©Unsplash

©Unsplash

Pas op wat je scant: dit is nu de snelst groeiende phishingtruc

Praat mee!
Redacteur

Microsoft waarschuwt voor een opvallende nieuwe phishingtrend: QR-codephishing. Cybercriminelen gebruiken de bekende codes die je met je camera scant steeds vaker om slachtoffers naar nepwebsites te lokken. Volgens het techbedrijf is dit momenteel zelfs de snelst groeiende vorm van phishingaanvallen.

Uit nieuw onderzoek van Microsoft blijkt dat QR-codephishing in het eerste kwartaal van 2026 met 146 procent is toegenomen. Cybercriminelen gebruiken QR-codes om slachtoffers naar nagemaakte inlogpagina’s te sturen, waar ze vervolgens nietsvermoedend hun gebruikersnaam en wachtwoord invullen.

Het grote probleem met QR-codes is simpel: je ziet niet meteen waar je naartoe gaat. Bij een normale link kun je soms nog aan de URL zien dat er iets niet klopt. Bij een QR-code zie je alleen een blokje pixels. Pas na het scannen ontdek je welke website erachter zit.

QR-codephishing populairder dan ooit

Precies daarom is deze methode zo aantrekkelijk voor cybercriminelen. Ze kunnen een QR-code in een mail, pdf of afbeelding zetten en zo traditionele e-mailbeveiliging omzeilen. Veel beveiligingssystemen zijn goed in het herkennen van verdachte links, maar een link die verstopt zit in een QR-code is lastiger te controleren.

En dat is niet de enige reden waarom QR-codephishing aan populariteit wint. Het is namelijk ook een manier om slachtoffers weg te lokken uit de beter beveiligde werkomgeving van hun laptop of bedrijfsnetwerk. Veel mensen scannen zo’n QR-code tenslotte met hun telefoon. Een mail die op je werkaccount binnenkomt, kan je zo alsnog via je privételefoon naar een valse inlogpagina lokken.

Kijk goed uit wat je scant

De tip van Microsoft is dan ook om niet zomaar blind elke QR-code te scannen die je toegestuurd krijgt. Zeker niet als de code in een onverwachte mail staat, urgentie wekt of vraagt om ergens in te loggen. Krijg je een QR-code van je bank, werkgever, pakketdienst of een clouddienst? Open dan liever zelf de officiële app of website. Zo voorkom je dat je via een slimme omweg op een nagemaakte pagina belandt.

Dat betekent niet dat je vanaf nu iedere QR-code moet wantrouwen. Ze zijn niet ineens onveilig geworden. Ze zijn echter wel precies wat cybercriminelen aantrekkelijk vinden: normaal, vertrouwd en snel. Daarmee zijn QR-codes een makkelijke manier om mensen te raken via een blinde vlek. Goed om je daarvan bewust te zijn.

Ook CAPTCHA-schermen zijn niet meer te vertrouwen

Mocht je toch een QR-code scannen die je naar een inlogpagina leidt, let dan extra goed op. Laat je bijvoorbeeld niet misleiden door een andere trend die Microsoft ziet: valse CAPTCHA-schermen. Deze controles, waarbij je moet bewijzen dat je geen robot bent, worden door cybercriminelen steeds vaker toegevoegd aan phishingwebsites om ze geloofwaardiger te maken.