Hoe QR-codeaanvallen werken (en hoe u veilig kunt blijven)

Cyberbeveiliging14 maart 2026·7 min leestijd

QR-codes zijn alomtegenwoordig geworden: restaurantmenu's, parkeermeters, productverpakkingen, kaartjes voor evenementen. Hun gemak zorgde ervoor dat we hen impliciet vertrouwden. Maar dat vertrouwen is precies wat cybercriminelen in een groeiende golf van aanvallen misbruiken quishing(QR-phishing).

Wat is Quishing?

Quishing combineert 'QR' en 'phishing'. In plaats van u een verdachte e-maillink te sturen, plaatsen aanvallers kwaadaardige QR-codes in de fysieke wereld of in digitale documenten. Wanneer ze worden gescand, leiden deze codes u door naar overtuigende nepwebsites die zijn ontworpen om uw inloggegevens en financiële informatie te stelen of malware te installeren.

De FBI meldde een 300% stijging in gevallen van QR-codefraude tussen 2023 en 2025, met verliezen van meer dan 150 miljoen dollar alleen al in de VS.

5 Real-World QR-code aanvalsmethoden

1. Parkeermeterstickers

Criminelen plaatsen valse QR-codestickers over legitieme betaalcodes op parkeermeters. Slachtoffers scannen de code en denken dat ze betalen voor het parkeren, maar voeren in werkelijkheid hun creditcardgegevens in op een phishing-site. Deze aanval is gedocumenteerd in meer dan 40 Amerikaanse steden.

2. Restaurantmenu-overlays

Tijdens de pandemie werden QR-menu’s standaard. Aanvallers maken hier misbruik van door transparante stickers met kwaadaardige QR-codes op tafeltenten van restaurants te plaatsen. De nepcode leidt naar een site die een menu nabootst, maar vraagt om betalingsinformatie of app-installatie.

3. Berichten over valse pakketbezorging

U ontvangt een kaartje in uw brievenbus: "We hebben geprobeerd uw pakket af te leveren. Scannen om een nieuwe afspraak te maken." De QR-code leidt naar een phishing-pagina die zich voordoet als een bezorgservice en vraagt om uw inloggegevens en persoonlijke gegevens.

4. QR-codes voor zakelijke e-mail

Aanvallers sluiten QR-codes in e-mails in omdat QR-codes de meeste e-mailbeveiligingsfilters omzeilen. De e-mail zou kunnen beweren afkomstig te zijn van de IT-ondersteuning waarin u wordt gevraagd te "scannen om uw account te verifiëren" - wat leidt tot een pagina voor het verzamelen van inloggegevens.

5. Openbare Wi-Fi QR-codes

Valse 'Gratis Wi-Fi'-QR-codes op luchthavens, cafés of hotels kunnen u omleiden naar een captive portal die een configuratieprofiel op uw telefoon installeert, waardoor man-in-the-middle-aanvallen op al uw verkeer mogelijk worden.

🧪 QR-veiligheidsquiz

1. Op een parkeerautomaat vind je een QR-code. Wat moet je eerst doen?

Scan het en betaal directControleer of het een sticker is die over de originele code is geplaatstMaak een foto en scan deze later

2. Een e-mail met een QR-code van "IT Support" vraagt u om uw account te verifiëren. Wat is de veiligste actie?

Scan de QR-code met uw telefoonStuur het door naar collega's ter controleGa rechtstreeks naar de website van het bedrijf zonder te scannen

3. Nadat u een QR-code heeft gescand, toont uw telefoon een URL-voorbeeld. Welke URL is verdacht?

https://paypal.com/betalinghttps://paypa1-secure.com/verifyhttps://parking.cityname.gov/pay

Hoe u uzelf kunt beschermen

Voorbeeld voordat u tikt: Controleer altijd de URL die uw telefoon na het scannen weergeeft. Zoek naar verkeerd gespelde domeinen of verdachte tekens.
Controleer op manipulatie: Zoek bij fysieke codes naar stickers die over het origineel zijn geplaatst. Legitieme codes worden meestal rechtstreeks op het oppervlak gedrukt.
Gebruik ingebouwde camera: De eigen camera-app van uw telefoon is veiliger dan QR-scanner-apps van derden, die mogelijk minder beveiligingsmaatregelen hebben.
Voer nooit inloggegevens in: Als een QR-code naar een inlogpagina leidt, sluit u deze en navigeert u handmatig via uw browser naar de site.
Vermijd QR Wi-Fi-codes: In plaats van QR-codes voor wifi te scannen, kunt u het personeel rechtstreeks om de netwerknaam en het wachtwoord vragen.

Veelgestelde vragen

Wat is quishing?

Quishing is phishing via QR-codes. Aanvallers vervangen legitieme QR-codes door kwaadaardige codes die slachtoffers omleiden naar valse inlogpagina's of malwaredownloads activeren.

Kan het scannen van een QR-code malware installeren?

Op de meeste moderne telefoons wordt bij het scannen van een QR-code eerst een URL-voorbeeld weergegeven. Als u echter op de link tikt, kan dit leiden naar een pagina die misbruik maakt van browserkwetsbaarheden of u ertoe verleidt een kwaadaardige app te downloaden.

Hoe weet ik of een QR-code veilig is?

Gebruik de ingebouwde camera van uw telefoon (geen apps van derden), controleer het URL-voorbeeld voordat u het opent, let op tekenen van geknoei met fysieke QR-codes en scan nooit codes van onbetrouwbare bronnen.

Gerelateerde hulpmiddelen

Wachtwoordgenerator– maak sterke wachtwoorden voor accounts die via QR-phishing worden blootgesteld
Anatomie van een phishing-aanval