QR-code fraude lijkt steeds populairder te worden onder criminelen.
Door te zorgen dat jij een nep QR-code scant kunnen de criminelen bij jouw gegevens.
De slachtoffers van dit type scam zijn vaak grote sommen geld kwijt. Hoog tijd dat we ons goed informeren over deze vorm van oplichting. Wat is een QR-code precies, wat zijn de trucs van deze criminelen en hoe kun je je tegen deze oplichterij wapenen?
Wat is een QR-code?
Een QR-code is een soort streepjescode die je gemakkelijk met je mobiele apparaat kunt uitlezen. QR staat hier voor Quick Response, dit omdat het scannen erg snel gaat.
Je ziet QR-codes tegenwoordig overal, op reclamefolders, tijdschriften, visitekaartjes, en nog veel meer. Op de meeste smartphones staat standaard een QR-code app die de codes uit kan lezen. Door met deze app de QR-code te scannen kun je bijvoorbeeld direct een site met meer uitleg openen. Vaak worden QR-codes voor het gemak gebruikt omdat je op deze wijze snel een website kan openen en niet een ingewikkelde URL hoeft over te typen.
Betalen wij straks allemaal met een QR code?
Waar wordt een QR-code voor gebruikt?
De meest voor de hand liggende toepassing van een QR-code is om te verwijzen naar een website.
Je scant de code en de aan de code gekoppelde hyperlink wordt direct geopend. Dat is handig: het scheelt je zoek- en typewerk en je belandt direct op de gewenste webpagina. De codes kunnen daarnaast ook worden gebruikt om te verwijzen naar een bepaalde locatie op Google Maps, om een notitie met aanvullende informatie op te vragen of om bepaalde contactgegevens te tonen.
Veel toepassingen zijn commercieel of informatief van aard: maak je bijvoorbeeld een flyer over een winactie, dan kun je de ontvanger via een op deze flyer afgedrukte QR-code direct verwijzen naar de algemene voorwaarden. Organiseer je een evenement en wil je potentiële bezoekers in staat stellen om in een handomdraai de Facebook-evenementpagina te openen, dan is hetzelfde principe van toepassing.
Ook kan een QR-code verwijzen naar een bepaalde app in mobiele app stores, naar alle denkbare vormen van sociale media en ook naar betaallinks. Zo heeft iDEAL al een eigen QR-code ingericht die inmiddels door een aantal mobiele apps van grote banken zoals ING, Rabobank en ABN AMRO wordt ondersteund. Een QR-code kan daarnaast ook verwijzen naar een PayPal-betaallink of vergelijkbare links van alternatieve financiële dienstverleners.
Je begrijpt waarschijnlijk al waar we naartoe willen, maar helaas wordt ook hier misbruik van gemaakt. Wat op het eerste gezicht een gebruiksvriendelijk en laagdrempelig hulpmiddel lijkt om in een handomdraai een transactie mee te verrichten, kan door personen met minder bonafide intenties worden aangewend om toegang te krijgen tot jouw bankrekening. Reden genoeg om alle bekende varianten even onder de loep te nemen.
Hoe werkt QR-code fraude?
Er zijn verschillende manieren waarop criminelen QR-codes inzetten om mensen te belazeren.
Hieronder kun je lezen over twee veelgebruikte trucs van (cyber)criminelen om nietsvermoedende burgers geld afhandig te maken via een QR-code.
Mobiel internetbankieren
Het uitgangspunt van deze truc is steevast dat iemand die iets op internet te koop aanbiedt al snel door een geïnteresseerde koper wordt benaderd. Deze koper gaat akkoord met de vraagprijs, maar stelt voor om de betaling vanaf zijn zakelijke rekening te voldoen. Om de betaling mogelijk te maken, moet de verkoper echter wel even zijn rekeningnummer doorgeven.
Bij een rechtstreekse transactie tussen twee partijen is dat vrij gangbaar en zeker niet direct reden tot zorg, al zijn er diensten beschikbaar die zelfs deze stap overbodig maken. Marktplaats kent bijvoorbeeld de dienst Gelijk Oversteken, waarbij het betaalde bedrag op een derdenrekening wordt geparkeerd tot de koper aangeeft het pakket te hebben ontvangen. Doordat Marktplaats als bemiddelende partij optreedt, zullen koper noch verkoper elkaars rekeningnummer nodig hebben om de transactie af te kunnen handelen. Overigens biedt ook een dienst als Gelijk Oversteken evenmin volledige bescherming.
In dit fraudescenario krijgt de verkoper na het doorgeven van zijn rekeningnummer echter een QR-code toegestuurd. Dat is een signaal om op je hoede te zijn. Om de betaling daadwerkelijk te kunnen ontvangen, wordt de koper verzocht deze code ter bevestiging te scannen. Omdat het scannen vanuit de daadwerkelijke mobiele app van de bank gebeurt, lijkt alles in eerste instantie betrouwbaar en legitiem.
Als begunstigde partij hoef je echter nooit een specifieke handeling te verrichten om een betaling te kunnen ontvangen. Degene die via internetbankieren rechtstreeks een bedrag naar je overmaakt, heeft genoeg aan je naam en IBAN. Zelf hoef je daar niks meer voor te doen. Wees dan ook altijd alert als iemand je verzoekt om een binnenkomende betaling te bevestigen: dit kan bijvoorbeeld niet alleen via een QR-code, maar ook via de bekendere één-cent-truc.
In dit scenario bleek de code niet te verwijzen naar een (niet-bestaande) betalingsbevestiging, maar naar een inlogportaal dat de oplichter – in combinatie met het eerder ontfutselde bankrekeningnummer – direct toegang geeft tot je betaal- en spaarrekeningen. De inlogcode waarmee jij denkt een binnengekomen betaling te bevestigen, wordt namelijk direct doorgestuurd.
Het scannen van een QR-code om een betaling te ontvangen is dus klinkklare onzin. Maar biedt de mobiele app van jouw bank de mogelijkheid om een QR-code te scannen om juist een betaling te kunnen verrichten? Een legitieme QR-code zoals die van iDEAL bevat vrij prominent het iDEAL-logo. Daarnaast is gebruik van deze functionaliteit voorbehouden aan webwinkels en organisaties die een iDEAL-contract hebben afgesloten met een bank of betaaldienstverlener. In alle andere gevallen is het opletten geblazen: neem in het geval van twijfel contact op met je bank.
De parkeerautomaat babbeltruc
Bij dit type QR-code fraude maakt de crimineel op straat contact met zijn slachtoffer. Middels een babbeltruc probeert hij het slachtoffer ervan te overtuigen om een QR-code op zijn telefoon te scannen. Dit is geen gewone QR-code, want door deze scan kan de crimineel vervolgens in de mobiele bankomgeving van zijn slachtoffer. Hier kan hij of zij vervolgens geld overmaken naar eigen bankrekeningen of bankrekeningen van zogenaamde katvangers.
Nu denk je misschien dat je nooit zomaar een QR-code bij iemand zou scannen, maar de gewiekste criminelen komen met een goed verhaal. Zo waren er recent criminelen actief in Rotterdam en Den Haag die mensen vroegen om te helpen omdat ze alleen contant geld hadden en de parkeerautomaat dit niet accepteerde. Ze vroegen mensen 5 euro over te maken middels een simpele QR-code scan, en gaven hen vervolgens 5 euro cash. Vervolgens waren de behulpzame burgers soms duizenden euro’s licht
De Marktplaatsmethode
QR-code fraude vindt niet alleen op straat plaats. Het is ook een probleem waar aanbieders op websites als Marktplaats mee te maken krijgen. Criminelen reageren dan enthousiast op iets dat je te koop aanbiedt. Ze zeggen het graag van je te willen kopen voor de vraagprijs. Het enige wat ze vragen is dat je een QR-code scant zodat ze zeker weten dat ze het geld naar het goede rekeningnummer overmaken. Maar zodra je dit doet is er niet veel meer van je bankrekening over.
Eerder was er een vergelijkbare truc populair waarbij je 1 eurocent moest overmaken om zo je bankrekening te controleren. Doe dit nooit! Veel websites als Marktplaats hebben een eigen systeem zoals gelijk-oversteken. Hierbij verloopt de transactie via de website en hoef je niemand jouw bankgegevens te geven. Hoewel ook deze methode misbruikt kan worden is de kans een heel stuk kleiner.
Hoe wapen ik me tegen QR-code fraude
Na het lezen van dit artikel zal je niet zomaar meer een QR-code van een vreemde scannen. Bewust zijn is de eerste stap om je te wapenen tegen cybercriminelen.
Hieronder nog wat andere tips om te voorkomen dat je slachtoffer wordt van QR-code fraude.
Onderbuikgevoel
Het klinkt misschien simpel, maar ga als het om QR-codes gaat af op je onderbuikgevoel. Wanneer iemand je op straat aanspreekt en vraagt een QR-code te scannen dan weet je nu dat dit mogelijk gevaarlijk is. De criminelen zijn er heel goed in om in te spelen op je behulpzaamheid en zullen vaak ook doen alsof er enige haast achter zit zodat je geen tijd hebt om lang na te denken. Voel je niet schuldig om gewoon weg te lopen als je het niet vertrouwt .
Mocht je twijfelen aan de echtheid van een QR-code op, bijvoorbeeld, een flyer dan is het in de regel ook verstandiger om de code niet te scannen. Het is misschien minder snel, maar wanneer je het niet vertrouwt kun je altijd handmatig naar de genoemde website gaan om meer informatie te krijgen.
- Kijk heel goed naar de URL/hyperlink als iemand je een betaalverzoek stuurt. Controleer deze goed en vergelijk de link met de echte URL van de betaaldienst.
- Je hoeft je betrouwbaarheid als verkoper niet te bewijzen. Je hoeft geen QR-code te scannen om een ontvangen betaling te bevestigen en je hoeft ook geen cent over te maken om te bevestigen dat het rekeningnummer klopt.
- Verstrek geen andere gegevens aan de verkoper dan noodzakelijk. Ook geen ID-bewijs. Dit heeft een koper helemaal niet nodig om de transactie door te laten gaan.
- Twijfel je ergens aan, of heb je het gevoel dat iets niet in de haak is? Bel je bank en doe navraag naar de situatie.
- Neem in geval van fraude gelijk contact op met je bank, en doe aangifte bij de politie.
Het is steeds makkelijker om je bankzaken via je smartphone te beheren. Superhandig, maar dit maakt het ook makkelijker voor oplichters om daar misbruik van te maken. Tientallen ING-klanten zagen hun geld verdwijnen nadat zij slachtoffer werden van QR-fraude, waarbij een oplichter ongemerkt toegang krijgt tot je bankrekening. Maar wat als de bank vervolgens alle verantwoordelijkheid afwijst en je met een lege rekening achterblijft?
Toch slachtoffer van QR-code fraude?
Mocht je ondanks deze tips toch slachtoffer worden van een dergelijke truc, bel dan direct je bank om je rekening tijdelijk te bevriezen. Verder is het altijd verstandig om aangifte te doen bij de politie. Het zal niet altijd gemakkelijk zijn om te achterhalen wie de daders zijn gezien deze criminelen er vaak alles aan doen om anoniem te blijven. Toch is aangifte doen belangrijk, omdat de politie op deze manier beter de schaal van het probleem in kaart kan brengen.
Mocht je op een site of app op deze manier benaderd worden, maak dan ook altijd een melding van het desbetreffende account. Zo kan de website het account blokkeren en voorkomen dat anderen ook slachtoffer worden. QR-codes zijn ooit ontwikkeld voor ons gemak, maar soms is de lange weg de veiligere weg.