Wat is QR-code fraude en hoe voorkom je het?

Kort maar krachtig, ik heb nog nooit gebruikgemaakt van een QR-code. Het is mij allemaal te schimmig. Ik doe hier dus helemaal niets mee. 

@Raspberry,  Je hebt groot gelijk.  Ik doe ook niet mee met al die onzin, met QR-code’s en tikjes en dergelijke.  Ik heb een desktop PC in m’n werkkamer, met  Windows 11, en voor onderweg een Nokia.

Als ze me dringed moeten hebben, dan kunnen ze bellen of SMS’en. Mails lees ik altijd thuis.

Als iemand zei dat hij nog nooit QR-code gebruikt, geloof ik niet snel. 2 usercases dat bijna iedereen heeft

• Inloggen met DigiD op verschillende overheidssites, zorgverzekeraar en pensionfonds. 
• Betalen met iDeal

Verder scan een QR-code uitsluitend met de App voor deze toepassing. Voorbeeld, voor internet bankeren scant men met bank-app, voor parkeer betalen  scant men met met de parkeer app. Als men een QR-code met camera scant, stel zo in dat niet automatisch de links geopend wordt.

Dan geloof je het niet. Ik heb niets aan stoerdoenerij. Ik weet wat ik wel en niet doe met mijn mobiel. En dat is zeker weten geen gebruikmaken van een QR-code. Nog nooit gedaan. En heb er geen enkele behoefte aan. Zelfs op websites van overheidsinstanties, zoals MijnOverheid, MijnBelastindienst, DigiD, bank,  zorgverzekeraar, log ik in met een SMS-controle. Een QR-code is niet zaligmakend. En voor mij persoonlijk te fraudegevoelig. Ik log op dat soort sites in met een SMS-controle, klaar. 

Doe vooral geen moeite om mij te overtuigen. Zonde van je tijd. 😎

Als iemand zegt dat scannen een QR-code met DigiD-app fraudegevoeliger dan SMS hoef ik niet verder te discussiëren, idd zonde van mijn tijd.

Precies. Zonde van je tijd. Laat een ieder lekker voor zichzelf bepalen waar diegene zich het beste en veiligst bijvoelt. 

Precies dit. 😎

Inderdaad de cases die ​@TDN benoemd gebruik ik vaak, zowel ideal (Wero) als DigiD. Maar ook voor mijn werk heeft het toepassingen. Mijn apparaat welke alle metingen doet van de koperkabel geeft de uitslag in een QR. Zodat dit eenvoudig in mijn werkbon te plakken valt. Maar ook het aanmaken van een QR code zodat iedereen snel en eenvoudig kan verbinden met hun nieuwe netwerk is dagelijkse kost. Die dingen kunnen - met de juiste bedoelingen - verekt handig zijn. 

Waar ik wat minder happig op ben is een QR in een restaurant om te bestellen, of informatie op een reclamebord. Dat kan te makkelijk aangepast zijn door een kwaadwillige en daar heb ik geen zin in. Volgens mij staat er tegenwoordig ook een qr op brieven van de belastingdienst of gemeentelijke belastingen. Maar in dat soort gevallen log ik liever even in bij belasting.nl of mijn.rotterdam.nl. dat is in mijn ogen een beter idee.

Ik denk niet dat QR-codes schimmig zijn, want er zijn een aantal goede toepassingen voor te bedenken wat ​@TDN al doet. Maar dit topic is wel weer een reminder voor mij om niet zomaar klakkeloos overal een QR code te scannen. 

Als je de QR code scant met je camera, dan zie je ook vaak de URL in beeld waar je heen geleid wordt. Daarmee kun je ook al beoordelen of je naar een betrouwbare website gaat. 

Ik gebruik geen QR. Via mijn werk gebeurt dit wel, maar dit is een intern systeem met een handscanner en is hier niet van toepassing. DIGI-D gaat via SMS controle, waarbij ik me afvraag hoe lang nog. Wat mij zorgen baart zijn de apps die je overal voor nodig moet hebben, dat bedrijven met een TBB profiel Whatsapp blijven gebruiken, dat soort dingen. 

Per week wordt ik gebeld door de ING, ABN, Bitvavo etc. De spoofers blijven het toch proberen. 

Bij een vorig bedrijf hadden ze ooit 80 USB sticks laten slingeren door het gebouw. Hoewel iedereen wist dat je nooit een “rubber duckie” ahum usb device in je pc moet drukken, werd dit toch 18X gedaan. Het gebouw telde 1200 werknemers. Hoe vaak je ook blijf waarschuwen altijd zijn er mensen die bepaalde handelingen verrichten. 

Een QR-code is gewoon een stuk tekst maar gecodeerd op een manier om machinaal snel en foutloos te kunnen lezen. Dus als men onbedacht op een fishing-link klikt, doet men hetzelfde met Qishing. Nemen we het voorbeeld van inloggen bij KPN via QR-code. Hier scant men met MijnKPN-App om snel op andere apparaat in te loggen. Indien de QR-code afkomstig van een fishing-website, ziet de MijnKPN-App de fouten in URL en zou melden met een foutmelding. Bovendien, de MijnKPN-App zou de login-poging via echte KPN server omleiden, dus nooit naar een fishing-website. Men moet weten wat men doet, en hoe men het doet. Een principiële weigering van QR-code is meestaal veroorzaakt door onwetendheid of vooroordelen.

Ik ben geen weigeraar, zeker niet. ook omdat ik weet wat ik doe. Software die ik gebruik kent gewoon geen QR code 😊

Ik gebruik zelf niet vaak QR-codes, maar ik wist nog niet van deze vorm van fraude, of in elk geval nooit zo bij stilgestaan, dus het was voor mij ook leerzaam. De voorbeelden die hierboven genoemd worden gelden voor mij ook, zoals DigiD en iDeal/Wero. Voor mij een gevalletje, goed om te weten en dus goed om te blijven opletten! 

Ik heb vrienden die in QR code phishing zijn getrapt, daarbij was er inderdaad een QR sticker over de goede QR code geplakt. 😣 Sindsdien ben ik erg voorzichtig. 

Er zitten inderdaad ook veel voordelen aan en dat doet me denken aan een leuke manier van solliciteren die ik een lange tijd geleden tegen kwam: QR Code as Tattoo Artist Screening Tool - Digiday
Een tattoo shop die geïnteresseerden een QR code in liet kleuren. Als je dat goed deed kon je de code scannen en kwam je op de sollicitatiepagina uit voor tattoo artiest. 😄

Ikzelf scan alleen QR codes in restaurants (op de tafels of op tablets om mee te bestellen) of soms om betalingen mee te doen die ik zelf heb aangevraagd. Tot nu toe gaat dat goed. 🙃

Scenario.

Ik weet hoe je heet, ik weet waar je woont en wellicht heb je als aanbieder, kpn, liander, of wie dan ook. Je krijgt van mij een brief in de bus, met een echt functionerende webadres, en geen geplakte QR code. Alleen de QR code is effe anders als de website. Je wordt niet getriggerd door wat je op je awareness training hebt gehad. 

Je scant de QR, je maakt een afspraak met een “monteur” en die komt keurig netjes met gereedschap en bedrijfskleding aanlopen en belt bij je aan. Je doet open, je ziet zijn werkauto niet, want die staat effe bij een andere klant en het was een klein stukje lopen dus...zegt ie. 

Wat doe je?

Een geod voorbeeld. Idealiter vraag ik altijd om een ID-bewijs, dat hoort iedereen bij zich te hebben. Maar ik snap wel dat dit voorbeeld heel professioneel is en overkomt, dan is een ID ook wel te faken. 

Ik gebruik die QR's sowieso niet net als de links in e-mails of sms, maar ga zelf naar de website van het bedrijf. Moet je wel net weten en niet bezwijken onder de druk van zogenaamde urgenties om gelijk actie te ondernemen. 

Je noemt de zijn blinde paniek. Dat is DE truc waar social engineers gebruik van maken. 

In al mijn klantvezoeken en dat zijn er door de jaren heen echt duizenden is er nog maar 1x om mijn ID gevraagd. Dat gebeurt echt nooit.

Kwalijke zaak. 

Wat doe je als je een brief zonder QR code in de bus krijgt met en link tot een website om een afspraak te maken? QR code heeft absoluut niet met veiligheid te maken, maar kan wel fouten voorkomen. Bij overtypen van een website kan een tikfout leiden tot een fishing website. QR code heef ingebouwde errorcorrectie, een tot 30% beschadigde QR code geeft nog steeds goede tekst weer. Bij QR code kan men ook hash code inbouwen, dan wordt de QR code gecontroleerd op echtheid, niemand kan een QR code met (blockchain) hash veranderen.

Voor een paar weken was ik bij mijn gemeente om een passpoort aan te vragen, bij de balie is een QR-code voor toestemming geven van ouders en ik had idd vergeten de toestemming vooraf te geven. Nog tijdens de medewerker zijn spoelen bij elkaar zocht, was ik als klaar met toestemming geven via DigiD met scannen van de QR code. Een oneindig lange URL handmatig te typen zou niet lukken binnen paar minuten.