QR-Code Oplichting: Zo Bescherm Je Jezelf Tegen Quishing in 2026
QR-codes zijn niet meer weg te denken uit ons dagelijks leven. Van het bestellen in een restaurant tot betalen op een parkeerautomaat: we scannen ze tientallen keren per week. Maar criminelen weten dit ook. QR-code oplichting, in vakjargon quishing (QR-phishing), is in 2025 met meer dan 400% gestegen volgens cijfers van de Fraudehelpdesk. In deze complete gids leer je precies hoe je jezelf beschermt tegen deze sluwe vorm van fraude.
Wat is QR-code oplichting (quishing)?
QR-code oplichting is een vorm van phishing waarbij criminelen kwaadaardige QR-codes gebruiken om slachtoffers naar nepwebsites te lokken, malware te installeren of betalingen af te troggelen. De term quishing is een samentrekking van QR en phishing.
In tegenstelling tot traditionele phishing-mails met verdachte links, omzeilen QR-codes vaak de beveiligingsfilters van e-mailservers en bedrijfssystemen. De gemiddelde gebruiker kan niet zien waar een QR-code naartoe leidt voordat hij of zij scant - en juist daar maken criminelen misbruik van.
Waarom werkt quishing zo goed?
- Onzichtbare bestemming: Je ziet pas na het scannen waar je terechtkomt.
- Vertrouwen: QR-codes worden geassocieerd met legitieme bedrijven en overheidsinstanties.
- Mobiele kwetsbaarheid: Smartphones hebben vaak minder beveiliging dan computers.
- Snelheid: Mensen scannen vaak haastig zonder na te denken.
- Beveiligingsfilters omzeilen: E-mailfilters herkennen URL's in afbeeldingen vaak niet.
De 7 meest voorkomende QR-code oplichtingstechnieken
1. Parkeerautomaat-fraude
Een van de meest voorkomende vormen in Nederland. Oplichters plakken een nepsticker met QR-code over de echte code op parkeerautomaten in steden als Amsterdam, Rotterdam en Utrecht. Wie scant, betaalt aan criminelen en krijgt alsnog een boete.
2. Restaurant-menukaart vervanging
Tafelsticker met QR-code voor het digitale menu? Oplichters vervangen deze door eigen stickers die naar phishing-sites leiden, soms vermomd als bestelpagina waar je creditcardgegevens moet invoeren.
3. Nep-pakketbezorging
Briefjes in de brievenbus van zogenaamd PostNL of DHL met een QR-code om je pakket op te halen of betalen voor douanekosten. De code leidt naar een neppagina die je gegevens steelt.
4. Quishing via e-mail
E-mails van zogenaamd je bank, Belastingdienst of werkgever met een QR-code in plaats van een link. Vooral populair om bedrijfsbeveiliging te omzeilen.
5. Nep-laadpalen
Bij elektrische laadpalen plakken criminelen QR-codes die naar nepbetalingspagina's leiden. Een groeiend probleem nu Nederland in rap tempo elektrificeert.
6. Tikkie-fraude met QR
Oplichters sturen QR-codes via WhatsApp of e-mail die lijken op Tikkie-betaalverzoeken, maar in werkelijkheid leiden naar nep-bankomgevingen.
7. Posters in openbare ruimtes
Nepposters van bekende merken (bijvoorbeeld een winactie) met QR-codes die malware downloaden of inloggegevens stelen.
Hoe herken je een verdachte QR-code? 10 waarschuwingssignalen
- Sticker over sticker: Controleer altijd of er een sticker over de originele code is geplakt.
- Slecht uitgelijnde print: Officiele codes zijn meestal strak gedrukt of gegraveerd.
- Ongebruikelijke locatie: Een QR-code op een vreemde plek (bijvoorbeeld los op straat) is verdacht.
- Urgentie in begeleidende tekst: "Scan nu of betaal extra!" is een rode vlag.
- Verkorte URL na scan: Let op onbekende verkorters - betrouwbare diensten zoals Lunyb tonen vaak een preview voor je doorgaat.
- HTTP in plaats van HTTPS: Geen slotje? Niet vertrouwen.
- Vraag om gevoelige gegevens: Bank- of DigiD-inloggegevens? Direct sluiten.
- Spelfouten op landingspagina: Klassiek phishing-signaal.
- Onverwachte app-downloads: Een QR-code zou nooit automatisch een app moeten installeren.
- Domeinnaam klopt niet: postnl-bezorging.com is niet hetzelfde als postnl.nl.
Vergelijking: veilige vs. onveilige QR-code scenario's
| Scenario | Veilig | Verdacht |
|---|---|---|
| Restaurant menu | Gedrukt op laminaat tafel, geen sticker | Losse sticker over oude code geplakt |
| Parkeren | Officiele app downloaden via App Store | QR-code op parkeerautomaat scannen |
| E-mail bank | Direct naar app of website navigeren | QR-code in e-mail scannen |
| Pakketbezorging | Track & Trace via officiele app | QR-code op briefje uit brievenbus |
| URL preview | Bekend domein, HTTPS, geen typo's | Onbekende verkorter, geen slotje |
10 praktische stappen om jezelf te beschermen
1. Gebruik een QR-scanner met URL-preview
De ingebouwde camera-app van iPhone en moderne Androids toont de URL voordat je deze opent. Tik nooit direct door - lees eerst de link.
2. Controleer het domein zorgvuldig
Let op subtiele verschillen: rab0bank.nl (met nul) in plaats van rabobank.nl. Cyber criminelen gebruiken vaak homoglyphs (lijkende karakters).
3. Scan nooit codes op losse stickers in openbare ruimtes
Vooral bij parkeerautomaten, laadpalen en publieke borden. Download in plaats daarvan de officiele app uit de App Store of Google Play.
4. Voer nooit DigiD of bankgegevens in na een QR-scan
Officiele instanties zoals de Belastingdienst, DUO en je bank vragen nooit via een QR-code om in te loggen.
5. Gebruik tweefactorauthenticatie (2FA)
Zelfs als je gegevens worden gestolen, kunnen criminelen niet inloggen zonder de tweede factor.
6. Houd je smartphone bijgewerkt
Veel quishing-aanvallen maken gebruik van bekende kwetsbaarheden die in updates worden gepatcht.
7. Wees extra voorzichtig op openbare WiFi
QR-code aanvallen worden gevaarlijker wanneer je verbonden bent met onbeveiligde netwerken. Lees onze gids over openbaar WiFi veiligheid voor meer informatie.
8. Installeer een mobiele beveiligingsapp
Apps van Bitdefender, Kaspersky of Malwarebytes detecteren bekende phishing-sites voordat de pagina laadt.
9. Controleer betalingen direct
Na een online betaling via QR: open direct je bank-app om de transactie te verifieren.
10. Meld verdachte QR-codes
Meld phishing-pogingen bij de Fraudehelpdesk (fraudehelpdesk.nl) en verwijder de sticker als dat veilig kan.
Wat te doen als je slachtoffer bent van QR-oplichting?
Heb je per ongeluk een schadelijke QR-code gescand en gegevens ingevoerd? Handel snel:
- Bel direct je bank via het officiele nummer (achterop je pasje) om transacties te blokkeren.
- Wijzig wachtwoorden van alle accounts waarvan je gegevens mogelijk gelekt zijn.
- Activeer 2FA als je dat nog niet had.
- Doe aangifte bij de politie via politie.nl/aangifte.
- Meld het bij de Fraudehelpdesk en bij Autoriteit Persoonsgegevens (AP) als gevoelige data is gelekt.
- Scan je telefoon met een betrouwbare antivirus-app op malware.
- Houd je accounts in de gaten de komende weken op verdachte activiteit.
Voor een uitgebreid stappenplan, lees onze gids: Datalek: Wat te Doen als Slachtoffer.
QR-codes veilig gebruiken voor bedrijven
Ben je ondernemer en gebruik je QR-codes voor marketing, menukaarten of betalingen? Volg deze best practices:
Voor restaurants en winkels
- Lamineer QR-codes of laat ze graveren op een vaste ondergrond.
- Controleer dagelijks of er geen stickers overheen zijn geplakt.
- Plaats meerdere identieke codes ter controle.
- Gebruik HTTPS en een herkenbaar domein.
Voor marketing-campagnes
- Gebruik een betrouwbare URL-shortener met analytics en preview-functionaliteit zoals Lunyb, zodat klanten kunnen verifieren waar de link naartoe gaat.
- Communiceer altijd het exacte domein op de campagnemateriaal.
- Vermijd korte URL's van onbekende diensten - kijk naar onze vergelijking van gratis Bitly alternatieven.
- Monitor scans en let op afwijkende patronen die op fraude duiden.
Voor zorg- en overheidsorganisaties
Onder de AVG ben je verantwoordelijk voor de veiligheid van persoonsgegevens die via QR-codes worden verzameld. Een datalek door quishing kan leiden tot boetes en meldplicht. Bekijk onze complete AVG-gids voor verplichtingen.
De toekomst van QR-fraude: wat verwachten experts in 2026?
Volgens cybersecurity-onderzoekers zullen quishing-aanvallen in 2026 nog geavanceerder worden door:
- AI-gegenereerde phishing-sites die niet meer te onderscheiden zijn van echte websites.
- Deepfake landingspagina's met video's van CEO's of bekende Nederlanders.
- Dynamische QR-codes die per scanner een andere bestemming tonen om detectie te ontwijken.
- Quishing-as-a-Service: kant-en-klare kits voor cybercriminelen op het dark web.
Lees meer over hoe AI de privacy- en beveiligingswereld verandert in onze gids AI en Privacy 2026.
Conclusie: blijf alert, blijf veilig
QR-codes zijn handig, maar vereisen dezelfde gezonde achterdocht als verdachte e-mails of telefoontjes. De gouden regel: scan niet wat je niet vertrouwt, en vertrouw niet wat je niet kunt verifieren. Door bewust om te gaan met QR-codes, je smartphone goed te beveiligen en bovenstaande tips toe te passen, verklein je de kans op quishing-fraude drastisch.
Onthoud: bij twijfel niet scannen. Open in plaats daarvan de officiele app of typ de URL handmatig in je browser. Een paar seconden extra moeite kan honderden tot duizenden euro's schade voorkomen.
Veelgestelde vragen (FAQ)
Kan ik een virus krijgen door alleen een QR-code te scannen?
Alleen scannen veroorzaakt zelden direct schade - moderne smartphones tonen eerst de URL. Het gevaar ontstaat als je doorklikt naar een schadelijke website, een app installeert of gegevens invoert. Sommige geavanceerde aanvallen kunnen wel kwetsbaarheden in je browser misbruiken, dus houd je systeem altijd bijgewerkt.
Zijn QR-codes van de Belastingdienst of overheid veilig?
Officiele QR-codes van bijvoorbeeld de Belastingdienst, DigiD of CoronaCheck waren veilig, maar criminelen imiteren deze instanties regelmatig. Vertrouw nooit blind op het logo - controleer altijd de URL na scannen. Bij twijfel: ga rechtstreeks naar de officiele website via je browser.
Welke QR-scanner is het veiligst om te gebruiken?
De ingebouwde camera-app van iOS (iPhone) en de Google Camera op Android zijn de veiligste opties. Ze tonen altijd de URL voordat je doorklikt en hebben geen extra rechten nodig. Vermijd downloaden van losse QR-scanner-apps, omdat veel daarvan zelf privacy-issues hebben.
Wat moet ik doen als ik op een parkeerplaats een verdachte QR-sticker zie?
Scan de code niet en gebruik in plaats daarvan de officiele parkeerapp (Parkmobile, Yellowbrick, EasyPark) of betaal met de fysieke knoppen op de automaat. Meld de verdachte sticker bij de gemeente en de Fraudehelpdesk. Indien mogelijk, verwijder de sticker zelf zodat anderen niet getroffen worden.
Kan mijn bank mijn geld terugstorten na QR-oplichting?
Banken zijn in Nederland niet altijd verplicht om bij phishing-fraude te vergoeden, vooral als je zelf gegevens hebt ingevoerd of een betaling hebt goedgekeurd. Bel je bank direct - hoe sneller je meldt, hoe groter de kans dat transacties geblokkeerd kunnen worden. Bij grove nalatigheid van de bank kun je naar het Kifid (Klachteninstituut Financiele Dienstverlening) stappen.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Openbaar WiFi: Is het Veilig in 2026? Complete Gids voor Nederland
Openbaar WiFi is overal beschikbaar, maar hoe veilig is het echt? Ontdek de grootste risico's, hoe aanvallen zoals Evil Twin en Man-in-the-Middle werken, en welke 10 concrete maatregelen je beschermen op publieke netwerken in 2026.
Datalek: Wat te Doen als Slachtoffer (Complete Stappenplan 2026)
Slachtoffer van een datalek? Met dit 10-stappenplan beperk je direct de schade, beveilig je je accounts en claim je je rechten onder de AVG. Inclusief praktische tips en juridische opties.
Wachtwoordbeveiliging: De Ultieme Gids voor Veilige Wachtwoorden (2026)
Wachtwoorden zijn jouw eerste verdedigingslinie tegen cybercriminelen, maar de meeste mensen gebruiken ze verkeerd. Deze ultieme gids leert je sterke wachtwoorden maken, password managers gebruiken, 2FA inschakelen en passkeys benutten voor maximale beveiliging in 2026.
Wat Google Over Jou Weet: Complete Gids om Jouw Data te Beheren (2026)
Google verzamelt enorm veel data over jou: van zoekopdrachten tot locaties. Ontdek precies wat Google over jou weet en leer hoe je jouw persoonlijke gegevens kunt inzien, beheren en verwijderen. Complete privacy gids voor 2026.