Er zijn veel manieren waarop phishing kan voorkomen, aan de telefoon doordat iemand letterlijk vist naar informatie. Maar vaker is phishing dat iemand verleid wordt tot het klikken van een linkje. Dit linkje verwijst dan naar een neppe internetbankieren website, om jouw bankgegevens te stelen. Of andere persoonlijke gegevens die ingevuld moet worden. Minder vaak komt voor dat door het klikken van een linkje, malware wordt geïnstalleerd.
Hoe dit phishing linkje verspreid wordt kan ook op verschillende manieren, meeste voorkomend is via e-mail. Maar ook via social mediakanalen of Marktplaatschat komt het voor. Ook via SMS, wat smishing genoemd wordt. Maar een nieuwe voor veel mensen onbekende vorm is via QR-codes, dit wordt qhishing genoemd. Wat is qhishing precies en hoe kunnen we qhishing-links herkennen?
Wat is qhishing?
"Qhishing" is een samentrekking van de woorden "QR-codes" en "phishing". Een QR (Quick Repsonse)-code komen we vaak tegen in ons dagelijks leven. Denk aan een reclame bij het busstation, waarbij door het scannen van een QR-code leidt naar een website. Of om de menu-kaart van een restaurant te zien, scan je de QR-code die op de tafel zichtbaar staat. Of via een QR-code kan verbinding maken met een WiFi-netwerk of een betaling doen in je bankapp. Het scannen van een QR-code wordt steeds normaler, maar wat is het nou eigenlijk?
Een QR-code is niks anders dan een geavanceerde barcode in pixelvorm. Het verschil met een barcode is dat je bij het aanmaken van een QR code een keuze kan maken wat er moet gebeuren zodra de QR code gescand wordt. Je kan bijvoorbeeld een website openen, een voorgeprogrammeerd e-mailbericht tonen klaar om te verzenden. Of een video openen op YouTube of direct naar een social media kanaal gaan. Het is niet onveilig om QR-codes te openen, het is handig daarom wordt het steeds vaker gebruikt. Let alleen op met wat je opent!
Hoe werkt qhishing?
In Qhishing is het belangrijk om te weten dat een QR-code in principe gewoon een linkje is. Een linkje die je kan inspecteren, maar je ziet het linkje niet direct. Je ziet de zwart witte pixelvorm code. Maar als je een QR-code scanner gebruikt of de camera van de iPhone dan zie je altijd eerst het linkje waar de QR-code naartoe gaat. Dit linkje moet je eigenlijk net als een link in een e-mail behandelen. Dit linkje kan je dus inspecteren, kijken of het een legitieme link:
- Bekijk het top-leveldomein (.nl, .com, .info of .xyz?). Verwacht je dit top-leveldomein met deze website?
- Check de domeinnaam op typosquatting: rabobakn ipv rabobank.
- Als je het niet zeker weet, gebruik Google om het linkje te verifieren of via checkjelinkje.nl.
Een voorbeeld van een qhishing-bericht:
In deze brief staat een QR-code om een nieuwe veiligere app te installeren van ING. Als je de QR-code scant installeer je de app en vult jouw ING gegevens in. Dit is een valse app en zorgt ervoor dat de oplichter zelf een échte ING Mobiel Bankieren App op jouw naam kan installeren, met de gegevens die je ingevuld hebt via de valse app.
Toch foute code gescand?
Het scannen van een foute QR-code zelf is niet waar het gevaar in schuilt. Het belangrijkste is dat je er in ieder geval bij stilstaat en controleert of het webadres goed of fout is.
Ben je toch al op de website beland, dan kun je alsnog in de adresbalk checken of dit een nepwebsite is. Belangrijk is om voorzichtig te zijn en altijd een website te controleren voordat je persoonlijke gegevens invult of iets downloadt!
Toch persoonlijke gegevens ingevuld?
- Heb je wachtwoorden ingevuld? Verander deze dan direct. Ook op andere websites waar je hetzelfde wachtwoord gebruikt.
- Heb je bankgegevens ingevuld? Neem dan direct contact op met jouw bank.
- Heb je creditcardgegevens ingevuld? Neem dan contact op met je creditcardmaatschappij.
- Heb je een e-mailadres ingevuld? Wees dan erop alert dat je (meer) spam kan ontvangen.
- Heb je je telefoonnummer ingevuld? Wees dan erop alert dat cybercriminelen je ook telefonisch kunnen proberen op te lichten.
- Persoonlijke gegevens kunnen criminelen ook gebruiken om je daarna te benaderen voor andere vormen van oplichting.
Conclusie
Phishing komt niet alleen voor over e-mail maar via elk kanaal waar een kwaadwillende jou een bericht op kan sturen. Zo ook via SMS, dit noem je Smishing. Maar ook via QR-codes, dit noem je Qhishing of Quishing. Sqishing is een effectieve tactiek voor cybercriminelen om gevoelige informatie te stelen, financiële fraude te plegen of malware te verspreiden. Omdat we het steeds vaker gebruiken in ons dagelijks leven, en we niet bewust zijn van de gevaren. We scannen maar en kijken niet waar het ons naartoe leidt.
Verifieer dus ook bij het scannen van de QR-codes eerst de link waar het naartoe leidt. Als je het niet vertrouwd gebruik gewoon de manieren die je kent, dus via de website of via Google. QR-codes maken het je namelijk makkelijk, het is handig en niet noodzakelijk.