QR-codes kunnen gevaarlijker zijn dan je denkt, waarschuwt fraude-expert: ‘Rekening geplunderd’

QR-codes namen de afgelopen jaren een vlucht. We scannen ze inmiddels bijna gedachteloos in restaurants, festivals of op straat. Maar achter die ogenschijnlijk onschuldige zwarte blokjes kan iets héél anders schuilgaan dan je verwacht. Een fraude-expert pleit daarom voor meer oplettendheid bij het scannen van een QR-code.

Uit recent onderzoek van Ipsos I&O, in opdracht van ABN AMRO, blijkt dat één op de vier Nederlanders wekelijks een QR-code scant. Daarvan staat de helft stil bij de risico’s ervan. Ook weet bijna driekwart niet hoe je de betrouwbaarheid van een QR-code controleert. Eén op de tien Nederlanders heeft al eens te maken gehad met financiële schade (4 procent) of het ongewild delen van persoonlijke gegevens (5 procent).

Oplichting via QR-codes wordt QR-codefraude of ‘qhishing’ genoemd. Het is een vorm van phishing. Hierbij gebruiken criminelen QR-codes om mensen naar valse websites of apps te leiden, in een poging om persoonlijke gegevens, zoals bankgegevens of wachtwoorden, te stelen. Fraude met QR-codes komt op verschillende plekken voor: op straat, in winkels, restaurants en in brieven van officiële instanties. Het Openbaar Ministerie noemde fraude met QR-codes op GGD-locaties al eens een „heel lucratieve bezigheid”.

Gebruik van QR-codes toegenomen

Marco Hendriks, fraude-expert bij ABN AMRO, vertelt aan Metro dat het gebruik van QR-codes in de coronaperiode toenam. En dat is niet voor niets. „Het voordeel van een QR-code is dat je met één handeling op de plek terechtkomt waar een bedrijf jou wil hebben. Als je een formulier moet invullen of een reis moet boeken, zit je meteen op de goede pagina. Voor een bedrijf helpt het dat klanten niet wegscrollen en meteen hun bestelling doen of zaken regelen. Zowel voor het bedrijf als de consument is er gemak. En het grootste deel is natuurlijk veilig.”

Maar in dat stukje gemak zit óók het gevaar. „Het geeft een heel veilig gevoel, een QR-code. Soms wordt het logo van bijvoorbeeld ABN Amro of de Belastingdienst erin geplakt. Dat voelt vertrouwd. Vervolgens sta je er eigenlijk niet meer bij stil.”

Rekening geplunderd

Het scannen zelf kan in principe geen kwaad. „Dat is alleen maar een snelle stap naar die site.” Het is pas foute boel als je gegevens deelt („zeker belangrijke gegevens als je DigiD”) of een betaling doet.

Ga je toch verder met een malafide QR-code, dan zijn er meerdere dingen die kunnen gebeuren. Je rekening kan bijvoorbeeld worden geplunderd, maar er zijn ook andere vormen van de QR-codefraude. „Er wordt bijvoorbeeld ook gehengeld naar je DigiD of je adresgegevens.”

Doe de check

Volgens Hendriks moet je altijd een „beetje wantrouwig zijn”. „Heb je twijfels, dan moet je het niet doen.”

Het dubbelchecken begint bij de link. „Ga er met de cursor op staan om te kijken of het klopt. Als je een QR-code scant van de Belastingdienst, moet je bij Belastingdienst.nl uitkomen. Hetzelfde geldt voor ABN AMRO en dan moet ook dat slotje zichtbaar zijn. Het is niet altijd makkelijk om te zien. Soms heeft de link bijvoorbeeld een spatie ertussen.”

Wil je zeker zijn van je zaak, dan kun je de Checkjelinkje-app gebruiken. „Op het moment dat je de QR-scanner van Checkjelinkje gebruikt, scant die automatisch of je link veilig is. Maar ik kan me ook voorstellen dat niet iedereen die QR-scanner gebruikt. Dus dan is het goed om toch je gezond verstand te gebruiken.”

Ook als je verder gaat, is het volgens Hendriks goed om jezelf een paar vragen te stellen. „Ben ik wel op de website waar ik wil zijn? Past het met waar ik verwacht te zijn? En is het logisch dat ik hier deze gegevens invul? Als je denkt ‘waarom hebben ze die gegevens nodig?’, dan moet je stoppen.”

Fraude met QR-codes komt dagelijks voor

Volgens de fraude-expert zijn veel mensen onvoorzichtig. „Ik zeg weleens gekscherend: zet een bord met een QR-code buiten een restaurant of op een festival en ik durf te redden dat meer dan de helft gewoon standaard die code scant.”

Hendriks merkt uit gesprekken met klanten dat QR-code-fraude dagelijks voorkomt. „Soms met schade, soms hebben we de klant daarvoor nog kunnen behoeden. Dan hebben ze de QR-code wel gescand en gegevens achtergelaten, maar zaten wij er gelukkig nog op tijd tussen.”

Ze hebben de code niet gecheckt en dachten dat het wel veilig was.

Dat zit zo: „Als wij een transactie zien waarvan we denken ‘dit klopt niet’, dan houden we ‘m tegen en nemen we contact op met de klant. Dan hebben ze gelukkig geen financiële schade. Ze blijven wel slachtoffer van fraude, wat ze hebben handelingen gedaan waar ze achteraf spijt van kregen.”

Als de bank met slachtoffers in gesprek gaat, blijkt vaak dat er onoplettendheid in het spel was. „Ze hebben de code niet gecheckt en dachten dat het wel veilig was.”

Als het te laat is

Is het kwaad al geschied? Neem dan contact op met het bedrijf waarvan je denkt dat de QR-code is. „En heb je ook echt financiële gegevens achtergelaten? Bel dan altijd je bank direct, want hoe sneller we erbij zijn, hoe sneller we schade kunnen voorkomen.”

Hij vervolgt: „We kijken altijd wat er gebeurd is en of we achter het geld aan kunnen gaan. Als er een overboeking gedaan is, weten we waar het naartoe is gegaan. Dan nemen we contact op met de andere bank en kijken we wat nog kunnen doen. Maar we weten dat geld binnen 5 seconden aan de andere kant van de wereld kan zijn.”

Doe ook altijd aangifte bij de politie, tipt Hendriks tot slot. „Eerst de bank, dan de aangifte.”

