Quishing is een samentrekking van QR en phishing. Bij deze vorm van oplichting maken criminelen een QR-code die naar een nepwebsite leidt, en plakken ze die als sticker over de echte code op bijvoorbeeld een parkeerautomaat of laadpaal. Scan je de code, dan opent een site die sterk lijkt op die van de parkeer- of laadexploitant. Vul je daar je gegevens in, dan komen die rechtstreeks bij de oplichter terecht. De politie waarschuwde de afgelopen tijd voor valse QR-stickers op parkeerautomaten in meerdere steden, van Amsterdam tot Maastricht. In dit artikel lees je hoe quishing werkt, waaraan je het herkent en hoe je veilig betaalt.
Hoe quishing in zijn werk gaat
Een QR-code is voor het oog niet te lezen, en daar maken oplichters gebruik van. Je ziet aan het zwart-witpatroon niet waar de code je naartoe stuurt. De fraude verloopt vaak zo:
De namaaksite kopieert vaak het logo en de kleuren van een bekende aanbieder, zoals een parkeer-app. Het verschil zit in de details: het webadres klopt niet, of je wordt direct gevraagd om in te loggen bij je bank of een betaling goed te keuren die niets met parkeren of laden te maken heeft.
Een sticker over een sticker is verdacht
Zit er een losse QR-sticker op een automaat, vaak scheef of net over een andere code geplakt, wees dan op je hoede. Echte QR-codes zijn meestal in de behuizing gedrukt of op een vaste plaat aangebracht, niet als losse sticker eroverheen.
Hoe je veilig parkeert en laadt
De veiligste route is om de QR-code op de paal helemaal over te slaan en zelf de officiele weg te kiezen.
Veilig betalen bij parkeren of laden
- Betaal bij voorkeur met pin direct op de automaat, of gebruik de officiele parkeer- of laad-app die je zelf eerder hebt geinstalleerd.
- Scan geen QR-code die als losse sticker is aangebracht. Twijfel je, gebruik die dan niet.
- Open de parkeer-app via je eigen telefoon in plaats van via een gescande code, en vul daar het zonenummer of de locatie handmatig in.
- Controleer bij scannen altijd eerst het volledige webadres voordat je iets invult. Klopt de domeinnaam niet exact, sluit de pagina dan.
- Voer nooit je bankinloggegevens of pincode in op een pagina die je via een QR-code op straat bereikte.
Betaal je met pin of app, dan loop je geen risico
Quishing werkt alleen via de QR-code. Reken je af met pin op de automaat of via een app die je zelf hebt geopend, dan kan een valse sticker je niets maken.
Waaraan herken je een valse QR-code en site
| Onderdeel | Betrouwbaar | Verdacht |
|---|---|---|
| De code | In de behuizing gedrukt of op vaste plaat | Losse sticker, scheef of over iets heen geplakt |
| Het webadres | Exact het domein van de bekende aanbieder | Vreemde of net iets afwijkende domeinnaam |
| De vraag | Parkeertijd of laadsessie kiezen | Direct inloggen bij je bank of een betaling goedkeuren |
| De opmaak | Klopt en is compleet | Kleine fouten, ontbrekende contactgegevens |
Neem in geval van twijfel de tijd. Een echte parkeerautomaat dwingt je niet om binnen seconden je bankgegevens prijs te geven via een sticker.
Loop ik risico als ik alleen de QR-code scan maar niets invul?
Alleen scannen en de pagina meteen sluiten is in de regel niet schadelijk. Het gevaar ontstaat zodra je op de namaaksite gegevens invult of een betaling goedkeurt. Vul dus nooit iets in en sluit de pagina bij twijfel.
Hoe weet ik of een parkeer-app of laad-app echt is?
Installeer apps alleen uit de officiele appwinkel van je telefoon en zoek op de naam van de bekende aanbieder. Open de app daarna zelf en scan geen code op straat om de app te downloaden.
Wat doe ik als ik een valse QR-sticker zie?
Scan die niet en meld de sticker bij de gemeente of de parkeer- of laadexploitant, zodat die de sticker snel kan verwijderen. Zo bescherm je ook anderen.
Ik heb mijn gegevens al ingevuld, wat nu?
Neem direct contact op met je bank om betalingen te laten blokkeren, en doe aangifte bij de politie. Lees ook het artikel over phishing en oplichting melden voor de volledige stappen.