België waarschuwt automobilisten voor quishing, een frauduleuze combinatie van QR-codes en phishing

Wist je dat de quick response-code in 1994 werd gecreëerd door Denso, een belangrijke toeleverancier van elektrische componenten voor onder andere Toyota? Anno 2024 valt het geblokte vierkant niet meer weg te denken uit het digitale leven, maar helaas brengt dat ook risico’s met zich mee …

Uitkijken voor valse QR-stickers

Was de qr-code tijdens de coronacrisis nog een handige manier om een biertje te bestellen, dan is het vandaag helaas ook een tool voor oplichters. Sinds enige tijd zijn daarbij automobilisten in het vizier, met name wanneer die onderweg een betaling moeten doen. De eerste golf fraudegevallen dateert van midden dit jaar en gebeurde via publieke laadpalen. Daarop moet van de EU verplicht een qr-code staan die gebruikers naar een betaalpagina leidt om de laadkosten te vereffenen. In het beste geval wordt die code digitaal op een display getoond, maar meestal gebeurt dat gewoon met een sticker op de paal. Je voelt hem wellicht al aankomen: de stickers worden overplakt met andere codes die naar de website van de oplichters leiden.

Op die manier werden in mei van dit jaar een honderdtal mensen opgelicht in Brussel, voornamelijk via laadpalen van EnergyVision. Op 22 stuks vond de provider een valse QR-code, die tot €300 aan de gedupeerden ontfutselde. Het bedrijf kwam er gelukkig snel achter, maar het voorval inspireerde wel andere oplichters om vergelijkbare truukjes te proberen. Ondertussen duikt dergelijke ‘quishing’ -als samentrekking van ‘qr-code’ en ‘phishing’- ook op in Nederland, Frankrijk en het Verenigd Koninkrijk. De respectievelijke overheden vragen dan ook om alert te zijn en altijd de url te checken van de pagina waar de code je naartoe stuurt. Er bestaan ondertussen ook apps om de legitimiteit van qr-codes te checken, maar dan moet je die natuurlijk wel eerst downloaden én consequent gebruiken.

Niet alleen op laadpalen

Wie dacht dat quishing alleen voor EV-rijders een gevaar vormt, kan beter nog even een paragraaf verder lezen. Ondertussen circuleren er ook berichten over parkeerautomaten met hetzelfde probleem. De Vlaamse Vereniging van Steden en Gemeenten (VVSG) waarschuwde al in oktober daarvoor, net als Safeonweb oftewel de Belgische overheidsdienst die burgers probeert te behoeden voor cybercriminaliteit. Het advies luidt om qr-codes te vermijden en je parkeersessie via de sms-dienst te betalen. Alleen is dat doorgaans niet praktisch voor buitenlanders, aangezien je daarvoor eerst een account moet aanmaken. Betalen met de bankpas kan in bijna alle Belgische parkeergarages, maar vaak nog niet aan parkeerzuiltjes op straat. Munten kan je er al helemaal niet meer in kwijt.

Trap je toch in de val, dan is het zaak om je bankpas(sen) zo snel mogelijk te laten blokkeren. Controleer ook of je telefoon niet besmet is met spyware door naar de frauduleuze website te surfen, want ook dat komt tegenwoordig voor. Inderhaast zijn parkeerders soms geneigd om op alles ‘ja’ te antwoorden, zonder te beseffen dat er malware op hun telefoon wordt geïnstalleerd. In sommige gevallen is het bedrog zo gewiekst dat zelfs professionals erin trappen. Zo waarschuwde de ADAC afgelopen week nog voor parkeerfraude in Hannover, waar zelfs ambtenaren van de stad in de val waren gelopen door nagemaakte qr-codes te scannen bij EasyPark. Daarom is en blijft de vuistregel: gebruik een laadpas of token om stroom te tappen en alles behalve een qr-code om je parkeersessie te betalen.