De QR-code is niet meer weg te denken uit het dagelijks leven. Of het nu gaat om een menukaart in een restaurant, een parkeerautomaat of een brief van de overheid: steeds vaker volstaat een simpele scan met de smartphone om toegang te krijgen tot informatie of een betaalpagina. Het gemak maakt de technologie populair, maar ook aantrekkelijk voor criminelen.

Fraude met QR-codes – ook wel quishing genoemd – neemt toe, zo waarschuwen politie en banken. Uit onderzoek van ABN AMRO blijkt dat bijna driekwart van de Nederlanders niet weet hoe ze QR-codes veilig kunnen gebruiken. Eén op de tien ondervraagden liep zelfs al schade op, variërend van financiële verliezen tot het in verkeerde handen belanden van persoonsgegevens.
“Iedereen kan een QR-code maken en misbruiken”, zegt Marco Hendriks, fraude-expert bij ABN AMRO. “Met een logo erbij of in een officiële brief lijkt zo’n code al snel betrouwbaar. Voor je het weet kom je terecht op een website die eruitziet als je bank, maar alleen bedoeld is om gegevens te stelen.”

Sleutel tot bankrekening

Het gevaar schuilt volgens experts niet in het scannen zelf, maar in wat er daarna gebeurt. Pas wanneer gebruikers persoonlijke gegevens invullen, zoals pincodes of responsecodes, krijgen criminelen toegang tot rekeningen. Vooral op platforms als Marktplaats en Vinted worden mensen zo misleid: een koper stuurt een QR-code om een betaling te bevestigen, maar wie daarop ingaat geeft in feite de sleutel tot zijn bankrekening af. Ook in de horeca of bij evenementen doken al nep-codes op, soms als sticker die over een bestaande code is geplakt.
Het onderzoek van Ipsos I&O, uitgevoerd in opdracht van ABN AMRO, laat zien dat een kwart van de Nederlanders wekelijks een QR-code scant, maar dat de kennis over veilig gebruik ontbreekt. Hoewel de meeste mensen bekend zijn met de risico’s, zegt slechts de helft hier bewust bij stil te staan. Sporadische gebruikers – mensen die maar een paar keer per jaar scannen – blijken bovendien per scan meer risico te lopen dan frequente gebruikers, omdat zij minder vaak controleren waar een link naartoe leidt.

Alertheid cruciaal
Volgens Hendriks is alertheid cruciaal: “Een QR-code scannen is op zichzelf niet gevaarlijk, maar kijk altijd goed naar het webadres dat verschijnt. Een code van de Belastingdienst moet bijvoorbeeld leiden naar belastingdienst.nl en nergens anders.” Wie extra zekerheid wil, kan gebruikmaken van checkjelinkje.nl, een door de politie aanbevolen scanner die automatisch de link achter een code controleert.
Banken proberen misbruik te beperken door QR-codes veilig in te zetten, bijvoorbeeld bij het inloggen. Daarbij is de code slechts kort geldig en moet de gebruiker zich altijd identificeren via een persoonlijke code, vingerafdruk of gezichtsherkenning. ABN AMRO benadrukt dat QR-codes op die manier betrouwbaar en gebruiksvriendelijk zijn, mits consumenten alert blijven.
Gaat het toch mis, dan is snel handelen geboden. “Bel direct je bank”, adviseert Hendriks. “In sommige gevallen kunnen passen of rekeningen nog tijdelijk worden geblokkeerd. Hoe sneller je reageert, hoe groter de kans dat schade beperkt kan worden.”