Een QR-code scannen om snel ergens in te loggen, een betaling te doen of informatie te openen: voor veel mensen is het inmiddels de normaalste zaak van de wereld. Toch waarschuwt Microsoft nu voor een zorgelijke ontwikkeling. Volgens het techbedrijf is QR-codephishing momenteel zelfs de snelst groeiende vorm van phishing.
Cybercriminelen maken steeds vaker misbruik van QR-codes om slachtoffers naar nepwebsites te lokken. Uit onderzoek van Microsoft blijkt dat het aantal QR-codephishingaanvallen in het eerste kwartaal van 2026 met maar liefst 146 procent is toegenomen. Daarmee wordt opnieuw duidelijk dat cybercriminelen voortdurend op zoek zijn naar nieuwe manieren om traditionele beveiliging te omzeilen en mensen te misleiden.
Waarom QR-codes zo aantrekkelijk zijn voor cybercriminelen
Het grote probleem van QR-codes is eigenlijk heel simpel: je ziet niet direct waar je terechtkomt.
Bij een gewone internetlink kun je vaak nog enigszins controleren of een webadres verdacht oogt. Denk aan rare domeinnamen, spelfouten of vreemde toevoegingen. Bij een QR-code ontbreekt die controle vrijwel volledig. Je ziet alleen een zwart-wit blokje dat pas na het scannen zichtbaar maakt welke website erachter zit.
Juist dat maakt QR-codes zo interessant voor criminelen.
Een QR-code kan namelijk eenvoudig worden verwerkt in:
- e-mails;
- pdf-documenten;
- afbeeldingen;
- flyers;
- posters;
- WhatsApp-berichten;
- of zelfs fysieke stickers.
Veel beveiligingssystemen controleren gewone links in e-mails inmiddels vrij goed. Maar een internetadres dat verborgen zit in een QR-code is voor beveiligingssoftware vaak veel lastiger te herkennen. Cybercriminelen spelen daar handig op in.
Van zakelijke laptop naar privételefoon
Volgens Microsoft speelt nog iets anders een belangrijke rol bij de groei van QR-codephishing. Criminelen proberen slachtoffers bewust weg te halen uit de beter beveiligde omgeving van een laptop of bedrijfsnetwerk. Een medewerker ontvangt bijvoorbeeld een e-mail op zijn werkcomputer met daarin een QR-code. In plaats van op een link te klikken, scant de medewerker de code met zijn privételefoon. Daarmee verplaatst de aanval zich direct naar een apparaat dat vaak minder goed beveiligd is.
Dat maakt het voor criminelen eenvoudiger om:
- wachtwoorden te stelen;
- sessies over te nemen;
- of inloggegevens van bedrijfsaccounts buit te maken.
Steeds vaker richten aanvallen zich daarom niet alleen op computers, maar juist op smartphones en tablets.
Zo werkt QR-codephishing in de praktijk
De werkwijze van cybercriminelen lijkt sterk op gewone phishing, maar dan met een QR-code als lokmiddel. Een slachtoffer ontvangt bijvoorbeeld een bericht dat zogenaamd afkomstig is van:
- een bank;
- Microsoft 365;
- Google;
- een pakketdienst;
- een werkgever;
- of een cloudopslagdienst.
In het bericht staat dat er “dringend” actie nodig is:
- een wachtwoord verloopt;
- een account is geblokkeerd;
- een pakket kan niet worden afgeleverd;
- of een beveiligingscontrole moet worden uitgevoerd.
In plaats van een gewone link bevat het bericht een QR-code die zogenaamd snel toegang geeft tot de juiste pagina.
Na het scannen komt het slachtoffer terecht op een professioneel nagemaakte website die vrijwel niet van echt te onderscheiden is. Zodra gebruikers daar hun gegevens invoeren, komen deze direct in handen van cybercriminelen.
Ook valse CAPTCHA-schermen nemen toe
Microsoft ziet daarnaast nog een andere opvallende trend: phishingwebsites maken steeds vaker gebruik van nep-CAPTCHA’s. Dat zijn de bekende schermen waarop je moet bevestigen dat je “geen robot” bent, bijvoorbeeld door een vakje aan te klikken of afbeeldingen te selecteren. Omdat mensen gewend zijn geraakt aan dit soort controles, wekken ze vertrouwen. Cybercriminelen gebruiken die herkenbaarheid om phishingpagina’s geloofwaardiger te maken.
Soms worden slachtoffers zelfs gevraagd meerdere stappen uit te voeren voordat ze op de uiteindelijke nep-inlogpagina terechtkomen. Daardoor lijkt de website professioneler en veiliger dan deze werkelijk is.
Waar moet je op letten?
QR-codes zijn op zichzelf niet onveilig. Ze worden dagelijks gebruikt voor betalingen, restaurantmenu’s, parkeren, evenementen en inloggen. Het probleem zit niet in de techniek zelf, maar in het misbruik ervan. Juist omdat QR-codes inmiddels zo normaal zijn geworden, vormen ze een aantrekkelijk doelwit voor criminelen.
HCC adviseert daarom om extra alert te zijn bij QR-codes die:
- onverwacht worden toegestuurd;
- om haast of urgentie vragen;
- vragen om in te loggen;
- afkomstig lijken van een bank of clouddienst;
- of via e-mail binnenkomen terwijl je daar niet om gevraagd hebt.
Krijg je bijvoorbeeld een QR-code van je bank, Microsoft, Google, Dropbox, een pakketdienst of of je werkgever? Open dan liever zelf handmatig de officiële app of website in plaats van de QR-code te scannen. Controleer daarnaast altijd:
- het webadres waarop je terechtkomt;
- of de pagina logisch oogt;
- en of er geen vreemde spelfouten of afwijkingen zichtbaar zijn.
Smartphones steeds vaker doelwit
De opkomst van QR-codephishing laat ook zien hoe belangrijk smartphones inmiddels zijn geworden voor cybercriminelen. Veel mensen denken nog vooral aan virussen op computers, maar moderne aanvallen richten zich steeds vaker op mobiele apparaten.
Goede beveiliging blijft daarom belangrijk:
- installeer updates tijdig;
- gebruik sterke wachtwoorden;
- schakel tweestapsverificatie in;
- en wees voorzichtig met onbekende links en QR-codes.
Bewustwording blijft de beste verdediging
De snelle groei van QR-codephishing laat opnieuw zien dat cybercriminaliteit voortdurend verandert. Criminelen zoeken steeds nieuwe manieren om beveiliging én menselijk gedrag slim te combineren. Technische beveiliging alleen is daarbij niet voldoende. Bewustwording blijft één van de belangrijkste vormen van bescherming.
Wie even stilstaat voordat hij een QR-code scant, voorkomt mogelijk veel problemen. En dat is precies waar cybercriminelen níet op hopen.
(foto gegenereerd met behulp van artificiële intelligentie)
