Steeds vaker verrichten mensen betalingen door met hun app voor elektronisch bankieren een QR-code te scannen. Criminelen hebben intussen ontdekt hoe zij met dergelijke codes mensen naar een nagemaakte website van de bank kunnen leiden om zo hun rekening te plunderen. Dat ontdekte RTL Nieuws.

De meeste mensen weten intussen wel dat het niet handig is om op linkjes in e-mails van de bank te klikken. Daarom gaan criminelen over op andere methoden, zoals het namens de bank bellen van klanten. De nieuwste trend is het verzenden van malafide QR-codes. RTL Nieuws ontdekte dat criminelen elkaar via chatgroepen informeren over het succes dat je daarmee kan bereiken. Wie goed oplet, zal na het scannen merken dat het webdomein niet klopt, maar volgens onderzoeker Daniël Verlaan van RTL valt dat op het kleine scherm van een smartphone niet zo snel op.

Datalekken
Ook bij de Fraudehelpdesk is het opgevallen dat phishing met QR-codes de laatste tijd toeneemt. De eerste gevallen werden echter pas half april gemeld. De QR-codes bestaan uit blokjespatronen, waarin met het blote oog niets valt te herkennen. Mensen zijn snel geneigd die te vertrouwen. Vooral als zij in een persoonlijke e-mail staan, met correcte persoonsgegevens, zoals het IBAN-nummer. Die gegevens kunnen de criminelen verkregen hebben via datalekken bij grote webwinkels. De afgelopen jaren zijn verschillende keren miljoenen klantgegevens op die manier in verkeerde handen terecht gekomen. De e-mail of brief lijkt van de bank afkomstig te zijn en roept bijvoorbeeld op om een nieuwe bankpas aan te vragen of bepaalde gegevens te verifiëren. Wie de code scant komt op een valse website terecht, waarop bankgegevens ingevoerd moeten worden. Gelijktijdig voeren de criminelen deze gegevens in op de echte website van de bank, waarna de rekening geplunderd kan worden.

Gemak leidt tot onvoorzichtigheid
Mensen in Assen ontvingen recent een brief die van ING afkomstig leek te zijn. Men werd verzocht om via de QR-code in de brief een nieuwe ING-app te downloaden. Die nieuwe app verschafte de criminelen toegang tot de telefoon, waardoor bijvoorbeeld elke handeling tijdens elektronisch bankieren gereproduceerd kon worden. Het is niet bekend of mensen slachtoffer zijn geworden van deze truc. De banken benadrukken dat zij op geen enkele wijze naar inloggegevens of pincodes informeren. Directeur Dave Maasland van cybersecuritybedrijf ESET Nederland denkt dat het gemak van de QR-codes mensen onvoorzichtig maakt. Criminelen weten dat en maken er dankbaar misbruik van. Experts adviseren om altijd goed te letten op het webadres dat de QR-code genereert. Als er gebruik wordt gemaakt van een tiny.cc- of s.id-dienst, is het vrijwel zeker dat het niet in de haak is. Ook een webadres als ing.ru rechtvaardigt gezonde achterdocht. Het openen van de website is vaak nog zonder risico, maar het gaat mis als de gevraagde gegevens worden ingevoerd. Wie mogelijk een malafide app heeft geïnstalleerd, wordt geadviseerd de telefoon terug te zetten in de fabrieksinstellingen. En wie correspondentie van de bank krijgt, kan het beste contact opnemen met de bank om te informeren of het klopt.