Wat is Quishing of QR Code Phishing?

Stel dat u een koude e-mail of een instant message ontvangt waarin u wordt geïnformeerd over betalingen die naar uw account zijn gedaan, en dat u op het punt staat een QR-code te scannen die eraan is gekoppeld. In een fractie van een seconde kan die actie uw bankrekening, wachtwoorden en persoonlijke gegevens blootleggen als het een kwaadaardige QR-code was.  

Quishing is een snelgroeiende cyberaanval die probeert vertrouwelijke informatie van gebruikers te stelen met behulp van nep-QR-codes. Deze strategische aanval is voornamelijk gericht op bedrijfsleiders en leidinggevenden. Volgens een rapport uit 2024 van Abnormal Security Corp., C-suite executives krijgen 42 keer vaker te maken met QR-phishingaanvallen dan gemiddelde werknemers. Business email compromise (BEC), een populaire methode van cyberaanval met nep-e-mails, steeg met maar liefst 108% tussen 2022 en 2023.

Met de toenemend gebruik van QR-codes in het dagelijks leven, quishing wordt steeds prominenter. Daarom moet elke QR-codegebruiker op de hoogte zijn van de kwaadaardige activiteiten of praktijken die verband houden met QR-codes en preventieve maatregelen tegen QR-codephishing. 

Betekenis van quishing of QR-code phishing

“Quishing,” of QR-code phishing is een goed geplande poging om QR-codegebruikers te misleiden tot het bezoeken van kwaadaardige links en websites. Na het scannen en klikken op een kwaadaardige QR-code worden gebruikers naar een phishingsite geleid die leidt tot het compromitteren van hun gevoelige informatie.

Quishing omzeilt vaak conventionele beveiligingssystemen, zoals e-mailbeveiligingsgateways, omdat de systemen QR-codes die aan een e-mail zijn toegevoegd, als onschadelijke afbeeldingen beschouwen. Als gevolg hiervan worden veel QR-codegebruikers slachtoffer van e-mailphishing. 

Hoe werkt quishing?

Quishing vindt plaats wanneer gebruikers opzettelijk of onopzettelijk op een frauduleuze link klikken die verschijnt bij het scannen van een kwaadaardige QR-code. Phishingaanvallen zijn er voornamelijk op gericht om persoonlijke en financiële informatie te stelen, zoals debitcard- of creditcardgegevens, inloggegevens of persoonlijke identificatiegegevens.

Oplichters gebruiken de gevoelige informatie van gebruikers voor financiële fraude, identiteitsdiefstal, ongeautoriseerde accounttoegang of ransomware. Ze gebruiken vaak kwaadaardige QR-codes via gedrukte flyers en posters, e-mail en socialemediaplatforms. 

Bij het scannen van de QR-code worden gebruikers naar een valse website of link geleid. Slachtoffers worden vaak gevraagd om gevoelige informatie in te voeren, zoals gebruikersnamen, e-mails, geboortedatum, bankgegevens en wachtwoorden voor accountaanmeldingen.

Belangrijke QR-phishingstatistieken om naar te kijken

• De snelle toename van het gebruik van smartphones voor het scannen van QR-codes is een cruciale reden achter de groeiende mate van quishing. Statista zei bijna 89 miljoen Amerikanen hebben een QR-code gescand met hun smartphones in 2022. In 100 zou dit aantal kunnen oplopen tot 2025 miljoen gebruikers.  
• In China zijn er maar liefst 10 miljard mobiele apparaten werden gebruikt voor QR-codebetalingen in 2022. 
• Volgens een rapport is het totale aantal Wereldwijd is het aantal smartphonegebruikers in 4.88 de 2024 miljard gepasseerd, goed voor 60.42% van de wereldbevolking.

Ook QR-code phishing is aanzienlijk toegenomenLaten we eens wat gegevens bekijken:

• Volgens een rapport van Check Point Software Technologies, QR-code phishing UPI-fraude in India meer dan verdubbeld, van 15,000 gevallen in 2022 tot ruim 30,000 gevallen in 2023. 
• Er worden elke dag meer dan 3 miljard phishing-e-mails verzondenwaardoor de kans groter wordt dat QR-codegebruikers in de val trappen.
• Gmail blokkeert elke dag meer dan 100 miljoen phishingpogingen. 
• Zoals Pymnts uitlegde, waren QR-codes goed voor meer dan 20% van alle online oplichting.
• Think IBMDe gemiddelde kosten van een datalek wereldwijd zouden in 2024 4.88 miljoen dollar bedragen. Dat is een stijging van 10% ten opzichte van vorig jaar en het hoogste totaal ooit.
• Volgens de Onderzoek naar inbreuken op de cyberveiligheid 2024 Volgens GOV.UK is phishing nog steeds het meest voorkomende type cyberbeveiligingsinbreuk en -aanval. Het is gericht op 84% van de bedrijven en 83% van de liefdadigheidsinstellingen in het Verenigd Koninkrijk.

Hoe beschermen we ons tegen QR-phishingaanvallen?

Hieronder vindt u de belangrijkste inzichten over hoe u uw persoonlijke gegevens kunt beveiligen en QR-codephishing kunt voorkomen. 

✅ Ga nooit in op ongevraagde QR-codes: Vermijd het scannen van de QR-code die bij e-mails of berichten op sociale media is bijgevoegd als u de afzender niet kent. Scan QR-codes niet willekeurig op openbare plaatsen. Wees voorzichtig met de QR-codes die via e-mail of sociale media worden gedeeld, vooral als u er niet om hebt gevraagd.

✅ Controleer de bron voordat u gaat scannen: Bevestig de authenticiteit van de QR-code voordat u scant, zelfs als u denkt dat u de bron kent. U kunt de naam van de afzender verifiëren door online te zoeken of rechtstreeks contact op te nemen met het bedrijf voordat u scant.

✅ Controleer de QR-code-URL opnieuw: Wacht even voordat u op de URL klikt die verschijnt na het scannen van de QR-code. Controleer de QR-code-URL opnieuw om te zien of deze overeenkomt met het bedrijf dat u kent of de website die u verwacht te bezoeken. Klik niet op verdachte URL's.  

✅ Phishingsignalen herkennen: Vergelijk de QR-code die u in e-mails ontvangt met de QR-code die is opgeslagen in uw Google Wallet- of UPI-account. U ziet de verschillen, zoals grafische fouten en discrepanties in e-mailadressen. Vermijd het scannen van de QR-code die een gevoel van urgentie creëert om actie te ondernemen of een bericht met slechte grammatica.  

✅ Houd rekening met de informatie die online wordt verstrekt: Beantwoord geen e-mails of sms-berichten van onbekende afzenders die om uw persoonlijke en financiële gegevens vragen. U moet er 100% zeker van zijn dat het veilig is om de QR-code te scannen voordat u gevoelige informatie verstrekt, zoals uw telefoonnummer, geboortedatum, inloggegevens, creditcardgegevens, etc. 

Bedrijven kunnen een aantal extra maatregelen nemen om te voorkomen dat ze in de problemen komen:

☑️ Tweefactorauthenticatie implementeren: E-mailphishing is de meest voorkomende zakelijke bedreiging. Met behulp van tweefactorauthenticatie of multi-factor authenticatie voorkomt dat BEC-aanvallers (Business Email Compromise) zakelijke e-mails hacken. 

☑️ Software- en beveiligingsfuncties bijwerken: Werk uw software bij naar de nieuwste versie en zorg dat u geavanceerde beveiligingsfuncties behoudt. Zo voorkomt u phishingaanvallen.

☑️ Beveiligingsbewustzijnstraining voor medewerkers: Door cybersecuritybewustzijn te creëren en uw werknemers te trainen in QR-codeveiligheid, kunnen bedrijven gevaren van quishing vermijden. Door training kunnen werknemers leren BEC-pogingen te herkennen en praktijken implementeren zoals het bevestigen van de bron van de QR-codes of betalingsverzoeken. 

Wat als een organisatie al het slachtoffer is van quishing?

Laten we aannemen dat uw organisatie al slachtoffer is van QR-codephishing. U moet de volgende stappen ondernemen om verdere verspreiding van de scam te stoppen of op zijn minst de schade te beperken. Dit is hoe u het moet doen. 

➡️ Verwijder de QR-code onmiddellijk: Verwijder of vervang de kwaadaardige QR-code onmiddellijk van uw bestaande fysieke en digitale ruimtes, inclusief gedrukte posters, menu's, sociale media en websites. Dit zal helpen om verdere escalatie van de phishingaanval te voorkomen.

➡️ Waarschuw klanten en personeel dringend: Waarschuw klanten, zakenpartners en personeel voor de phishingaanval en leg de situatie duidelijk uit. Zorg voor goede communicatie door duidelijke instructies te geven over hoe met de situatie om te gaan. Tijdige communicatie kan klanten behoeden voor financieel verlies en diefstal van persoonlijke gegevens, en voorkomt dat bedrijven een slecht merkimago of reputatie krijgen.  

➡️ Identificeer de bron van de frauduleuze QR-codes: Voer een grondige evaluatie uit van de bron van de QR-code en de doelbestemming. Onderzoek het quishing-motief door te identificeren of gebruikers worden aangestuurd naar een phishingsite of schadelijke content downloaden. Tijdige interventie en onderzoek kunnen klanten en organisaties beschermen tegen verdere schade. 

➡️ Meld het incident bij het beveiligingsteam: Meld de phishingaanval direct bij de relevante autoriteiten. Als uw organisatie bijvoorbeeld een apart beveiligingsteam heeft, meldt u het incident zo snel mogelijk bij het team zodra u quishing ontdekt of beseft. Organisaties kunnen een klacht indienen bij een lokale cybercrimecel. Autoriteiten kunnen passende tegenmaatregelen nemen om te voorkomen dat andere organisaties met hetzelfde incident worden geconfronteerd. 

➡️ Communiceer de oplossing van het probleem: Informeer uw klanten, personeel en andere zakelijke belanghebbenden zodra uw organisatie de problemen heeft opgelost. U kunt hen op de hoogte brengen van uw acties om de situatie aan te pakken. Het is essentieel om vertrouwen te herstellen en klanten ervan te verzekeren dat uw organisatie hen steunt.

Conclusie

Tegenwoordig zijn QR-codes overal, en dus ook de mogelijkheid om te quishen. QR-gebruikers moeten voorzichtig zijn bij het gebruik van QR-codes, vooral bij het scannen van een QR-code die is bijgevoegd bij een e-mail, tekst of social media-bericht van onbekende bronnen. 

Bedrijven moeten zich realiseren dat QR-codes een potentiële bedreiging vormen wanneer ze worden gebruikt voor phishingaanvallen. Door passende tegenmaatregelen te nemen, kunnen bedrijven zichzelf beschermen tegen QR-codephishing.

Veelgestelde vragen