facebook-pixel
L
Lunyb

QR-Code Oplichting: Zo Bescherm Je Jezelf (Gids 2026)

L
Lunyb Beveiligingsteam
··9 min read

QR-codes zijn alomtegenwoordig: op parkeerautomaten, restaurantmenu's, betaalverzoeken en zelfs op brieven van de Belastingdienst. Helaas hebben oplichters dit ontdekt en is quishing (QR-phishing) een van de snelst groeiende vormen van online fraude in Nederland. In deze gids leer je alles over QR-code oplichting bescherming: hoe het werkt, hoe je het herkent en welke concrete stappen je kunt nemen om jezelf en je gezin te beschermen.

Wat is QR-code oplichting (quishing)?

Quishing is een vorm van phishing waarbij criminelen kwaadaardige QR-codes gebruiken om slachtoffers naar nepwebsites te leiden, malware te installeren of betalingen af te troggelen. De term is een samenvoeging van QR-code en phishing.

Het gevaar zit in de aard van QR-codes zelf: het zijn ondoorzichtige blokjes zwart-wit pixels die je niet kunt "lezen" zonder een scanner. Je moet vertrouwen op je telefoon om je te tonen waar de code naartoe leidt — en zelfs dan kun je misleid worden door verkorte links, lookalike-domeinen of onmiddellijke automatische redirects.

Waarom werkt quishing zo goed?

  • Vertrouwen door context: een QR-code op een officieel ogende sticker bij een parkeerautomaat wekt direct vertrouwen.
  • Mobiel scherm: URL's worden vaak afgekapt op smartphones, waardoor verdachte domeinen minder snel opvallen.
  • Geen filters: waar e-mailproviders phishing-mails vaak blokkeren, kan een QR-code direct via je camera.
  • Snelheid: mensen scannen zonder na te denken, zeker bij betalingen of als ze haast hebben.

Veelvoorkomende QR-code oplichtingstactieken in Nederland

De Fraudehelpdesk en de Nederlandse politie hebben in 2024 en 2025 een sterke stijging van quishing-meldingen geregistreerd. Hier zijn de meest voorkomende scenario's.

1. Parkeerautomaat-stickers

Oplichters plakken nepstickers met QR-codes over de originele code op parkeerautomaten in steden als Amsterdam, Rotterdam en Utrecht. Wie scant, belandt op een nepbetaalpagina die er identiek uitziet als die van Parkmobile of EasyPark. Je betaalt, maar je auto staat technisch zonder ticket — en je creditcardgegevens zijn gestolen.

2. Nep-betaalverzoeken (Tikkie-fraude via QR)

Je ontvangt een mail of brief met een QR-code voor een "openstaande factuur". De code leidt naar een nep-Tikkie of nep-iDEAL pagina waar je inloggegevens en betaalgegevens worden buitgemaakt.

3. Brieven van de "Belastingdienst" of "CJIB"

Fysieke brieven met logo's van overheidsinstanties bevatten een QR-code voor "directe betaling". Het CJIB heeft uitdrukkelijk gewaarschuwd dat zij nooit via QR-codes betalingen vragen.

4. Restaurantmenu-overlays

In horecagelegenheden plakken criminelen QR-stickers over menu-codes. In plaats van het menu krijg je een formulier dat om persoonlijke gegevens of betaalinformatie vraagt.

5. Pakketbezorging-nepberichten

SMS of mail van "PostNL" of "DHL" met een QR-code om je pakket te traceren of een herbezorging te plannen. De code leidt naar een phishing-site of installeert malware.

6. Laadpaal-fraude

Bij openbare laadpalen voor elektrische auto's verschijnen nep-QR-codes die naar valse betaalplatformen leiden. Een groeiend probleem nu het EV-park in Nederland snel uitbreidt.

Hoe herken je een frauduleuze QR-code?

Voorkomen begint met herkennen. Let op deze waarschuwingssignalen:

Fysieke signalen

  1. Stickers over stickers: als de QR-code op een sticker zit die over een andere sticker is geplakt, is dat zeer verdacht.
  2. Slechte afdrukkwaliteit: kleurverschillen, scheve plaatsing of een ander lettertype dan de rest van het apparaat.
  3. Losliggende randen: een sticker die makkelijk loslaat is vrijwel zeker niet origineel.
  4. Geen logo of context: een losse QR-code zonder uitleg of merknaam.

Digitale signalen na het scannen

  1. Verkorte URL: bit.ly, tinyurl of onbekende verkorters in een officiële context zijn een rode vlag.
  2. Lookalike-domeinen: parkmobile-nl.com in plaats van parkmobile.nl, of typefouten zoals belastlngdienst.nl.
  3. HTTP in plaats van HTTPS: betaalpagina's zonder slotje zijn nooit veilig.
  4. Onmiddellijk gevraagd om inloggen of betalen: legitieme apps openen meestal eerst een informatiepagina.
  5. App-installatie: als een QR-code je naar een APK-bestand of buiten de officiële app store leidt, stop direct.

QR-code oplichting bescherming: 10 concrete stappen

Hieronder vind je de meest effectieve maatregelen om quishing te voorkomen, geschikt voor zowel particulieren als kleine ondernemers.

1. Gebruik de standaard camera-app, niet een externe scanner

De camera-apps van iPhone en moderne Android-toestellen tonen de volledige URL als preview voordat je doorklikt. Veel gratis QR-scanner-apps slaan deze stap over of bevatten zelf advertenties die naar verdachte sites leiden.

2. Controleer altijd de URL voor je klikt

Lees de volledige link, niet alleen het begin. Let op subtiele verschillen: ing-betalen.nl is niet hetzelfde als ing.nl.

3. Open betaalapps handmatig

Moet je parkeerkosten betalen? Open Parkmobile of EasyPark direct via je app-pictogram en voer het zonenummer handmatig in. Zo omzeil je elke mogelijke nep-QR-code.

4. Wantrouw QR-codes op fysieke post

De Belastingdienst, CJIB, gemeenten en banken communiceren betalingen vrijwel nooit via QR-codes in brieven. Bij twijfel: bel de organisatie via een telefoonnummer van hun officiële website (niet uit de brief).

5. Gebruik sterke, unieke wachtwoorden

Mocht je toch op een phishing-site inloggen, dan voorkomt een uniek wachtwoord per dienst dat criminelen toegang krijgen tot je andere accounts. Lees onze ultieme gids voor wachtwoordbeveiliging in 2026 voor concrete tips en aanbevolen wachtwoordmanagers.

6. Zet tweefactorauthenticatie (2FA) aan

Zelfs als je wachtwoord wordt gestolen, biedt 2FA via een authenticator-app (niet sms) een extra muur. Voor banken, e-mail en sociale media is dit anno 2026 standaard.

7. Stel een dagelijkse betaallimiet in

Via je bank-app kun je een lagere dagelijkse limiet instellen voor iDEAL en kaartbetalingen. Bij fraude beperk je zo de schade.

8. Gebruik een betrouwbare link-controleur

Diensten zoals VirusTotal of de check-tool van de Fraudehelpdesk laten je een verdachte URL controleren voordat je hem opent. Een betrouwbare URL-shortener met malware-scanning, zoals Lunyb, toont bij gegenereerde links een preview-pagina zodat ontvangers altijd zien waar ze naartoe gaan voordat ze doorklikken — handig als je zelf veilig links wilt delen.

9. Houd je telefoon up-to-date

Beveiligingsupdates van iOS en Android dichten kwetsbaarheden die via kwaadaardige QR-pagina's misbruikt kunnen worden. Stel automatische updates in.

10. Bescherm je netwerkverbinding

Gebruik op openbare wifi-netwerken versleutelde DNS (zoals Cloudflare 1.1.1.1 of Quad9) om phishing-domeinen op netwerkniveau te blokkeren. Veel moderne browsers ondersteunen DNS-over-HTTPS standaard.

Vergelijking: veilige vs. onveilige scanmethoden

Methode URL-preview Reclame/Trackers Veiligheidsniveau
iPhone camera (standaard) Ja Geen Hoog
Android camera (Google Lens) Ja Geen Hoog
Gratis QR-scanner app (advertenties) Soms Veel Laag
Browser-extensie QR-reader Ja Variabel Gemiddeld
Direct app openen (geen scan) n.v.t. Geen Zeer hoog

Wat doe je als je toch slachtoffer bent geworden?

Snel handelen is cruciaal. Volg dit stappenplan:

  1. Bel direct je bank via het noodnummer (achterop je bankpas). Laat je kaart blokkeren en eventuele transacties terugdraaien. Voor de meeste Nederlandse banken: bel 0800-0313 (algemeen fraude-nummer).
  2. Verander wachtwoorden van de getroffen dienst en alle accounts die hetzelfde wachtwoord gebruiken (vandaar punt 5 hierboven!).
  3. Activeer 2FA op alle belangrijke accounts als dat nog niet gebeurd is.
  4. Doe aangifte bij de politie via politie.nl of het lokale bureau. Aangifte is nodig voor verzekering en eventuele terugvordering.
  5. Meld bij de Fraudehelpdesk (fraudehelpdesk.nl) zodat anderen gewaarschuwd kunnen worden.
  6. Controleer je telefoon op malware als je een app hebt geïnstalleerd. Bij Android: scan via Play Protect. Bij twijfel: fabrieksreset.
  7. Monitor je rekeningen de komende maanden op onbekende transacties.

Je rechten onder de AVG

Als je gegevens zijn buitgemaakt via een quishing-aanval op een bedrijf, heb je rechten onder de Algemene Verordening Gegevensbescherming. Het bedrijf moet datalekken melden bij de Autoriteit Persoonsgegevens (AP) en bij jou. Lees meer over je rechten in onze complete AVG-gids, en als je sporen van eerdere fraude wilt laten verwijderen, kan je via het recht op vergetelheid verzoeken indienen.

QR-code oplichting voorkomen voor ondernemers

Als horecaondernemer, parkeerexploitant of webshop kun je je klanten beter beschermen:

  • Tamper-evident stickers: gebruik stickers die zichtbaar beschadigen als iemand ze probeert te verwijderen.
  • Print QR-codes direct op materiaal in plaats van losse stickers.
  • Check dagelijks of er geen extra QR-stickers zijn aangebracht.
  • Communiceer naar klanten via welk domein je werkt ("Onze betaalpagina is altijd op betaal.jouwbedrijf.nl").
  • Gebruik een gecontroleerde shortener met malware-detectie en preview-pagina's voor alle marketing-QR-codes.

De toekomst van QR-code oplichting

Cybercriminelen blijven innoveren. In 2026 zien we al de eerste gevallen van:

  • AI-gegenereerde lookalike-betaalsites die in seconden gemaakt worden.
  • Dynamische QR-codes die afhankelijk van locatie of tijd andere bestemmingen tonen.
  • QR-codes in advertenties op sociale media (vooral op TikTok en Instagram).
  • Gecombineerde aanvallen met spam-oproepen ter "bevestiging" van een betaling.

Het goede nieuws: smartphones worden steeds beter in het waarschuwen voor verdachte URL's, banken implementeren striktere fraudedetectie en bewustwording groeit. Wie de basisregels volgt, loopt minimaal risico.

Veelgestelde vragen (FAQ)

Is het veilig om een QR-code te scannen zonder erop te klikken?

Ja. Alleen het scannen toont je een preview van de URL of inhoud, zonder dat er iets wordt geopend of gedownload. Pas wanneer je op de getoonde link tikt, wordt de website geladen. Dit maakt de preview-stap je belangrijkste verdediging.

Kan ik virussen krijgen door alleen een QR-code te scannen?

In bijna alle gevallen niet. Een QR-code is slechts gecodeerde tekst (meestal een URL). Een infectie ontstaat pas als je de link opent en vervolgens een kwaadaardig bestand downloadt en installeert, of inloggegevens invoert op een nepsite. Houd je telefoon up-to-date en installeer geen apps buiten de officiële stores.

Hoe weet ik of een QR-code op een parkeerautomaat echt is?

Controleer of de sticker stevig op het apparaat zit en niet over een andere sticker is geplakt. Bij twijfel: open de officiële app (Parkmobile, EasyPark, Yellowbrick) handmatig en voer het zonenummer in dat op de automaat staat. Dat is altijd de veiligste optie.

Wat doe ik als ik mijn bankgegevens heb ingevuld op een nep-QR-pagina?

Bel direct je bank (achterop je pas staat het noodnummer) om je kaart te blokkeren en transacties te stoppen. Verander je internetbankieren-wachtwoord, schakel 2FA in, doe aangifte bij de politie en meld het bij de Fraudehelpdesk. Hoe sneller je handelt, hoe groter de kans dat verloren geld wordt teruggehaald.

Zijn dynamische QR-codes gevaarlijker dan statische?

Dynamische QR-codes verwijzen naar een tussen-URL die de eigenaar later kan aanpassen. Dat is handig voor legitiem gebruik, maar criminelen kunnen ook een aanvankelijk onschuldige bestemming later vervangen door een phishing-pagina. Gebruik daarom altijd een betrouwbare scanner met URL-preview en wantrouw QR-codes uit onbekende bron, ongeacht het type.

Conclusie

QR-code oplichting bescherming draait om één gouden regel: scan niet automatisch, denk eerst na. Controleer de URL, wantrouw QR-codes in onverwachte contexten en open betaalapps liever direct. Combineer dit met sterke wachtwoorden, 2FA en actuele software, dan ben je beter beschermd dan 95% van de bevolking. Wil je nog een stap verder gaan in je digitale privacy? Bekijk dan ook hoe je gevoelige foto's veilig bewaart in een versleutelde kluis.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Wachtwoordbeveiliging: De Ultieme Gids voor 2026

Complete wachtwoordbeveiliging gids voor 2026: leer hoe je sterke wachtwoorden maakt, password managers en 2FA inzet, en hoe passkeys de toekomst van inloggen vormen. Inclusief checklist en vergelijking van populaire tools.

8 min

Phishing Herkennen en Voorkomen: Complete Gids voor 2026

Phishing wordt steeds geavanceerder en kostte Nederlanders vorig jaar meer dan 80 miljoen euro. In deze complete gids leer je hoe je phishingberichten herkent, welke maatregelen je neemt om jezelf te beschermen, en wat te doen als je toch slachtoffer wordt.

8 min

Openbaar WiFi: Is het Veilig om te Gebruiken in 2026? (Complete Gids)

Openbaar WiFi is handig, maar is het ook veilig? In deze complete gids ontdek je de echte risico's van publieke netwerken, hoe aanvallers te werk gaan en welke praktische maatregelen je kunt nemen om jezelf in 2026 te beschermen.

9 min

Wat Google Over Jou Weet: De Complete Gids om Je Data Terug te Pakken (2026)

Google verzamelt enorme hoeveelheden data over jou via Search, Chrome, Android, Maps en meer. Ontdek precies wat er wordt opgeslagen, hoe je het kunt inzien en welke concrete stappen je kunt zetten om je privacy terug te nemen in 2026.

8 min