal zo snel dat u gemakkelijk wat over het hoofd ziet. Of het gek is dat er in het proces wordt gevraagd om gevoelige gegevens? Het antwoord is volmondig: ja.
Hoe werkt QR-codefraude?
QR-codefraude begint met het maken van een eigen QR-code, die linkt naar frauduleuze pop-ups. Het vervaardigen is relatief makkelijk. Van de code wordt een sticker gemaakt, die stiekem over bestaande codes van horecazaken, kledingwinkels of reclameposters heen geplakt wordt. Nietsvermoedende mensen scannen vervolgens de codes met het idee doorverwezen te worden naar een menukaart, artikel of aanbieding. Ruben: “De frauduleuze pop-ups die vervolgens vragen naar gevoelige informatie worden daarbij helaas nog te vaak als onderdeel van het proces gezien en dus de waarheid aangenomen. Dat is een groot probleem.”
De nadelen van QR-codes
De fraudegevoeligheid van QR-codes heeft meerdere oorzaken. Dat begint al met de snelheid van de handelingen, waar de code z’n populariteit aan te danken heeft. Daarnaast speelt geloofwaardigheid een grote rol. Ruben: “Wanneer een restaurant of winkel het gebruik van de code promoot, wordt er vaak niet twee keer nagedacht. Mensen vertrouwen de partij in kwestie vaak blind.” Daar komt bij dat, anders dan met phishingmails, er minder manieren zijn om de legitimiteit van de QR te controleren. “Met een QR-code zien mensen een pop-up en klikken ze gelijk door. Er is een minder grote drempel en ze willen immers snel hun hapje of drankje.” Die drempel is groter bij phishing, waar een afwijkend mailadres of de inhoud van de mail argwaan kan opwekken. Die handtekening is niet zo een-twee-drie te zien bij frauduleuze QR-codes. De lage drempel werkt overigens tweeledig. Niet alleen is een QR makkelijker te maken, de kans is ook kleiner om gepakt te worden dan met een phishingmail. Daar kan de mail vaak herleid worden naar de dader. Ruben: “Waar de bewustwording tegen phishingmails tegenwoordig overal wordt gepromoot, gebeurt dat voor QR-codefraude nog te weinig. Het is onterecht het ondergeschoven kindje. Tijd om daar verandering in te brengen.”
Blijvend relevant
Veiligheid en gemak gaan bepaald niet hand in hand – zeker niet op internet. En nu de QR-code qua gebruik misschien aan het inboeten is door de terugtocht van corona, houdt dat niet in dat het ‘gevaar’ geweken is. Integendeel. Ruben: “We leven in een wereld waar we alles steeds makkelijker en sneller willen regelen.” Nu de code z’n waarde in die wereld meer dan bewezen heeft, zal-ie ook niet zo snel verdwijnen. Het zou zelfs in kunnen houden dat het nog meer vervlochten raakt met ons dagelijkse leven. Niet alleen op de momenten dat we buitenshuis een kopje koffie willen doen, maar ook binnenshuis. Oftewel: meer momenten voor hackers om misbruik te maken en voor u om rekening mee te houden.
Wat je kunt doen tegen QR-fraude
We zetten graag op een rijtje wat u kunt doen tegen QR-codefraude:
- Vertrouw niet blindelings en laat u niet verleiden om snel even te klikken – maar lees altijd goed wat er op het scherm staat.
- Check QR codes op overplakking.
- Bij twijfel, vraagt het na bij de aanbieder van het product of de dienst.
- Geef alleen de strikt noodzakelijke info.
- Gebruik een QR-codescanner, zoals die van:
- Kaspersky. De applicatie is ervoor gemaakt potentiële gevaren van verdachte toepassingen in beeld te brengen.
- Google Lens. Een goede tweede, maar commerciëler met als gevolg dat u na een scan ook veel reclame te zien krijgt.
Naast informatie vinden over online frauderisico’s kunt u bij ISP terecht voor verschillende diensten om uw persoonlijke cyber awareness en die van uw werknemers te vergroten. Wij begeleiden, ondersteunen en adviseren u graag. Neem voor meer informatie contact met ons op.