Nieuwe truc cybercriminelen: phishing met gevaarlijke QR-codes in mails en brieven
Cybercriminelen hebben een nieuwe truc gevonden om bankrekeningen te plunderen. Met malafide QR-codes proberen ze je naar phishingwebsites te lokken om je bankgegevens buit te maken. Deze fraude stijgt en is succesvol omdat we QR-codes veel meer vertrouwen dan die vreemde linkjes in e-mails.
Dat blijkt uit onderzoek van RTL Nieuws, dat in criminele chatgroepen de activiteiten van cybercriminelen monitort. In de coronacrisis zien we QR-codes op steeds meer plekken opduiken, zoals het terras of in testbewijzen. Daardoor raken we hier steeds meer gewend aan QR-codes en daar spelen criminelen handig op in.
Het gevaar van deze QR-codes is tweeledig. Allereerst weten we steeds beter dat we niet zomaar op vreemde linkjes moeten klikken, maar dat besef is er nog niet bij het scannen van QR-codes. Ten tweede scan je de code met je smartphone, maar door dat kleine scherm is een phishingwebsite lastiger te herkennen dan op een groter computerscherm.
Fraude neemt toe
De Fraudehelpdesk bevestigt dat QR-code-phishing de laatste tijd toeneemt. "Het gebruik van een QR-code als phishinglink zien wij pas sinds half april van dit jaar en is dus voor ons vrij nieuw", stelt directeur Marloes Kolthof. "Het gevaar zit hem er wat ons betreft in dat je niet vooraf kunt zien welke informatie er in zo’n QR-code staat."
De malafide QR-codes staan in e-mails en brieven die afkomstig lijken van je bank. In veel gevallen ontvang je een nepmail van de bank waar je daadwerkelijk bij zit, en soms wordt zelfs naast de juiste naam ook de correcte IBAN in het bericht genoemd.
Dat gebeurt omdat cybercriminelen door alle datalekken toegang hebben tot heel veel persoonsgegevens, waaronder IBAN-nummers. Bij de populaire webshop Allekabels.nl werden vorig jaar ruim 100.000 IBAN's gestolen en tussen criminelen verhandeld.
In de nepberichten staat dat klanten van de bank een nieuwe bankpas moeten aanvragen of een nieuwe bank-app moeten verifiëren. De QR-code leidt vervolgens naar een phishingwebsite waar je bankgegevens worden buitgemaakt. Daarmee kunnen cybercriminelen toegang krijgen tot je bankrekening, waarna ze het geld proberen over te boeken naar bankrekeningen van geldezels.
Geldezels zijn mensen, veelal jongeren, die hun bankrekening beschikbaar stellen aan criminelen. In veel gevallen pinnen deze geldezels het buitgemaakte bedrag en mogen ze er zelf een klein deel van houden, de rest gaat naar de phishingcrimineel. Geldezels zijn strafbaar en kunnen voor hun acties een celstraf krijgen.
Malafide brief op de deurmat
Cybercriminelen sturen niet alleen e-mails met daarin deze gevaarlijke QR-codes, maar ook nepbrieven uit de naam van onder andere ING. In de e-mail staat dat de Android-app is vernieuwd en dat je via de QR-code de nieuwe app kan installeren. Door deze app te installeren krijg je een virus op je telefoon dat je bankrekening probeert te plunderen.
"Het is dat ik geen Android-telefoon heb, maar een iPhone", vertelt een vrouw die de brief vorige week ontving. "Ik zag daarom vrij snel dat het phishing was, maar ik vraag me af of anderen die wel een Android-telefoon hebben dat ook zien." De brieven lijken met name naar mensen in Assen te zijn verstuurd: daar hebben volledige buurten de brief ontvangen.
Als je toch via de QR-code een app hebt geïnstalleerd, is het aan te raden om je telefoon terug te zetten naar de fabrieksinstellingen om het virus te verwijderen.
"Helaas herkennen wij deze vorm van phishing", zegt een woordvoerder van ING. "Wij vragen nooit om een QR-code te scannen om daarmee onze app te downloaden, net zo min dat we om inloggegevens, pincodes of andere beveiligingscodes vragen. Niet in een brief, sms, e-mail of telefonisch."
QR-codes
Bij veel onlinebetalingen maken we gebruik van QR-codes, bijvoorbeeld bij iDeal. Dat zijn legitieme QR-codes die een betaling uitvoeren en daarom je bank-app openen.
Je hebt ook QR-codes om websites te openen, bijvoorbeeld om online een menukaart in te zien of een drankje te bestellen. Je ziet deze QR-codes vaak op het terras omdat café's door corona minder met fysieke menukaarten werken.
De QR-codes om websites te openen worden misbruikt door criminelen: je scant de code en vervolgens opent op je telefoon de phishingwebsite waar de aanvaller je bankgegevens probeert buit te maken. Die moet je daar wel zelf nog invoeren.
Gemak en vertrouwen
Door corona is de QR-code ontzettend populair geworden en daar spelen criminelen op in, vertelt directeur Dave Maasland van cybersecuritybedrijf ESET Nederland. "We zijn inmiddels zo gewend aan het scannen van QR-codes dat we ze vertrouwen. En het gaat ook heel gemakkelijk: je richt de camera van je smartphone erop en je opent de website. Die combinatie, het gemak en vertrouwen, is goud waard voor criminelen."
Volgens Maasland zijn criminelen altijd op zoek naar hoe ze een phishingbericht zo legitiem mogelijk kunnen laten overkomen. "Veel mensen weten niet dat een QR-code ook kan worden misbruikt. Dit is echt een risico waar we over na moeten denken omdat we steeds meer gewend raken aan QR-codes."
De politie adviseert slachtoffers van phishing om aangifte te doen. "Dat helpt ons om de omvang in te kunnen schatten, netwerken in kaart te brengen, het verdienmodel te verstoren en verdachten in beeld te krijgen", laat de politie weten.
Wat kun je doen?
Cybercriminelen maken vaak gebruik van diensten die een webadres verhullen, zoals tiny.cc of s.id. Een linkje als s.id/ing-nieuwe-app leidt dan naar de phishingwebsite. De malafide QR-codes verwijzen ook vaak naar dat soort webadressen. Wees dus op je hoede als een QR-code naar zo'n link verwijst.
Het gros van de smartphones toont eerst een notificatie met het adres van de website die de QR-code wil openen. Kijk daar altijd goed naar. De website van ING is bijvoorbeeld ing.nl en niet ing.login-bank.me. Controleer altijd of je bij de juiste website inlogt door zelf het juiste webadres op te zoeken of eventueel het bedrijf in kwestie op te bellen of een bericht te sturen.
Als je onverhoopt toch een malafide QR-code scant en een phishingwebsite opent, loop je vaak nog geen risico. Pas als je gegevens invoert of een app downloadt wordt het gevaarlijk.