QR-code Oplichting (Quishing): De Dreiging die Verstopt Zit in het Zicht
QR-code oplichting, quishing genaamd, neemt explosief toe in 2026. Leer hoe nep QR-codes uw geld en gegevens stelen, waar oplichters ze plaatsen en hoe u veilig kunt scannen voor u tikt.
· Truvizy Research Team · 8 min read
TL;DR
Quishing is QR-code phishing: oplichters vervangen legitieme QR-codes op restaurantmenu's, parkeermeters, pakketlabels en openbare posters door codes die doorsturen naar websites die inloggegevens stelen. Omdat uw telefoonkamera slechts een kleine URL laat zien voordat u opent, merken de meeste mensen de wissel niet. Controleer altijd de bestemmings-URL voordat u een QR-codelink opent, gebruik een QR-scanner met ingebouwde veiligheidscontroles en typ bij twijfel het officiële webadres handmatig in.
U rijdt een parkeergarage in, scant de QR-code op de betaalkiosk en voert uw creditcard in om te betalen voor uw plek. De transactie lijkt door te gaan. Diezelfde avond belt uw bank over drie frauduleuze afschrijvingen uit het buitenland. U hebt uw kaart nooit aan iemand gegeven. U hebt nooit op een verdachte e-mail geklikt. Alles wat u deed was een QR-code scannen, en dat was genoeg. Welkom bij quishing: de snelst groeiende oplichting waar de meeste mensen nog nooit van hebben gehoord.
QR-codes zijn ontworpen voor gemak, scan en ga. Maar diezelfde wrijvingsloze ervaring die ze aantrekkelijk maakt voor bedrijven, maakt ze ook gevaarlijk in handen van oplichters. In tegenstelling tot een verdachte e-maillink waarover u kunt bewegen ter preview, onthult een QR-code niets totdat u uw camera erop heeft gericht. Tegen de tijd dat u de bestemmings-URL ziet, hebben veel slachtoffers al op 'openen' getikt. Die fractie-van-een-seconde kloof is precies wat quishing uitbuit.
Wat Is Quishing?
Quishing, een samentrekking van 'QR' en 'phishing', is de praktijk van het inbedden van kwaadaardige URL's in QR-codes om slachtoffers door te sturen naar frauduleuze websites. De oplichting kan verschillende vormen aannemen: het fysiek vervangen van een legitieme code door een nepsticker op openbare plaatsen, het verzenden van QR-codes via e-mail of sms die traditionele spamfilters omzeilen, of het aanmaken van nep documenten (facturen, parkeerboetes, pakketmeldingen) die prominente frauduleuze codes bevatten.
Het Internet Crime Complaint Center van de FBI markeerde quishing in 2024 als een opkomende prioriteitsdreiging, en de cijfers zijn sindsdien alleen maar verslechterd. Cybersecuritybedrijven documenteerden een toename van 587% in QR-code-gebaseerde phishingaanvallen tussen 2024 en 2025. De techniek is populair geworden bij georganiseerde fraudenetwerken omdat het goedkoop is om uit te voeren, moeilijk te detecteren op schaal en specifiek ontworpen om e-mailbeveiligingstools te omzeilen die geen in afbeeldingen ingebedde URL's kunnen lezen.
Quishing maakt deel uit van een bredere verschuiving in oplichtingstactieken naar mobiel-eerst aanvallen. Zoals we documenteerden in onze analyse van hoe AI de verfijning van oplichting versnelt, richten fraudeurs zich specifiek op de tools en gewoonten die mensen hebben aangenomen in het smartphone-tijdperk, en QR-codes zijn een van de meest wijdverspreide mobiele gewoonten van de afgelopen vijf jaar.
Hoe QR-code Oplichting Werkt
De mechanica van een quishing-aanval zijn misleidend eenvoudig. Een aanvaller genereert een QR-code die een kwaadaardige URL codeert, doorgaans een gekloonde versie van een bank-inlogpagina, betalingsportaal of overheidsdienst. De neppagina is ontworpen om identiek te lijken aan de legitieme, en vangt alle inloggegevens of betalingsinformatie die het slachtoffer invoert.
Bij fysieke aanvallen drukt de oplichter de frauduleuze code af op een sticker en plaatst deze over de legitieme code op een parkeermeter, restaurantaan tafeltent of openbaar prikbord. De wissel duurt seconden. De aanvaller kan dan het gebied verlaten en op afstand gestolen gegevens verzamelen. Een enkele goed geplaatste sticker op een drukke parkeermeter kan tientallen slachtoffers per dag vangen.

E-mail-gebaseerde quishing volgt een ander draaiboek. Aanvallers sturen berichten die banken, HR-afdelingen of pakketbezorgers nabootsen, bewerende dat de ontvanger hun account moet verifiëren of een levering moet volgen, en een QR-code bijvoegen om 'met uw telefoon te scannen voor extra beveiliging.' Deze instructie is opzettelijk: de interactie naar een mobiel apparaat verplaatsen brengt het slachtoffer weg van de zakelijke computer met zijn beveiligingstools en naar een persoonlijke telefoon met minder bescherming.
Op de neppagina krijgt het slachtoffer een gepolijst formulier voor het verzamelen van inloggegevens. Meer geavanceerde aanvallen gebruiken real-time relaytechnieken: terwijl het slachtoffer zijn gebruikersnaam en wachtwoord invoert, voert de aanvaller die inloggegevens tegelijkertijd in op de echte website, stuurt de tweestapsverificatieprompt terug naar het slachtoffer, waarbij 2FA-bescherming volledig wordt omzeild.
Niet zeker over een link van een QR-code? Plak de URL in Truvizy om het te controleren op phishing-indicatoren voordat u informatie invoert.
Waar Nep QR-codes Verschijnen
Parkeermeters en betaalkiosken behoren tot de meest aangevallen locaties. Het Texas Department of Transportation documenteerde tientallen nep QR-codestickers op parkeermeters in grote steden in 2024. Slachtoffers voerden volledige creditcardgegevens in met de verwachting te betalen voor parkeren en gaven hun financiële data rechtstreeks aan oplichters. De oplichting werkt bijzonder goed omdat parkeerbetalingen stressvol zijn, bestuurders haasten zich vaak en inspecteren het betaalinterface niet goed.
Restaurant tafeltenten en menu's werden een groot aanvalsvector naarmate contactloos dineren zich verspreidde na de pandemie. Een sticker met een frauduleuze QR-code op of naast een legitieme kan gasten doorsturen naar een nepmenu of betaalpagina. In sommige gevallen toont de neppagina zelfs een overtuigend menu voordat het doorlinkt naar een formulier voor het verzamelen van inloggegevens, bewerend dat het restaurant is overgestapt op online bestellen.
Retourlabels van pakketjes vertegenwoordigen een snel groeiende aanvalscategorie. Slachtoffers ontvangen pakketten, soms onopgevraagd, soms als onderdeel van een nep prijscampagne, met retourlabels met QR-codes. De code scannen zou een retour initiëren maar leidt in plaats daarvan naar een nep retailerportaal dat om creditcardgegevens vraagt voor 'terugbetalingsverwerking.'
Openbaar vervoer en bushaltes dragen significant risico omdat de bewegwijzering wordt beheerd door gemeenten met beperkte bewakingscapaciteit. Frauduleuze codes op transitkaarten, ticketkiosken of OV-betaalschermen kunnen dagenlang onopgemerkt blijven voor verwijdering. In het VK verwijderde Transport for London honderden frauduleuze QR-codes van stations in 2025.
E-mail- en document-gebaseerde aanvallen richten zich op bedrijven evenveel als consumenten. Nep facturen met QR-codes voor 'veilige betaling', frauduleuze HR-meldingen die medewerkers vragen een code te scannen om salarisgegevens bij te werken, en nep pakketbezorgingsmeldingen zijn allemaal veel voorkomende zakelijke aanvalsvectoren. Zoals besproken in onze gids voor phishing-e-maildetectie, worden e-mail-gebaseerde aanvallen steeds geavanceerder in hun gebruik van visuele elementen om geautomatiseerde filtering te omzeilen.
Nep liefdadigheid- en fondsenwervingsflyers maken misbruik van vrijgevigheid. Na natuurrampen of grote nieuwsgebeurtenissen verschijnen frauduleuze flyers met donatie-QR-codes op gemeenschapsprikborden, in supermarkten en op sociale media. De codes linken naar overtuigende nep liefdadigheidsbetaalpagina's die donaties en kaartgegevens verzamelen zonder ooit een echte donatie te doen.
Waarom QR-oplichting Zo Effectief Is
De effectiviteit van quishing komt voort uit een fundamentele vertrouwensfout. QR-codes worden geassocieerd met gemak en moderniteit, ze worden geplaatst door legitieme bedrijven op officieel materiaal. Mensen zijn door jaren van gebruik getraind om de fysieke context van een QR-code meer te vertrouwen dan een willekeurige e-maillink. Een code op een restauranttafel of een parkeermeter draagt een impliciete goedkeuring van de locatie zelf.
Camera-apps bieden minimale wrijving. De meeste smartphones herkennen QR-codes automatisch en tonen een kleine URL-preview die gebruikers instinctief wegklikken zonder te lezen. Het previewvenster is klein, de URL is vaak lang of verkort, en de natuurlijke neiging van het brein om patronen te herkennen betekent dat gebruikers vaak zien wat ze verwachten in plaats van wat er werkelijk staat. Een URL zoals 'secure-payment-parkingzone.com' wordt gelezen als 'parking' door een afleidende gebruiker, ook al signaleert het gevaar voor een zorgvuldige.
U arriveert bij een parkeermeter en scant de QR-code. De camera van uw telefoon toont een preview-URL: 'parking-pay-secure-city.com/pay'. De meter staat in een grote stad. Wat moet u doen?
- Open de link onmiddellijk, het noemt de stad dus het moet legitiem zijn
- Controleer de URL zorgvuldig: komt het overeen met het officiële parkeerdomein van uw stad?
- Scan de code opnieuw en hoop dat het eerste resultaat correct was
- Voer uw kaartgegevens in, het is slechts parkeren, de risico's zijn laag
Answer: Generiek klinkende domeinen zoals 'parking-pay-secure-city.com' zijn een groot alarmsignaal. Het officiële parkeersysteem van uw stad heeft een specifiek, bekend domein. Controleer altijd of de bestemmings-URL overeenkomt met het verwachte officiële domein voordat u betalingsinformatie invoert, of gebruik de fysieke kaartgleuf als dat beschikbaar is.
De mobiele context verwijdert ook veel van de beveiligingstools die mensen op desktopcomputers hebben. Zakelijke eindpuntbescherming, browserextensies die phishingsites markeren en de gewoonte om over links te bewegen voor preview vertalen zich niet naar mobiel. Op een telefoon is de gebruiker grotendeels op zichzelf aangewezen.
Hoe u een Nep QR-code Herkent
Inspecteer de code fysiek. Zoek naar stickers die op gedrukt materiaal zijn geplaatst. Nep stickers hebben vaak iets ander papiersoort, lichte verkeerde uitlijning met omliggende ontwerpelementen, of zichtbare randen waar de sticker gedrukte tekst overlapt. Ga met uw vingernagel over het oppervlak, een gelaagde sticker heeft meestal een subtiele verhoogde rand.
Lees de volledige URL voordat u tikt. Nadat uw camera een code scant, verschijnt een preview-melding of banner. Stop voordat u erop tikt en lees de volledige URL. Zoek naar: de verwachte bedrijfsnaam in het domein (niet als achtervoegsel of voorvoegsel), een legitiem topleveldomein (.com,.gov,.org, geen ongewone extensies zoals.xyz of.top) en de afwezigheid van extra woorden zoals 'secure', 'login', 'verify' of 'payment' vastgeplakt aan wat eruitziet als een merknaam.
Wees sceptisch over urgentie. Codes gecombineerd met taal zoals 'Scan onmiddellijk,' 'Beperkte tijdaanbieding' of 'Vereist voor toegang' zijn ontworpen om u te laten handelen voor u nadenkt. Legitieme bedrijven gebruiken doorgaans geen urgente, hoge-druk taal rondom QR-betaalcodes.
Vergelijk met officiële kanalen. Voordat u een QR-code scant van een e-mail of document dat beweert van uw bank, HR-afdeling of een bezorger te zijn, controleer dan of die organisatie de communicatie werkelijk heeft gestuurd door ze direct te contacteren via hun officiële website of app. Gebruik nooit contactinformatie verstrekt in hetzelfde bericht dat de QR-code bevat. Voor het evalueren van verdachte links en inhoud van onbekende bronnen kan Truvizy's scantool u helpen het risico te beoordelen voor u actie onderneemt.
Gebruik het alternatief als dat beschikbaar is. Als een QR-code de enige betaaloptie is bij een parkeermeter of kiosk, overweeg dan de fysieke kaartgleuf te gebruiken, te betalen via een speciale officiële app die u hebt gedownload uit een geverifieerde app store, of een andere methode te vinden. Gemak moet nooit veiligheid overstijgen als betaling of persoonlijke informatie in het spel is.

Wat te Doen Als u Bent Opgelicht
Als u een code heeft gescand, de link heeft geopend en informatie heeft ingevoerd, handel snel. Elke minuut vertraging geeft de aanvaller meer tijd om uw gegevens te gebruiken.
Als u betalingskaartengegevens heeft ingevoerd: Bel de fraudelijn van uw bank onmiddellijk (gebruik het nummer op de achterkant van uw kaart, niet een nummer van de verdachte site). Vraag een kaartbevriezing of -vervanging aan. Vraag de bank eventuele afschrijvingen te markeren vanaf het moment dat u de informatie heeft ingevoerd.
Als u inloggegevens heeft ingevoerd: Wijzig uw wachtwoord onmiddellijk via een apart, vertrouwd apparaat. Schakel tweestapsverificatie in als dat nog niet actief is. Controleer op onbekende apparaten of sessies die zijn ingelogd op het account en verwijder deze. Als u hetzelfde wachtwoord elders gebruikt, verander die ook.
Plaats een fraudewaarschuwing op uw kredietdossier bij de kredietbureaus, dit informeert de anderen automatisch. Als u gelooft dat uw identiteit is gecompromitteerd, overweeg dan een kredietbevriezing, die gratis is en voorkomt dat nieuwe accounts worden geopend op uw naam. Onze uitgebreide gids over identiteitsdiefstalpreventie behandelt het volledige herstelproces in detail.
Bescherm uzelf tegen QR-code oplichting en andere mobiele bedreigingen met AI-aangedreven fraudedetectie.
Uzelf Beschermen voor de Toekomst
De belangrijkste gewoonte is pauze voor u tikt. Het gehele ontwerp van quishing berust op het feit dat QR-scannen automatisch en ogenblikkelijk aanvoelt. Die automatische reactie doorbreken, zelfs voor twee seconden om een URL te lezen, verstoort de aanval. Maak er een regel van: preview-URL eerst, openen als tweede.
Gebruik een speciale QR-scannerapp die real-time veiligheidscontroles uitvoert op de gedecodeerde URL voordat deze aan u wordt gepresenteerd. Deze apps, gratis beschikbaar bij grote beveiligingsleveranciers, functioneren als een URL-checker ingebouwd in uw scanworkflow. Ze zijn het mobiele equivalent van over een link bewegen voor u klikt.
Houd het besturingssysteem en de browser van uw telefoon bijgewerkt. Beveiligingspatches sluiten vaak kwetsbaarheden die drive-by download-aanvallen uitbuiten wanneer een kwaadaardige site wordt bezocht. Een niet-gepatchte telefoon is aanzienlijk kwetsbaarder voor de tweede fase van een quishing-aanval, zelfs als uw inloggegevens veilig blijven.
Schakel tweestapsverificatie in met een authenticatorapp, niet sms. Zoals we opmerkten in onze gids over smishing en tekstoplichting, kan sms-gebaseerde 2FA worden onderschept. Een authenticatorapp genereert codes lokaal op uw apparaat, waardoor real-time relay-aanvallen aanzienlijk moeilijker worden.
Meld verdachte codes waar u ze ook vindt. Als u een sticker ziet die er verdacht uitziet op een openbare QR-code, fotografeer de locatie en meld het bij het bedrijf of lokale autoriteiten. Het verwijderen van een kwaadaardige sticker binnen uren kan tientallen andere potentiële slachtoffers beschermen.
Key Takeaways
- Lees altijd de volledige bestemmings-URL in uw camera-preview voordat u op een QR-codelink tikt, vooral bij parkeermeters, restaurants en vervoershaltes.
- Nep QR-codestickers kunnen over legitieme codes verschijnen en zijn bijna onmogelijk te detecteren zonder fysieke inspectie op overlappende randen.
- QR-codes in e-mails omzeilen de meeste zakelijke phishingfilters, behandel ze met hetzelfde scepticisme dat u op elke e-maillink zou toepassen.
- Als u betalings- of inloggegevens heeft ingevoerd op een verdachte site, neem dan onmiddellijk contact op met uw bank en verander getroffen wachtwoorden via een apart apparaat.
QR-codes verdwijnen niet, en de oplichters die ze exploiteren ook niet. Naarmate contactloze betalingen, digitale menu's en mobiel-eerste diensten dieper ingebed raken in het dagelijks leven, zal quishing geavanceerder en alomtegenwoordiger worden. Het tegengif is bewustzijn: weten dat elke fysieke QR-code kan worden vervangen, dat elke code in een e-mail overal naartoe kan linken, en dat de twee seconden die nodig zijn om een URL te lezen voor het tikken de twee seconden zouden kunnen zijn die u redden van een zeer kostbare les.
Truvizy's beschermingsplannen bevatten tools voor het analyseren van verdachte URL's en links, plak een URL gedecodeerd van een QR-code in Truvizy voordat u die opent en krijg een directe AI-aangedreven beoordeling van de legitimiteit. In een dreigingslandschap waar oplichters kwaadaardige links verbergen in afbeeldingen is het hebben van een tool die de werkelijke bestemming controleert niet langer optioneel, het is essentieel.
Smishing: Waarom Dat Sms-bericht van Uw Bank Waarschijnlijk Oplichting Is — Sms-gebaseerde phishing die hetzelfde psychologische draaiboek deelt als quishing.
Phishing-e-maildetectie — Hoe e-mail-gebaseerde aanvallen te identificeren, inclusief die welke QR-codes gebruiken om filters te omzeilen.
Social Engineering Aanvallen — De psychologische manipulatietechnieken achter quishing en alle moderne oplichting.
FAQ
Wat is quishing?
Quishing is QR-code phishing, een oplichting waarbij aanvallers nep QR-codes vervangen of aanmaken die slachtoffers doorsturen naar kwaadaardige websites die zijn ontworpen om inloggegevens, betalingsinformatie te stelen of malware op hun apparaat te installeren.
Hoe kan ik zien of een QR-code nep is voordat ik scan?
Inspecteer de code fysiek: zoek naar stickers die over een originele code zijn geplakt, schade aan het omliggende materiaal of codes die er iets anders uitzien dan de naburige. Controleer na het scannen altijd de volledige bestemmings-URL in de preview van uw camera-app voordat u op 'openen' tikt. Als de URL niet exact overeenkomt met het verwachte bedrijfsdomein, ga dan niet verder.
Kan het scannen van een QR-code malware op mijn telefoon installeren?
Enkel een QR-code scannen met uw camera installeert geen malware, maar het openen van de resulterende link kan dat wel. Kwaadaardige sites kunnen drive-by downloads proberen, phishing van inloggegevens of u vragen een nep-app te installeren. Houd uw telefoon-OS bijgewerkt, vermijd het toestaan van app-installaties van onbekende bronnen en gebruik een QR-scanner met ingebouwde URL-veiligheidscontrole.
Welke locaties hebben het hoogste risico op nep QR-codes?
Risicovolle locaties zijn parkeermeters, restauranttafels en menu's, openbaar vervoershaltes, pakket retourlabels, hotellobby's en flyers in openbare ruimtes. Elke onbeheerde fysieke ruimte waar iemand een nacht een code kan vervangen zonder detectie is een potentieel doelwit.
Wat moet ik doen als ik al gescand heb en informatie heb ingevoerd op een verdachte site?
Handel onmiddellijk: verander alle wachtwoorden die u heeft ingevoerd, neem contact op met uw bank als u betalingsgegevens heeft verstrekt, schakel tweestapsverificatie in op getroffen accounts en houd uw kredietrapport in de gaten. Meld het incident bij de FTC op reportfraud.ftc.gov en, als het op bedrijfseigendom was, waarschuw het bedrijf zodat ze de gecompromitteerde code kunnen vervangen.