Quishing: de opkomst van QR-code fraude in België
Malafide QR-codes duiken overal op, van parkeermeters tot valse facturen. Leer hoe quishing werkt en bescherm uw organisatie.
Wat is quishing precies?
Quishing, een samenvoeging van 'QR-code' en 'phishing', is een sterk opkomende vorm van cybercriminaliteit in België. Hierbij maken oplichters gebruik van malafide QR-codes om slachtoffers naar nagemaakte websites te lokken, met als doel inloggegevens te stelen of onterechte betalingen te ontvangen.
Omdat QR-codes van nature onleesbaar zijn voor het menselijk oog, zijn ze een ideaal middel voor aanvallers om de traditionele phishing bescherming en e-mailfilters van bedrijven te omzeilen. Zodra de code met een smartphone wordt gescand, wordt de gebruiker direct naar de frauduleuze bestemming geleid.
Hoe gaan de cybercriminelen te werk?
De tactieken variëren van fysiek tot digitaal. We zien regelmatig dat legitieme QR-codes op parkeermeters, laadpalen of in restaurants fysiek worden overplakt met een valse sticker. In de bedrijfscontext worden valse QR-codes vaak verwerkt in PDF-facturen of e-mails die zogenaamd van de IT-afdeling of HR komen, bijvoorbeeld om MFA (Multi-Factor Authenticatie) in te stellen.
Omdat werknemers gewend zijn geraakt aan het gebruik van QR-codes voor snelle betalingen of logins, is de drempel om te scannen vaak erg laag. Dit gebrek aan waakzaamheid vormt een aanzienlijk risico binnen de algehele cyberweerbaarheid van de onderneming.
De risico's voor de bedrijfsomgeving
Een succesvolle quishing-aanval kan verstrekkende gevolgen hebben. Wanneer een medewerker via een valse QR-code inloggegevens van het bedrijfsnetwerk prijsgeeft, biedt dit aanvallers directe toegang tot bedrijfsgevoelige informatie en systemen.
Bovendien kan het scannen van een malafide code ertoe leiden dat er zonder medeweten van de gebruiker malware op het mobiele toestel wordt geïnstalleerd. Als dit toestel wordt gebruikt voor werkdoeleinden (BYOD), kan dit fungeren als een brug naar het bedrijfsnetwerk, wat de noodzaak voor een grondige IT risicoanalyse onderstreept.
Hoe beschermt u zich tegen quishing?
De belangrijkste verdedigingslinie is bewustwording. Scan nooit zomaar een QR-code zonder na te denken over de context. Controleer bij e-mails en fysieke dragers of er iets verdachts te zien is, zoals een sticker die over een andere code is geplakt.
Voordat u de actie op uw smartphone bevestigt, controleer altijd zorgvuldig de URL die in beeld verschijnt. Gebruik indien mogelijk een specifieke QR-scanner app die controleert op kwaadaardige links, en stel uw smartphone zo in dat websites nooit automatisch worden geopend na het scannen.
Beleid en training op de werkvloer
Voor bedrijven is het essentieel om quishing op te nemen in het security awareness programma. Ontwikkel duidelijke richtlijnen voor het gebruik van mobiele apparaten en het omgaan met QR-codes, met name wanneer deze verwerkt zijn in facturatie of IT-gerelateerde communicatie.
Daarnaast is het aan te raden om Mobile Device Management (MDM) oplossingen in te zetten om zakelijke toestellen beter te beveiligen en kwaadaardige websites op netwerkniveau te blokkeren.