Quishing is een relatief nieuwe vorm van online fraude waarbij cybercriminelen gebruik maken van QR-codes om mensen te misleiden.
De term is een combinatie van “QR-code” en ‘phishing’ en verwijst naar situaties waarin echte QR-codes worden vervangen door valse codes. Dit leidt slachtoffers naar nagemaakte websites door schadelijke software op de telefoons te installeren. Zodra iemand zo’n code scant, komt men terecht op een pagina die sterk lijkt op die van een bank, overheidsinstelling of betaalplatform. Het doel is persoonlijke gegevens te stelen of schadelijke software op een telefoon te installeren.
Deze vorm van fraude komt steeds vaker voor doordat QR-codes inmiddels overal worden gebruikt, bijvoorbeeld bij betalingen, menu’s in restaurants en informatieborden. Juist omdat mensen gewend zijn om QR-codes snel en zonder nadenken te scannen, krijgen oplichters meer kans om toe te slaan. Criminelen plakken vaak een eigen sticker met een vervalste code over een originele code heen, waardoor het voor gebruikers nauwelijks zichtbaar is dat ze worden doorgestuurd naar een frauduleuze website.
Banken en financiële instellingen waarschuwen hun klanten steeds vaker voor deze praktijk. Zij benadrukken dat men nooit via QR-codes moet reageren op verzoeken om in te loggen of gevoelige gegevens zoals pincodes, wachtwoorden of bankinformatie in te voeren. Zodra een website na het scannen van een QR-code om dit soort informatie vraagt, is dat een duidelijk waarschuwingssignaal.
Het gevaar van quishing zit vooral in de geloofwaardigheid van de nepwebsites. Deze zijn vaak professioneel nagemaakt en daardoor moeilijk te onderscheiden van echte websites.
Daarom adviseren banken en cybersecurity-experts om altijd alert te blijven bij het scannen van QR-codes, vooral wanneer deze zich in openbare ruimtes bevinden of onverwacht worden aangeboden.