Nieuwe truc cybercriminelen: phishing met gevaarlijke QR-codes in mails en brieven

Cybercriminelen hebben een nieuwe truc gevonden om bankrekeningen te plunderen. Met malafide QR-codes proberen ze u naar phishingwebsites te lokken om uw bankgegevens buit te maken. Deze fraude stijgt en is succesvol omdat we QR-codes veel meer vertrouwen dan die vreemde linkjes in e-mails.

 

Dat blijkt uit onderzoek van RTL Nieuws, dat in criminele chatgroepen de activiteiten van cybercriminelen monitort. In de coronacrisis zien ze QR-codes op steeds meer plekken opduiken, zoals het terras of in testbewijzen. Daardoor raken we hier steeds meer gewend aan QR-codes en daar spelen criminelen handig op in.

Het gevaar van deze QR-codes is tweeledig. Allereerst weten we steeds beter dat we niet zomaar op vreemde linkjes moeten klikken, maar dat besef is er nog niet bij het scannen van QR-codes. Ten tweede scant u de code met uw smartphone, maar door dat kleine scherm is een phishingwebsite lastiger te herkennen dan op een groter computerscherm.

Fraude neemt toe

De Fraudehelpdesk bevestigt dat QR-code-phishing de laatste tijd toeneemt. “Het gebruik van een QR-code als phishinglink zien wij pas sinds half april van dit jaar en is dus voor ons vrij nieuw”, stelt directeur Marloes Kolthof. “Het gevaar zit hem er wat ons betreft in dat u niet vooraf kunt zien welke informatie er in zo’n QR-code staat.”

De malafide QR-codes staan in e-mails en brieven die afkomstig lijken van uw bank. In veel gevallen ontvangt u een nepmail van de bank waar u daadwerkelijk bij zit, en soms wordt zelfs naast de juiste naam ook de correcte IBAN in het bericht genoemd.

Dat gebeurt omdat cybercriminelen door alle datalekken toegang hebben tot heel veel persoonsgegevens, waaronder IBAN-nummers. Bij de populaire webshop Allekabels.nl werden vorig jaar ruim 100.000 IBAN’s gestolen en tussen criminelen verhandeld.

De QR-codes zijn vaak in phishingmails te vinden.

© Fraudehelpdesk
 

In de nepberichten staat dat klanten van de bank een nieuwe bankpas moeten aanvragen of een nieuwe bank-app moeten verifiëren. De QR-code leidt vervolgens naar een phishingwebsite waar uw bankgegevens worden buitgemaakt. Daarmee kunnen cybercriminelen toegang krijgen tot u bankrekening, waarna ze het geld proberen over te boeken naar bankrekeningen van geldezels. 

Geldezels zijn mensen, veelal jongeren, die hun bankrekening beschikbaar stellen aan criminelen. In veel gevallen pinnen deze geldezels het buitgemaakte bedrag en mogen ze er zelf een klein deel van houden, de rest gaat naar de phishingcrimineel. Geldezels zijn strafbaar en kunnen voor hun acties een celstraf krijgen.