EUQR
← Alle berichten

10 Jul 2026

Quishing: hoe beschermt u klanten tegen QR-code phishing?

QR-codes zijn in een paar jaar tijd veranderd van een nieuwigheid in een dagelijkse gewoonte. Klanten scannen ze op restauranttafels, parkeermeters, productverpakkingen, facturen en posters, zonder er verder bij stil te staan. Precies dat vertrouwen wordt misbruikt door een techniek die inmiddels breed bekendstaat als quishing: QR-code phishing.

In tegenstelling tot een verdachte link in een e-mail geeft een QR-code geen enkele visuele aanwijzing over de bestemming totdat de camera van de telefoon de code heeft ontcijferd, en dan staat de browser mogelijk al open. Voor bedrijven die QR-codes gebruiken voor menukaarten, betalingen, tickets of marketing, is inzicht in quishing geen keuze meer. Het raakt direct aan het vertrouwen van klanten en de veiligheid van uw merk.

Hoe quishing er in de praktijk uitziet

Quishing-aanvallen volgen doorgaans een aantal terugkerende patronen:

  • Overplakte stickers. Een frauduleuze QR-sticker wordt direct over een echte code geplakt, op een parkeermeter, een menukaart, een poster of een pakketkluis.
  • Nep-betalingsherinneringen of nep-nalevingsberichten. Gedrukte brieven of flyers doen zich voor als belastingdienst, pakketbezorger of energieleverancier en vragen de ontvanger een code te scannen om een betaling of boete te "bevestigen".
  • Kwaadaardige posters en flyers in openbare ruimtes. Deze verwijzen vaak naar gratis wifi, prijsvragen of evenementregistraties om een impulsieve scan uit te lokken.
  • Quishing via e-mail en pdf. Een QR-code in een document of e-mail omzeilt veel spamfilters en linkscanners omdat het om een afbeelding gaat en niet om aanklikbare tekst, terwijl deze na het scannen alsnog doorverwijst naar een pagina die inloggegevens buit maakt.

Het uiteindelijke doel is meestal een van twee zaken: het buitmaken van inloggegevens of betaalgegevens via een nepwebsite, of het installeren van kwaadaardige configuratieprofielen en apps op een mobiel apparaat.

Waarom QR-codes een aantrekkelijk aanvalsoppervlak vormen

Vergeleken met traditionele phishinglinks maken verschillende factoren QR-codes aantrekkelijk voor aanvallers.

  • Geen zichtbare URL vóór het scannen. Gebruikers kunnen niet, zoals bij een hyperlink, met de muis over een QR-code bewegen om de bestemming vooraf te bekijken.
  • Fysieke plaatsing omzeilt digitale filters. Een sticker op een fysiek object wordt niet gescand door een e-mailbeveiligingspoort of de phishing-blocklist van een browser.
  • Gewoontegedrag en laagdrempelig vertrouwen. Het scannen van een QR-code is een automatische handeling geworden, vergelijkbaar met het aantikken van een melding, zonder bewuste risico-inschatting.
  • De mobiele context vermindert oplettendheid. Kleine schermen maken het lastiger om volledige URL's te lezen, spelfouten in domeinnamen op te merken, of HTTPS en certificaatgegevens te controleren.

Onderzoek naar consumentenvertrouwen laat consistent zien dat mensen de betrouwbaarheid van een QR-code beoordelen op basis van de fysieke context: een code op een officieel ogende menukaart of overheidsbericht wordt zonder meer als veilig beschouwd, in plaats van dat de onderliggende link wordt gecontroleerd. Precies deze aanname wordt door quishing uitgebuit.

Hoe klanten en medewerkers een nep-QR-code herkennen

Praktische, aan te leren gewoontes verminderen het risico aanzienlijk, ook zonder technische hulpmiddelen:

  • Bekijk de code fysiek. Een sticker die over een andere code is geplakt, oneffen randen, een afwijkende printkwaliteit of glans, of een code die net iets scheef zit, zijn allemaal waarschuwingssignalen.
  • Controleer de voorbeeld-URL voordat u deze opent. De meeste moderne telefooncamera's tonen de bestemmingslink voordat deze wordt geopend. Moedig klanten aan om het volledige domein te lezen, niet alleen de eerste paar tekens.
  • Wees op uw hoede bij urgentie en onverwachte codes. Boetes, "onbetaald parkeren", "bevestig uw pakket" en tijdelijke aanbiedingen zijn veelgebruikte druktactieken om zorgvuldig lezen te ondermijnen.
  • Vul niet meteen na het scannen inloggegevens of betaalgegevens in. Als een QR-code naar een inlogpagina leidt, is het veiliger om rechtstreeks naar de officiële website te navigeren dan een wachtwoord in te typen op de gelinkte pagina.
  • Let op een herkenbaar, merkgebonden domein. Een QR-code die naar een domein leidt dat overeenkomt met het bedrijf, in plaats van een generieke of onbekende verkorte link, is veel makkelijker in één oogopslag te vertrouwen en te controleren.

Dit laatste punt is precies waar bedrijven daadwerkelijk grip hebben op het resultaat, en het vormt de directe opstap naar een van de meest effectieve structurele verdedigingen tegen quishing.

Merkgebonden verkorte domeinen: een structurele verdediging, geen ontwerpkeuze

Veel QR-codegenerators leiden elke code via hetzelfde generieke verkorte domein, gedeeld door miljoenen niet-gerelateerde codes van niet-gerelateerde accounts. Dit levert twee problemen op. Ten eerste kunnen klanten uw echte code niet onderscheiden van die van een ander bedrijf, of van een kwaadaardige code, omdat het domein zelf geen merkherkenning biedt. Ten tweede worden generieke verkorters vaak misbruikt, waardoor sommige ervan na verloop van tijd worden gemarkeerd of geblokkeerd door browsers en beveiligingstools, wat soms ook volledig legitieme codes treft die onder hetzelfde domein vallen.

Een merkgebonden verkort domein, bijvoorbeeld go.uwbedrijf.eu in plaats van een generiek gedeeld verkortingsdomein, geeft klanten iets concreets om te controleren. Het bevestigt dat de code is uitgegeven door het bedrijf dat zij al vertrouwen, en het maakt vervalsing lastiger omdat aanvallers uw specifieke domein zouden moeten nabootsen in plaats van mee te liften op een generiek domein dat toch al onbekend aanvoelt.

In combinatie met de zichtbare linkvoorbeelden op moderne telefoons verandert een merkgebonden domein een "blinde scan" in iets dat dichter komt bij het lezen van een normaal, controleerbaar webadres. Die ene verandering dicht een groot deel van de vertrouwenskloof waar quishing op leunt.

Hoe EUQR het risico op quishing structureel verlaagt

EUQR is gebouwd vanuit de gedachte dat QR-codes tegenwoordig kritieke infrastructuur zijn voor klantinteracties, geen wegwerp-marketingtruc, en dat ze met dezelfde zorgvuldigheid behandeld moeten worden als elk ander publiek digitaal onderdeel. Een aantal ontwerpkeuzes draagt direct bij aan weerstand tegen quishing:

  • In de EU gehoste infrastructuur. Data en doorverwijzingslogica blijven binnen de EU, wat zowel belangrijk is voor naleving van de AVG als voor duidelijke, voorspelbare controle door bedrijven over waar scandata van klanten wordt verwerkt.
  • Privacy-first gegevensverwerking. EUQR vermijdt onnodige tracking en het delen van gegevens met derden, waardoor er minder klantinformatie beschikbaar is voor aanvallers, zelfs als een code of account ooit gecompromitteerd zou raken.
  • Ondersteuning voor merkgebonden, controleerbare verkorte domeinen. Bedrijven kunnen hun eigen domein gebruiken voor QR-doorverwijzingen in plaats van een generiek gedeeld verkortingsdomein, waardoor klanten een herkenbare, controleerbare bestemming zien.
  • Dynamisch codebeheer. Omdat de bestemming achter een code centraal kan worden bijgewerkt en gemonitord, kunnen bedrijven snel reageren als een code ooit als geknoeid of misbruikt wordt gemeld, zonder elk fysiek exemplaar opnieuw te hoeven drukken.
  • Duidelijke eigendomsregistratie en controlespoor. Codes zijn gekoppeld aan een geverifieerd account, waardoor eenvoudig kan worden aangetoond welke codes daadwerkelijk door het bedrijf zijn uitgegeven bij een geschil of fraudemelding.

Niets van dit alles vervangt basale waakzaamheid van klanten, maar het elimineert wel een aantal structurele zwaktes waarop quishing-aanvallen leunen: anonieme gedeelde domeinen, ondoorzichtige gegevensverwerking en het ontbreken van een duidelijke manier om te controleren wie een bepaalde code daadwerkelijk heeft uitgegeven.

Conclusie

Quishing werkt omdat QR-codes hun vertrouwen ontlenen aan de fysieke context in plaats van dit te verdienen via een controleerbare digitale link. Bedrijven die hun klanten willen beschermen, moeten beide kanten van die kloof aanpakken: klanten en medewerkers trainen om voorbeeldlinks te controleren en urgentie in twijfel te trekken, en kiezen voor QR-infrastructuur die merkgebonden domeinen, EU-hosting en privacybewuste gegevensverwerking biedt. Door QR-codes te behandelen als een serieus onderdeel van uw digitale voetafdruk, in plaats van als bijzaak, behoudt u het gemak zonder het risico te erven.

Veelgestelde vragen

Wat is quishing?
Quishing is QR-code phishing: aanvallers plaatsen of verspreiden kwaadaardige QR-codes, vaak als stickers over echte codes heen of in nep-officiële berichten, die slachtoffers doorverwijzen naar sites die inloggegevens buitmaken of malware verspreiden, in plaats van naar de beoogde bestemming.
Hoe kan ik zien of met een QR-code is geknoeid?
Controleer op een sticker die over een andere code is geplakt, een afwijkende printkwaliteit, of een code die vreemd geplaatst is op een bord of menukaart. Controleer ook de linkvoorbeeld die uw telefoon toont voordat de pagina wordt geopend, en wees achterdochtig bij dringende verzoeken zoals onbetaalde boetes of pakketbevestigingen.
Waarom helpen merkgebonden verkorte domeinen om quishing te voorkomen?
Een merkgebonden domein, zoals go.uwbedrijf.eu, laat klanten direct een legitieme bedrijfslink herkennen, in tegenstelling tot generieke gedeelde verkortingsdiensten die geen merkherkenning bieden en vaker door aanvallers worden misbruikt.
Verlaagt EU-hosting daadwerkelijk het risico op quishing?
EU-hosting stopt op zichzelf geen fysieke stickeraanval, maar zorgt wel voor voorspelbare gegevensverwerking onder de AVG en verlaagt de hoeveelheid klantgegevens die blootgesteld worden als een onderdeel van het systeem ooit doelwit zou zijn, wat de impact van een incident beperkt.
Moeten bedrijven stoppen met QR-codes vanwege quishing?
Nee. De praktische aanpak is het gebruik van QR-infrastructuur met merkgebonden domeinen, duidelijke eigendomsregistratie en privacy-first gegevensverwerking, en het trainen van klanten en medewerkers om linkvoorbeelden te controleren in plaats van blind te scannen.