Het echte gevaar van QR-codes: blijf alert

U heeft deze maand waarschijnlijk tientallen QR-codes gescand zonder erbij na te denken – in een restaurant, bij een parkeermeter of misschien bij een betaalterminal aan de kassa. Dat automatische vertrouwen is precies waar oplichters op dit moment misbruik van maken, en de cijfers zijn moeilijk te negeren.

QR-code-phishing – beter bekend als quishing – steeg met 587% van 2022 tot 2023 en nam in 2025 nog eens met 25% toe, waarbij al meer dan 26 miljoen Amerikanen op deze manier naar kwaadaardige sites zijn geleid. En hier komt het verontrustende deel: slechts 39% van de consumenten kan geïnfecteerde QR-codes betrouwbaar herkennen voordat het te laat is, wat betekent dat de overgrote meerderheid volledig blind scant.

Dus wat is er eigenlijk aan de hand, hoe pakken aanvallers dit aan en wat kunt u eraan doen? Laten we het eens onder de loep nemen.

Wat is quishing – en waarom is het zo effectief?

Quishing (QR + phishing) is de praktijk waarbij gevaarlijke links in QR-codes worden verborgen om mensen om te leiden naar valse websites, inloggegevens te stelen of malware te installeren. Zie het als een klassieke QR-code-hack – maar verpakt in een formaat dat het menselijk oog simpelweg niet kan ontcijferen.

Dat is het kernprobleem met de beveiliging van QR-codes: in tegenstelling tot een gewone link in een e-mail waar je met de muis overheen kunt gaan om een voorbeeld te bekijken, onthult een QR-code niets totdat je browser de bestemming al heeft geladen. Er is geen verkeerd gespeld domein om op te merken, geen verdachte ankertekst om op te merken. Het gevaar van QR-codes is onzichtbaar door het ontwerp – en dat is precies wat quishing-phishing zo effectief maakt in vergelijking met traditionele oplichting.

Dit is de reden waarom QR-codes in 22% van alle phishing-aanvallen in 2024–2025 voorkwamen. Ze omzeilen de meeste geautomatiseerde e-mailfilters omdat beveiligingstools de URL die in een afbeelding is gecodeerd niet kunnen lezen.

Kunt u gehackt worden door een QR-code te scannen?

Als je het volledige dreigingslandschap van QR-codes begrijpt, kun je bedreigingen herkennen voordat je slachtoffer wordt. Dit zijn de meest voorkomende aanvalspatronen in 2025.

De truc met de valse sticker

De meest voorkomende fysieke methode bestaat uit valse QR-codestickers die direct over legitieme codes worden geplakt – op parkeermeters, restauranttafels, verkeersborden of winkelvitrines. U denkt dat u een kaartlink opent of betaalt bij een betaalterminal. In werkelijkheid gaan uw kaartgegevens rechtstreeks naar het valse portaal van een oplichter. Een snelle fysieke inspectie – controleren of de code vlak ligt of eruitziet alsof er iets overheen is geplakt – kan u hier volledig voor behoeden.

Quishing via e-mail en Office-tools

Aangezien mensen QR-codes doorgaans met hun telefoon scannen, omzeilen de ingebedde URL's beveiligingstools op de desktop, zoals firewalls en URL-blokkers op eindpunten. Dit maakt het hacken via e-mail met behulp van QR-codes bijzonder effectief. Het bericht lijkt afkomstig te zijn van Microsoft, uw bank of de IT-afdeling van uw bedrijf – compleet met logo's en een professionele opmaak.

Maar liefst 27% van deze quishing-aanvallen maakt gebruik van valse waarschuwingen voor meervoudige authenticatie: "Uw sessie is verlopen – scan om opnieuw te verifiëren." Die urgentie is bedoeld om te voorkomen dat u er nog eens over nadenkt.

QR-codes verborgen in documenten en fysieke post

Dit is een van de meer over het hoofd geziene gevaren van het scannen van QR-codes: alleen al halverwege 2024 werden een half miljoen phishing-e-mails met QR-codes in PDF-bijlagen gedetecteerd. Het document ziet er legitiem uit – een factuur, een uitkeringsafschrift, een afleveringsbericht – en de QR-code erin lijkt een handige snelkoppeling te zijn. De FTC heeft ook gewezen op een sterke toename van oplichting via fysieke post, waarbij links naar QR-code-malware worden afgedrukt op valse pakbonnen of energierekeningen.

Door AI aangestuurde quishing-campagnes

De nieuwste en meest zorgwekkende ontwikkeling van quishing-cyberbeveiligingsbedreigingen betreft door AI gegenereerde phishingpagina's die bijna niet te onderscheiden zijn van echte. Aanvallers kunnen nu binnen enkele minuten een overtuigende valse boekings- of PayPal-inlogpagina opzetten, afgestemd op een specifiek doelwit, met realistische branding en gepersonaliseerde tekst. Dit heeft het voorkomen van QR-codefraude aanzienlijk moeilijker gemaakt voor zowel individuen als organisaties.

Maar de dreiging reikt veel verder dan valse inlogpagina's. AI wordt nu in elke fase van de aanval gebruikt – van het selecteren van het doelwit tot de uitvoering en het ontwijken van detectie.

Hypergepersonaliseerde loktactieken. Traditionele phishing vertrouwde op generiek aas – "uw account is opgeschort". AI-aangedreven campagnes putten uit openbaar beschikbare gegevens: uw werkgever, uw woonplaats, uw recente aankopen. Het resultaat is een QR-codezwendel die aanvoelt alsof deze speciaal voor u is geschreven, omdat dat in zekere zin ook zo is. Een valse factuur van een leverancier die u herkent. Een "afleveringsbewijs" dat overeenkomt met uw daadwerkelijke adres. Juist dat niveau van specificiteit maakt moderne quishing-phishing zo moeilijk om in één oogopslag te herkennen.
Versterking door spraak en deepfakes. Bij aanvallen met een hogere waarde – die doorgaans gericht zijn op medewerkers in de financiële of HR-sector – gaan door AI gegenereerde telefoontjes of deepfake-videoboodschappen nu vooraf aan de kwaadaardige QR-code. Het telefoontje wekt vertrouwen ("Hallo, dit is de IT-ondersteuning – u ontvangt binnenkort een verificatiecode"), en even later arriveert de QR-code per e-mail of sms. Tegen de tijd dat het doelwit deze scant, is het al voorbereid om mee te werken.
Geautomatiseerde infrastructuur op schaal. Wat vroeger technische expertise vereiste om op te zetten – valse domeinen, SSL-certificaten, lookalike-websites – kan nu automatisch worden gegenereerd en afgewisseld. Aanvallers zetten honderden kortstondige phishingpagina's tegelijk in, waarbij ze snel genoeg van domein wisselen om blokkeerlijsten voor te blijven. Dit is de reden waarom traditionele, op URL's gebaseerde beveiligingstools het moeilijk hebben: tegen de tijd dat een domein wordt gemarkeerd, is het al vervangen.
Ontwijking ingebouwd in het ontwerp. AI-modellen die zijn getraind op beveiligingsdetectiepatronen kunnen nu QR-codes en landingspagina's genereren die specifiek zijn ontworpen om filters niet te activeren. Ze bootsen de visuele structuur van legitieme pagina's zeer nauwkeurig na – de juiste lettergrootte, authentiek ogende formuliervelden, realistische foutmeldingen wanneer verkeerde inloggegevens worden ingevoerd (een klassieke truc om meerdere wachtwoordpogingen te verzamelen).

De praktische implicatie is duidelijk: de visuele en contextuele aanwijzingen die mensen vroeger hielpen om een zwendel te herkennen, worden onbetrouwbaar. Scepticisme over de bron – niet alleen over het uiterlijk – is nu de belangrijkste filter.

Wie wordt het meest het doelwit?

De veiligheidsrisico's van QR-codes zijn niet gelijkmatig verdeeld. Sommige sectoren lopen een aanzienlijk hoger risico vanwege de aard van hun QR-codegebruik en de waarde van de gegevens die ze verwerken.

Sector	Waarom het doelwit is	Veelvoorkomende aanvalsvector
Financiën en bankwezen	Waardevolle inloggegevens, betalingsgegevens	Valse inlogpagina's van bankapps, vervalst PayPal- en Venmo-portals met het verzamelen van inloggegevens
Gezondheidszorg	Gevoelige patiëntgegevens, verouderde systemen	Valse patiëntenformulieren verzonden via e-mail, QR-codes op gedrukte intakeformulieren
Onderwijs	Groot gebruikersbestand, lager beveiligingsbewustzijn	Valse wifi-inlogportalen op de campus, QR-codes in pdf-cursusmateriaal
Detailhandel & E-commerce	Betalingsverwerking, veel voetgangers	Stickerzwendel via legitieme betaalterminals, valse kortings- of loyaliteitscodes
Restaurants & Toerisme	Veelvuldig gebruik van QR-codes, openbare plaatsen	Vervanging van QR-codes op menu's door valse bestelpagina's, valse wifi-portals in lobby's
Overheid	Misbruik van het vertrouwen van het publiek	Vervalste vergunningformulieren, vervalste portalen voor belastingbetaling die officiële websites nabootsen
Logistiek	Dringende pakketbezorging	Valse tracking-URL's verzonden via sms, QR-codes op vervalste afleveringsbonnen
Vastgoed	Transacties met hoge waarde	Valse vastgoedadvertenties, frauduleuze formulieren voor het ondertekenen van documenten, met diefstal van inloggegevens

Medewerkers in de detailhandel hebben het hoogste percentage gemiste gevallen bij het detecteren van kwaadaardige activiteiten met QR-codes, terwijl de financiële sector, de productiesector en de gezondheidszorg consequent tot de meest geviseerde sectoren behoren. Met name beveiligingsproblemen met QR-codes in de gezondheidszorg hebben bijzonder ernstige gevolgen – patiëntgegevens, verzekeringsgegevens en interne systemen staan allemaal op het spel.

Creëer nu een
QR-code!

Plaats uw QR-codelink, voeg een naam toe voor uw QR, selecteer de inhoudscategorie en genereer!

Genereer QR-code

Hoe u quishing kunt voorkomen: best practices voor QR-codebeveiliging

Hier volgt een praktisch overzicht om veilig te blijven – of u nu een individuele gebruiker bent, een bedrijfseigenaar of verantwoordelijk voor marketingmateriaal met QR-codes.

1. Bekijk altijd de URL voordat u deze opent

De meeste moderne smartphones tonen de bestemmingslink direct na het scannen, voordat uw browser iets laadt. Deze gewoonte van tien seconden vormt de basis van de veiligheid van QR-codes – sla deze stap niet over.

Let bij het controleren van de URL op:

HTTPS versus HTTP – geen versleuteling is een onmiddellijke rode vlag;
Verkorte links – bit.ly, tinyurl en soortgelijke diensten verbergen de echte bestemming;
Verkeerd gespelde domeinen – "paypa1.com" of "arnazon.com" zijn klassieke trucs;
Niet-gerelateerde domeinen – de QR-code van een restaurant die verwijst naar een domein dat geen verband houdt met de locatie;
Omleidingsketens – meerdere omleidingen voordat de daadwerkelijke pagina wordt bereikt, duiden vaak op een aanvalsvector via de QR-code.

Gebruik een veilige QR-codescanner-app – niet alleen de standaardcamera van je telefoon. Een goede QR-code-veiligheidscontrole markeert bekende kwaadaardige domeinen voordat er iets wordt geopend, waardoor je een echte beschermingslaag krijgt in plaats van alleen maar gemak.

2. Inspecteer QR-codes fysiek in openbare ruimtes

Detectie van manipulatie is een reëel probleem op drukbezochte locaties. Kijk goed voordat u iets in het openbaar scant: ligt de code vlak tegen het oppervlak, of lijkt deze iets omhoog te staan? Zijn de randen netjes, of lijkt het alsof er een sticker over iets anders is geplakt?

Dit is vooral belangrijk bij parkeermeters, vervoersknooppunten en overal waar de veiligheid van QR-codebetalingen in het geding is – precies de locaties waarop oplichters zich het meest richten, omdat urgentie en afleiding in hun voordeel werken.

3. Scan nooit QR-codes uit onverwachte e-mails

Dit is waar QR-phishing de meeste schade aanricht. Legitieme bedrijven – banken, softwareleveranciers, HR-afdelingen – vragen u niet om een QR-code te scannen om uw identiteit te verifiëren of uw wachtwoord te resetten via e-mail. Als u een dergelijk bericht ontvangt, ga dan rechtstreeks naar de officiële website van het bedrijf door het adres handmatig in te typen.

Scan nooit een QR-code uit een afbeelding of PDF-bijlage die u niet verwachtte, hoe officieel deze er ook uitziet. Dit geldt ook voor doorgestuurde WhatsApp-berichten en sms-berichten – hackers die QR-codes gebruiken, zijn inmiddels veel verder gegaan dan alleen e-mail.

4. Gebruik een goede QR-code-veiligheidschecker

Niet alle scan-apps bieden hetzelfde beschermingsniveau. Een standaardcamera leest alleen het patroon – een zeer veilige QR-codescanner vergelijkt de bestemmings-URL actief en in realtime met databases met bedreigingen. Zoek naar apps die expliciet beveiligingsfuncties voor QR-codelezers bieden: URL-voorbeeld, malwaredetectie en domeinreputatiecontroles.

Het controleren van QR-codes voordat u er iets mee doet, is de meest effectieve gewoonte die u kunt aanleren. Als een app u de link niet laat zien voordat u deze opent, zoek dan een app die dat wel doet.

5. Zijn QR-codes veilig? Waarschuwingssignalen die u niet mag negeren

Let op deze rode vlaggen, ongeacht de context – of u nu scant een QR-code voor een socialemediapagina, een wifi-netwerk, een vCard-contact of een betalingslink:

Angst of urgentie in de tekst bij de code ("Scan nu of verlies de toegang");
Codes die via ongevraagde sms-, e-mail- of WhatsApp-berichten binnenkomen;
QR-codes uit PDF- of afbeeldingsbijlagen van onbekende afzenders;
Codes die u vragen een onbekende app uit de App Store te installeren;
Betaallinks die via meerdere omleidingen lopen voordat je bij de kassa komt;
Elke code die gratis toegang tot Spotify, YouTube of premium content belooft.

6. Heeft u al iets verdachts gescand? Handel dan onmiddellijk

Fouten gebeuren – zo beperk je de schade. Verbreek onmiddellijk de verbinding met wifi en mobiele data om de communicatie met de server van de aanvaller te onderbreken. Voer een scan uit met een betrouwbare app voor mobiele beveiliging. Wijzig alle wachtwoorden die je na het scannen hebt ingevoerd, met prioriteit voor financiële en zakelijke accounts. Controleer je installatiegeschiedenis in de App Stores op onbekende items, trek onbekende machtigingen in en neem onmiddellijk contact op met je bank als er betalingsgegevens bij betrokken waren.

Voor bedrijven: zorg dat uw QR-codes betrouwbaar blijven

Als uw organisatie QR-codes gebruikt in marketingcampagnes, e-commerceprocessen, vastgoedadvertenties, intakeformulieren voor de gezondheidszorg of restaurantmenu's, dan is het beveiligen van QR-codes onderdeel van uw verantwoordelijkheid jegens gebruikers.

Effectieve beveiligingsfuncties voor QR-codes voor bedrijven zijn onder meer het gebruik van gestileerde codes met uw logo en merkkleuren (die moeilijker overtuigend te vervalsen zijn), duidelijk aan gebruikers communiceren wat ze kunnen verwachten na het scannen, en regelmatig openbare codes inspecteren op tekenen van manipulatie.

Daarnaast is de beveiliging van de QR-codegenerator van groot belang. Een zeer veilige QR-codegenerator controleert de bestemmings-URL op het moment van aanmaken – en blokkeert zo kwaadaardige links, spam en verboden inhoud nog voordat de code online gaat. Me-QR doet precies dit: elke dynamische QR-code die via de dienst wordt gegenereerd, wordt automatisch gecontroleerd op malware, phishing-inhoud en beleidsschendingen, zodat noch u, noch uw klanten worden blootgesteld aan beveiligingsrisico's via uw eigen materiaal.

Blijf alert, scan slim

De gevaren van het gebruik van QR-codes zijn niet inherent aan de technologie zelf – ze zitten hem in waar een code naartoe leidt en of u de moeite neemt om dit te controleren. Veilig blijven gaat niet over het vermijden van QR-codes – het gaat erom te weten waar u op moet letten voordat u scant.

Controleer de URL. Inspecteer de fysieke code. Gebruik een QR-beveiligingsscanner die de verificatie voor u uitvoert. De oplichters achter deze QR-code-hacks rekenen op automatisme. En statistisch gezien hebben ze gelijk: 61% van de mensen scant nog steeds zonder te controleren waar een code naartoe leidt. Dat aantal is de werkelijke kwetsbaarheid. Pak dat aan, en u hebt al meer gedaan dan de meesten.