facebook-pixel
L
Lunyb

QR-Code Oplichting: Zo Bescherm Je Jezelf in 2026

L
Lunyb Beveiligingsteam
··10 min read

QR-codes zijn de afgelopen jaren een onmisbaar onderdeel geworden van ons dagelijks leven. Je scant ze om een menu te bekijken, te betalen bij een parkeerautomaat, een ticket te tonen of een Wi-Fi-netwerk te verbinden. Maar deze populariteit heeft een schaduwzijde: oplichters hebben ontdekt dat QR-codes een ideaal aanvalskanaal zijn. Het fenomeen heet quishing (QR-phishing) en groeit explosief. In deze gids leggen we uit hoe QR-code oplichting werkt, welke vormen er bestaan en — vooral — hoe je jezelf effectief beschermt.

Wat is QR-code oplichting (quishing)?

QR-code oplichting, ook wel quishing genoemd, is een vorm van phishing waarbij criminelen een kwaadaardige QR-code gebruiken om slachtoffers naar een nepwebsite te leiden, malware te installeren of betalingsgegevens te ontfutselen. Omdat een QR-code een onleesbare reeks pixels is, kan een gebruiker pas na het scannen zien waar hij of zij terechtkomt — en dan is het vaak al te laat.

Het Nederlandse Nationaal Cyber Security Centrum (NCSC) en de Fraudehelpdesk waarschuwen al sinds 2022 voor een sterke stijging van dit type fraude. In 2025 was quishing een van de snelst groeiende vormen van online oplichting in Nederland en België.

Waarom QR-codes zo aantrekkelijk zijn voor oplichters

QR-codes hebben een aantal eigenschappen die ze uitermate geschikt maken voor misbruik:

  • Onleesbaar voor mensen: je weet pas waar je heen gaat na het scannen.
  • Hoog vertrouwen: mensen scannen vaak zonder nadenken, vooral in openbare ruimtes.
  • Makkelijk te vervalsen: een sticker over de echte code plakken is een fluitje van een cent.
  • Mobiele context: op een telefoon zijn de URL-balk en beveiligingswaarschuwingen kleiner en lastiger te controleren.
  • Omzeilt e-mailfilters: een QR-code in een phishing-e-mail wordt vaak niet herkend door spamfilters omdat het een afbeelding is.

De meest voorkomende vormen van QR-code oplichting

1. Nep-parkeerautomaten

Een van de meest voorkomende vormen in Nederland en België. Oplichters plakken een eigen QR-sticker over de officiële code op een parkeermeter. Slachtoffers worden naar een nepwebsite geleid die er identiek uitziet als de echte parkeer-app. Ze geven hun bank- en kaartgegevens in, waarna geld wordt afgeschreven.

2. Quishing via e-mail

Criminelen sturen e-mails die lijken te komen van de bank, Belastingdienst, DHL of Microsoft. In plaats van een verdachte link bevat de mail een QR-code met de boodschap "scan deze code om uw account te verifiëren". Omdat je de code op je telefoon scant, omzeil je vaak de beveiliging van je bedrijfslaptop.

3. Nep-betaalverzoeken op terrassen en restaurants

Op een terras of in een restaurant wordt soms een sticker met QR-code aan de tafel bevestigd voor het menu of de betaling. Fraudeurs vervangen deze door eigen codes die naar betaalpagina's leiden waar de prijs hoger is dan de werkelijke rekening, of waar bankgegevens worden gestolen.

4. Quishing op laadpalen

Bij elektrische laadpalen plakken oplichters QR-codes met een nep-laadapp. Het slachtoffer betaalt voor een laadbeurt die nooit start, terwijl de criminelen er met de gegevens vandoor gaan.

5. Nep-pakketmeldingen

Een briefje op de deur of in de brievenbus met "u was niet thuis, scan de QR-code om uw pakket opnieuw te laten bezorgen". De code leidt naar een nepsite van PostNL of bpost waar een kleine "bezorgkost" wordt gevraagd — én bankgegevens worden buitgemaakt.

6. QR-codes op straat en op posters

Posters met aantrekkelijke aanbiedingen, gratis Wi-Fi-codes in cafés, of zelfs gefotokopieerde flyers. Eén scan kan voldoende zijn om malware te installeren of je naar een phishing-site te leiden.

Hoe een quishing-aanval stap voor stap verloopt

  1. Voorbereiding: de oplichter maakt een nepwebsite die exact lijkt op die van een bank, parkeerdienst of bezorger.
  2. Genereren van QR-code: de URL van de nepsite wordt omgezet in een QR-code, vaak met een korte URL om de bestemming te verbergen.
  3. Plaatsing: de code wordt fysiek (sticker) of digitaal (e-mail, sms) verspreid.
  4. Scan en redirect: het slachtoffer scant en wordt doorgestuurd naar de nepsite.
  5. Datadiefstal of malware: de gebruiker voert betalings- of inloggegevens in, of zonder dat de gebruiker het doorheeft wordt malware geinstalleerd.
  6. Exploitatie: de criminelen gebruiken de gegevens direct of verkopen ze door op het darkweb.

Waarschuwingssignalen: zo herken je een verdachte QR-code

Fysieke signalen

  • Een sticker die over een andere QR-code is geplakt.
  • Een QR-code op een goedkope sticker die niet matcht met de rest van het apparaat of de poster.
  • Een code op een ongewone locatie, bijvoorbeeld op de zijkant van een parkeermeter in plaats van de voorkant.
  • Geen duidelijke uitleg of logo van een herkenbare provider.
  • Lijmresten of beschadigingen rond de code.

Digitale signalen na het scannen

  • De URL bevat een verdachte domeinnaam (bijv. parkeren-betalen-nl.com in plaats van het officiele domein).
  • De website vraagt direct om je volledige bankgegevens, pincode of TAN-codes.
  • Er is haast of druk: "betaal binnen 5 minuten".
  • De site gebruikt geen HTTPS of het slotje ontbreekt.
  • Spelfouten, vreemde lay-out of een logo dat net iets afwijkt.

Veel van deze signalen overlappen met klassieke phishing. In onze complete gids over phishing herkennen en voorkomen vind je meer details over hoe je nepwebsites en oplichtingsmails identificeert.

10 concrete tips om jezelf te beschermen tegen QR-oplichting

  1. Controleer altijd de URL voordat je iets invult. Lees zorgvuldig de domeinnaam in de adresbalk na het scannen.
  2. Inspecteer de QR-code fysiek. Voel of er een sticker overheen geplakt is. Vertrouw je het niet? Scan niet.
  3. Gebruik de officiele app in plaats van de QR-code. Voor parkeren, laden of bezorging: open de app rechtstreeks (bijv. EasyPark, Yellowbrick, PostNL).
  4. Schakel een QR-scanner in die de URL eerst toont. De ingebouwde camera-app van iPhone en Android laat meestal eerst de URL zien — tik niet automatisch door.
  5. Vul nooit bankgegevens in via een gescande QR-code. Echte betaaldiensten leiden je naar je bank-app via een betaalverzoek (zoals iDEAL of Bancontact), niet via een willekeurige webpagina.
  6. Wees extra waakzaam bij e-mails met QR-codes. Banken en overheden vragen je nooit om in te loggen via een QR-code in een e-mail.
  7. Houd je telefoon up-to-date. Beveiligingsupdates dichten kwetsbaarheden waar quishing-malware gebruik van maakt.
  8. Gebruik tweestapsverificatie. Zelfs als je wachtwoord wordt gestolen, kunnen oplichters niet zomaar inloggen.
  9. Activeer DNS-filtering of een veilige browser. Diensten als NextDNS, Quad9 of de ingebouwde bescherming van Firefox en Brave blokkeren bekende phishing-domeinen.
  10. Meld verdachte QR-codes. In Nederland bij de Fraudehelpdesk en de politie, in Belgie bij safeonweb.be of via 0800 13 2 13.

Het belang van transparante korte URL's

Veel QR-codes verwijzen naar verkorte URL's. Dat is op zich niet verdacht — het maakt de QR-code compacter en beter scanbaar. Maar het maakt het ook moeilijker om te zien waar je terechtkomt. Daarom is het belangrijk om bij twijfel de korte URL eerst te ontmaskeren.

Diensten zoals Lunyb bieden transparante linkstatistieken en een preview-functie, zodat zowel verzenders als ontvangers kunnen controleren waar een verkorte link naar verwijst voordat ze klikken. Voor bedrijven die QR-codes gebruiken voor marketing of betalingen is dit een belangrijke beveiligingslaag. In onze vergelijking van de beste URL-verkorters van 2026 lees je welke diensten de meeste beveiligingsfuncties bieden.

Vergelijking: veilige vs. onveilige QR-code situaties

Situatie Risiconiveau Aanbevolen actie
QR-code in officiele brief van bank (met logo en envelop) Laag tot middel Verifieer via bank-app of telefoon klantenservice
QR-code op parkeermeter (sticker erover geplakt) Hoog Niet scannen, gebruik officiele app
QR-code op menu in restaurant Laag Controleer wel de URL voor het openen
QR-code in onverwachte e-mail Zeer hoog Niet scannen, e-mail melden als phishing
QR-code op publieke poster of flyer Middel tot hoog Alleen scannen bij betrouwbare bron
QR-code voor betaling op factuur (met IBAN) Laag Vergelijk IBAN met factuurgegevens

Wat te doen als je slachtoffer bent geworden?

Heb je een verdachte QR-code gescand of zelfs gegevens ingevuld? Snelheid is cruciaal. Volg deze stappen:

  1. Bel direct je bank. Laat je rekening blokkeren en eventuele transacties terugdraaien. Nederlandse banken zijn bereikbaar via 0800-0313 (centraal antifraude-nummer). In Belgie bel je Card Stop op 078 170 170.
  2. Wijzig je wachtwoorden. Begin met je e-mailaccount en bankaccount, daarna alle andere belangrijke diensten.
  3. Activeer tweestapsverificatie op alle accounts waar dit nog niet aanstaat.
  4. Doe aangifte bij de politie. Via politie.nl of de lokale politie in Belgie. Een aangifte is belangrijk voor eventuele schadevergoeding.
  5. Meld het incident bij de Fraudehelpdesk (Nederland) of safeonweb.be (Belgie). Zo help je anderen waarschuwen.
  6. Scan je telefoon op malware met een betrouwbare beveiligingsapp.
  7. Houd je rekeningafschriften de komende maanden goed in de gaten. Soms wachten oplichters even voordat ze toeslaan.

QR-codes en privacy: een onderschat risico

Naast directe oplichting kunnen QR-codes ook gebruikt worden om je gedrag te volgen. Bedrijven plaatsen unieke QR-codes per locatie of campagne, waardoor ze precies weten waar en wanneer je scant. Gecombineerd met andere data ontstaat een gedetailleerd profiel. Lees meer over hoe je je digitale voetafdruk kunt beheren en wat grote techbedrijven al over je weten.

Voor inwoners van Belgie en Nederland gelden onder de AVG strikte regels voor het verzamelen van locatie- en gedragsdata via QR-codes. De Belgische Gegevensbeschermingsautoriteit (GBA) en de Nederlandse Autoriteit Persoonsgegevens (AP) hebben hier richtlijnen over opgesteld. In onze gids over online privacy in Belgie lees je meer over jouw rechten.

QR-code beveiliging voor bedrijven

Gebruik je als ondernemer QR-codes voor menu's, betalingen of marketing? Dan draag je een verantwoordelijkheid om je klanten te beschermen:

  • Gebruik gelamineerde of moeilijk te overplakken QR-codes op fysieke plekken.
  • Controleer dagelijks of de codes niet zijn vervangen door stickers.
  • Gebruik een eigen domein in plaats van een willekeurige korte URL, zodat klanten je merk herkennen.
  • Implementeer HTTPS en een geldig SSL-certificaat op je bestemmings-URL's.
  • Informeer je klanten hoe ze een echte QR-code van jou kunnen herkennen.
  • Monitor je linkstatistieken op afwijkende scanpatronen — een platform als Lunyb biedt hiervoor analytics.

De toekomst van QR-code beveiliging

Browsers en besturingssystemen werken steeds harder aan QR-veiligheid. iOS en Android tonen tegenwoordig vaak een preview van de URL voordat je doorklikt. Daarnaast komen er ondertekende QR-codes (signed QR) op de markt, waarbij authenticiteit cryptografisch wordt gewaarborgd. In Europa wordt gewerkt aan een standaard voor vertrouwde QR-codes voor overheidscommunicatie en betalingen, mede onder druk van de eIDAS 2.0-verordening.

Tot die tijd blijft menselijke alertheid de belangrijkste beveiligingslaag. Een gezonde dosis scepsis bij elke onverwachte QR-code voorkomt het overgrote deel van de aanvallen.

FAQ: veelgestelde vragen over QR-code oplichting

Kan ik een virus krijgen door alleen een QR-code te scannen?

Door alleen te scannen meestal niet — de scan opent slechts een URL. Maar als je vervolgens een app downloadt of op een schadelijke website terechtkomt die kwetsbaarheden in je browser misbruikt, is besmetting wel mogelijk. Houd je telefoon daarom altijd up-to-date.

Hoe weet ik of een verkorte URL achter een QR-code veilig is?

Gebruik een URL-preview-dienst (zoals checkshorturl.com of de previewfunctie van Lunyb) om te zien naar welk domein de korte URL leidt voordat je klikt. Vertrouw alleen domeinen die je kunt herleiden naar de officiele aanbieder.

Zijn QR-codes op restaurantmenu's veilig?

Meestal wel, maar controleer altijd of de QR-code niet over een andere code is geplakt. Wees ook waakzaam als de menu-website om persoonlijke gegevens of een betaling vraagt — een menu hoort gratis en zonder login te zijn.

Wat is het verschil tussen phishing en quishing?

Phishing is de overkoepelende term voor oplichting waarbij criminelen zich voordoen als betrouwbare partij om gegevens te ontfutselen. Quishing is een specifieke vorm van phishing waarbij een QR-code wordt gebruikt als aanvalskanaal. De technieken om je te beschermen overlappen grotendeels.

Krijg ik mijn geld terug van de bank als ik slachtoffer ben?

Dit hangt af van de omstandigheden. Banken in Nederland en Belgie vergoeden vaak schade bij phishing als je niet "grof nalatig" bent geweest. Aangifte doen bij de politie en snel handelen vergroten je kansen op compensatie aanzienlijk. Bewaar bewijsmateriaal (screenshots, e-mails, foto's van de QR-code).

Conclusie

QR-codes zijn handig, maar de keerzijde is dat ze een ideaal aanvalskanaal vormen voor oplichters. Door fysieke codes goed te inspecteren, URL's altijd te controleren, en bij twijfel de officiele app te gebruiken, voorkom je het overgrote deel van quishing-aanvallen. Combineer dit met goede digitale hygiene — sterke wachtwoorden, tweestapsverificatie en up-to-date software — en je maakt het criminelen bijzonder lastig.

Onthoud: een QR-code is niet meer dan een link in pixelvorm. Behandel hem met dezelfde gezonde scepsis als een willekeurige link in een e-mail. Een seconde extra nadenken kan honderden euro's en veel hoofdpijn schelen.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Phishing Herkennen en Voorkomen: De Complete Gids voor 2026

Phishing wordt in 2026 steeds geraffineerder door AI en deepfakes. In deze complete gids leer je hoe je phishing herkent, voorkomt en wat je doet als je toch slachtoffer wordt. Inclusief praktische checklists, voorbeelden en een vergelijkingstabel.

8 min

Wat Google over Jou Weet: De Complete Onthulling (2026)

Google verzamelt enorm veel data over jou: zoekgeschiedenis, locatie, spraakopnames en meer. Ontdek precies wat Google over jou weet en hoe je deze gegevens kunt bekijken, beheren en verwijderen. Inclusief praktische privacystrategieen en alternatieven.

8 min

Cybersecurity voor Belgische KMO's: Complete Gids 2026

Belgische KMO's worden in 2026 massaal geviseerd door cybercriminelen. Deze gids legt uit welke dreigingen het grootst zijn, wat NIS2 en de GBA verplichten, en welke 10 concrete stappen je vandaag kan zetten om je bedrijf te beschermen, met budgetten en subsidies inbegrepen.

9 min

Datalek: Wat te Doen als Slachtoffer (Complete Gids 2026)

Slachtoffer van een datalek? Deze complete gids leert je in 9 concrete stappen hoe je je accounts, financiën en identiteit beschermt. Inclusief AVG-rechten, schadevergoeding en preventietips voor 2026.

8 min