U vindt QR-codes tegenwoordig overal: van yoghurtverpakkingen, in tentoonstellingen tot op energierekeningen en kaartjes voor de loterij. Mensen gebruiken ze om websites te openen, apps te downloaden, loyaliteitspunten te verzamelen, betalingen te doen en geld over te maken, en zelfs om aan goede doelen te doneren. Deze toegankelijke en praktische technologie is voor veel mensen erg handig, en dus ook voor cybercriminelen, die inmiddels ook al tal van trucs met gebruik van QR-codes hebben ontworpen. Hier leest u wat er fout kan gaan met deze alomtegenwoordige zwart-witte vierkantjes en hoe u ze onbezorgd kunt blijven gebruiken.
Wat QR-codes zijn en hoe ze gebruikt worden
Vandaag de dag bezit bijna iedereen een smartphone. Veel van de nieuwste modellen beschikken over een ingebouwde QR-scanner, maar iedereen kan een app downloaden die alle QR-codes leest, of voor een speciale app voor bijvoorbeeld een museum kiezen.
Om een QR-code te scannen, opent de gebruiker gewoon de scanner-app en richt men de camera van de telefoon op de code. In de meeste gevallen geeft de smartphone vervolgens een melding om naar een bepaalde website te gaan of om een app te downloaden. Er zijn echter ook andere opties, die we iets later zullen bespreken.
Gespecialiseerde scanners gebruiken een specifieke set QR-codes. U zou zo’n code bijvoorbeeld kunnen vinden op een boom van historisch belang in een park, en als u deze zou scannen met de officiële app van het park, kan er bijvoorbeeld een begeleide tour worden gestart, terwijl een standaard scanner simpelweg een beschrijving zou openen op de website van het park.
Sommige apps kunnen bovendien QR-codes creëren om bepaalde informatie te bieden aan degene die ze scannen. Ze zouden dan bijvoorbeeld de naam en het wachtwoord van uw wifi-netwerk voor gasten of u bankgegevens kunnen ontvangen.
Hoe cybercriminelen QR-codes gebruiken
QR-codes zijn in principe gewoon een iets geavanceerdere versie van streepjescodes, dus wat kan er nou misgaan? Een hele hoop, zo blijkt. Mensen kunnen QR-codes niet lezen of anderszins vooraf controleren wat er gebeurt als u ze scant, dus we moeten op de integriteit van de makers van de code vertrouwen. We kunnen ook niet weten wat een QR-code allemaal omvat, zelfs niet als we onze eigen code creëren. Het systeem kan op allerlei manieren benut worden.
Neplinks
Een QR-code die is gemaakt door cybercriminelen kan naar een phishing-site leiden die eruitziet als de inlogpagina van een sociaal netwerk of online bank. Daarom raden we aan om links altijd te controleren voordat u erop tikt of klikt. Een QR-code biedt deze mogelijkheid echter niet. Aanvallers gebruiken bovendien vaak ingekorte links, waardoor het moeilijker is om een neplink te herkennen als de smartphone om bevestiging vraagt.
Vergelijkbare trucs kunnen gebruikers misleiden, waardoor ze malware downloaden in plaats van de beoogde game of tool. Vanaf dat moment is er van alles mogelijk: de malware kan wachtwoorden stelen, schadelijke berichten naar uw contacten sturen, en meer.
QR-gecodeerde commando’s
Behalve het linken naar een website, kan een QR-code ook een commando bevatten om bepaalde acties uit te voeren. Ook hier zijn er tal van mogelijkheden, en hieronder staan slechts een aantal voorbeelden:
- Een contact toevoegen;
- Een uitgaande oproep doen;
- Een e-mail opstellen en de ontvangers en onderwerpregel invullen;
- Een sms verzenden;
- Uw locatie met een app delen;
- Een social media-account aanmaken;
- Een evenement in uw kalender zetten;
- Een voorkeurs-wifi-netwerk instellen met inloggegevens voor automatische verbinding.
De rode draad is hier de automatisering van algemene handelingen. Door een QR-code te scannen kunt u bijvoorbeeld de contactgegevens van een visitekaartje toevoegen, voor parkeren betalen of toegang bieden tot een wifi-netwerk voor gasten.
Deze verscheidenheid aan mogelijkheden zorgt ervoor dat QR-codes ideaal voor manipulatie zijn. Scammers kunnen bijvoorbeeld hun contactinformatie aan uw adresboek toevoegen onder de naam “Bank”, voor extra geloofwaardigheid als ze u vervolgens proberen te bellen. Of een betaald nummer bellen op uw kosten. Of ontdekken waar u zich bevindt.
Hoe cybercriminelen QR-codes maskeren
Aanvallers die kwaad in de zin hebben met een QR-code, moeten u eerst overhalen om deze te scannen. Om dat te doen, gebruiken ze een aantal trucs.
Schadelijke bronnen. Cybercriminelen kunnen een QR-code met een link naar hun creatie op een website, in een banner, in een e-mail of zelfs op een afgedrukte advertentie plaatsen. Het doel is vaak om slachtoffers een schadelijke app te laten downloaden. In veel gevallen staan er logo’s van Google Play en de App Store naast de code voor extra geloofwaardigheid.
Vervanging. Het is niet ongebruikelijk voor aanvallers om te profiteren van het werk en de reputatie van legitieme partijen, door een echte QR-code op bijvoorbeeld een poster te vervangen door hun eigen code.
Misbruik van QR-codes is niet beperkt tot cybercriminelen; sociale activisten zonder scrupules zijn inmiddels ook begonnen met de vervanging van QR-codes om hun ideeën te verspreiden. In Australië werd er bijvoorbeeld onlangs een man gearresteerd voor het vervalsen van de QR-codes bij incheck-bordjes bij COVID-19-centra, zodat bezoekers naar een anti-vaccinatie-website werden geleid.
Nogmaals: de mogelijkheden zijn bijna eindeloos. QR-codes zijn ook vaak aanwezig op rekeningen van nutsbedrijven, pamfletten, bordjes in kantoren en eigenlijk vrijwel elke plek waar u informatie of instructies kunt verwachten.
Hoe voorkomt u problemen met QR-codes?
Voor uw eigen veiligheid moet u een aantal simpele regels volgen bij het gebruik van QR-codes:
- Scan geen QR-codes van overduidelijk verdachte bronnen;
- Let goed op de link die wordt weergegeven na het scannen van de code. Wees vooral op uw hoede als de link is ingekort, want met QR-codes is er eigenlijk geen echte reden om een link in te korten. Gebruik in plaats daarvan een zoekmachine of de officiële winkel om te vinden wat u zoekt;
- Doe een snelle fysieke check voor u een QR-code op een poster of bord scant, om u ervan te verzekeren dat de code niet bovenop de oorspronkelijke afbeelding is geplakt;
- Gebruik een programma zoals Kaspersky’s QR Scanner (beschikbaar voor Android en iOS) dat QR-codes op schadelijke content controleert.
QR-codes kunnen ook waardevolle informatie bevatten, zoals nummers van e-tickets, dus u moet documenten met QR-codes nooit op sociale media posten.