Nieuws en tips

Nieuwste cyberdreiging 'quishing' toont de duistere kant van QR-codes

Geschreven door techne | Nov 8, 2023 7:45:00 AM

Cybercriminelen testen continu nieuwe manieren om meer slachtoffers te maken. Quishing of QR-phishing is vandaag een geliefd wapen in hun arsenaal. Deze nieuwe manier van scam gebruikt QR-codes als lokaas. In deze blog duiken we dieper in op wat quishing is, welke gevaren het met zich meebrengt en hoe je jezelf ertegen kan wapenen.

Op deze pagina: 

  1. Wat is quishing en hoe werkt het?

  2. De opkomst van quishing

  3. Een voorbeeld van quishing

  4. De rol van van organisaties
  5. Bescherm jezelf tegen quishing

 

Wat is quishing en hoe werkt het?

Quishing, een samensmelting van 'QR-codes' en 'phishing', is een nieuwe scam techniek van cybercriminelen. Het is bedrieglijk eenvoudig: hackers maken gemanipuleerde QR-codes (iedereen kan deze maken, zelfs via gratis tools) die ze verspreiden via e-mails, sociale media of zelfs geplaatst op publieke plekken. Wanneer een argeloze gebruiker deze qr-code scant leidt deze naar een misleidende kopie van een legitieme website van bijvoorbeeld een bedrijf of de overheid, of wordt getracht om malware op het toestel te installeren.

 

De opkomst van quishing

Met de pandemie werden QR-codes een vertrouwd zicht. Je ziet ze vandaag onder andere op advertenties, entreebewijzen, visitekaartjes en menukaarten in restaurants. Door het scannen van een qr-code kan je snel een actie uitvoeren zoals het bezoeken van een url, bellen van een telefoonnummer, versturen van een e-mail adres en delen van een Wifi-login.

Volgens het Centrum voor Cybersecurity Belgiƫ (CCB) spelen cybercriminelen in op die vergrote adoptie van qr-codes en neemt het aantal gevallen van quishing toe. Incidenten variƫren van parkeergarages waar je denkt voor parkeren te betalen tot nep-e-mails die zogezegd boetes of rekeningen innen.

 

Een voorbeeld van quishing

Bij verdachte mails is het belangrijk om altijd over de link(s) in de mail te hoveren zodat je ziet waar deze naartoe leidt. Bij quishing ligt dat anders. Doordat een QR-code gebruikt wordt, kan je de link niet meteen controleren. Check daarom altijd de afzender van zo een e-mail. In dit geval zie je dat deze vanuit fordec.ip gestuurd werd en niet vanuit Microsoft.

Tip: Het grijze balkje met 'you don't often get email from...' is trouwens een beveiligingsfunctie van Outlook, de ' first contact safety tip'. IT-admins kunnen deze functie inschakelen.

Twijfel je nog of de mail echt wel legitiem is, neem dan op een andere manier contact op met de afzender.

 

De rol van organisaties

Bedrijven en organisaties dragen de verantwoordelijkheid om een cultuur te ontwikkelen waarin digitale waakzaamheid en bewustzijn centraal staan. Dit doel is te realiseren door het opzetten van interne simulatiecampagnes die phishing- en quishing-tactieken nabootsen, zodat medewerkers leren om deze vormen van bedrog te identificeren en er adequaat op te reageren. Klik hier als je meer wilt weten over phishing simulaties. Het CCB lanceerde ook een 10-delige reeks om het bewustzijn over cyberveiligheid op de werkvloer te verhogen. Deze kan je hier bekijken.

Bescherm jezelf tegen quishing

De strijd tegen quishing is vergelijkbaar met die tegen phishing:

  • Wees kritisch: behandel QR-codes met dezelfde voorzichtigheid als onbekende hyperlinks. Voelt iets niet betrouwbaar, scan dan niet.
  • Controleer de bron: verifieer de afzender vooraleer je een QR-code scant 
  • Veilige scanners: kies voor QR-scanners die links controleren op veiligheid voordat ze je doorsturen, bijvoorbeeld zoals de Veilige QR Scanner van Kaspersky.
  • Voer updates uit: houd de software op al je toestellen up-to-date om beveiligingsrisico's te minimaliseren.
  • Gebruik je gezond verstand: vraag bij twijfel bevestiging aan de afzender wanneer je een QR-code krijgt voor betalingen of belangrijke updates.

In de dynamische digitale wereld waar innovatie en risico hand in hand gaan, toont quishing aan dat we alert moeten zijn voor de constante cyberdreigingen. De noodzaak om je medewerkers goed te informeren en trainen is een must geworden, net zoals de implementatie van een adequate beveiliging.

Een vraag over cybersecurity? Twijfels bij malafide mails? Onze helpdesk is steeds beschikbaar via helpdesk@techne.be en 02/669 00 30.