Politie waarschuwt voor oplichting met gevaarlijke QR-codes

De politie waarschuwt voor oplichting via kaartjes met daarop gevaarlijke QR-codes. Scan je zo'n QR-code? Dan beland je op een website van oplichters. Op de kaartjes waar de politie voor waarschuwt, wordt via de QR-code verwezen naar een website die allerlei producten aanbiedt voor een zacht prijsje. De kaartjes worden ongevraagd door de brievenbus gegooid, aldus de politie.

Voor deze oplichtingstruc waarschuwt de Amsterdamse politie, meer specifiek basisteam Zuid-De Pijp. De politie raadt aan om nóóit zomaar een QR-code te scannen aangezien de mogelijkheid bestaat dat je op onveilige websites of zelfs op websites van oplichters belandt.

Dit bericht gaat verder na onderstaande Instagram-post.

Het vervelende aan dit soort oplichting is dat zulke trucs niet grens- of regiogebonden zijn. De kans is dan ook best aanwezig dat vergelijkbare kaartjes binnenkort ook in andere gemeentes opduiken. En een gewaarschuwd mens telt voor twee, daarom delen wij de waarschuwing ter preventie.

Wat er in dit specifieke geval gebeurt als je de QR-code scant en vervolgens iets doet op de website waar de QR-code je naar verwijst, is overigens niet geheel duidelijk. Volgens de Fraudehelpdesk zijn er nog geen concrete meldingen gedaan door gedupeerden.

Op basis van kennis en meldingen over eerdere oplichtingstrucs, is sprake van twee kansrijke scenario's. Deze lichten we hieronder kort toe, al blijft het speculeren wat er precies aan de hand kan zijn.

In dit scenario leidt de QR-code naar een valse website waarop naar inloggegevens wordt gehengeld, meestal van internetbankieren. Kortom, phishing.

Wie op zo'n nepsite gegevens invult, logt in werkelijkheid nergens in, maar stuurt inloggegevens naar oplichters die ze aan de achterzijde van de valse website afvangen.

Dit scenario is óók mogelijk met een tussenstap. Je voert ergens wat persoonsgegevens in en niet veel later neemt iemand telefonisch contact met je op. Omdat diegene persoonsgegevens weet te noemen die je in een eerder stadium hebt verstrekt, komt het één en ander in eerste instantie wellicht geloofwaardig over.

Maar aan de telefoon probeert de beller je vervolgens te manipuleren om iets te doen wat tot grote financiële schade kan leiden, zoals grote sommen geld overmaken of inloggegevens afstaan. Doe dit nooit: legitieme bedrijven of instanties vragen nooit naar inloggegevens.

Een alternatief scenario is dat de QR-code naar een nepwebshop verwijst. Het één en ander ziet er in eerste oogopslag professioneel en gelikt uit, maar dat is schone schijn. Wie een bestelling plaatst, kan vrijwel zeker fluiten naar zijn geld.

Dit soort webshops staan vaak kort online en hebben als doel om in korte tijd zo veel mogelijk bestellingen binnen te hengelen. Betalingen geschieden vaak door middel van een overboeking, niet zelden naar buitenlandse rekeningnummers.

Dat is niet zonder reden, want deze betaalmethode biedt kopers weinig mogelijkheden om hun geld terug te claimen in het geval van een geschil. Tegen de tijd dat je door hebt dat je bent opgelicht, is het geld al weggesluisd en heb jij het nakijken.

Dit verschijnsel van de verdachte kaartjes in de brievenbus staat helaas niet op zich: fraude met QR-codes is al enige tijd in opmars.

Zo was er afgelopen maart bijvoorbeeld nog sprake van QR-fraude in een andere verschijningsvorm. Mensen kregen toen een brief thuis in de huisstijl van DigiD waarin ze werden verzocht om "de toegang tot hun DigiD opnieuw te activeren". Allemaal complete flauwekul, maar het één en ander zag er wél geloofwaardig uit. Dat werd nog eens versterkt doordat het een echte, fysieke brief was en geen valse mail met daarin een link naar de betreffende frauduleuze website.

De QR-code op de brief leidde naar een valse DigiD-pagina waarop bezoekers het verzoek kregen om hun DigiD te activeren. Dat kon zogenaamd door even in te loggen op internetbankieren: de inlogomgeving van verschillende grote banken was nagemaakt om geen argwaan te wekken. In werkelijkheid stonden mensen die dachten in te loggen hun inloggegevens af aan criminelen.

Zie de recente waarschuwing van wijkagent Chris Beniest op Facebook.

In principe is een QR-code niks meer en niks minder dan een scanbare link. De QR-code kan dus net zo goed verwijzen naar websites die wél legitiem en betrouwbaar zijn, en een QR-code is dus ook niet per definitie verdacht of malafide.

Door enkel en alleen het scannen van een QR-code kan jouw bankrekening niet meteen worden leeggetrokken. Het gaat er namelijk om welke gegevens je achterlaat als een QR-code naar een valse website leidt met invoervelden voor persoonlijke gegevens en/of inloggegevens.

Op de meeste telefoons wordt een preview gegenereerd waaraan je kunt zien naar welke website een QR-code verwijst. In andere gevallen kun je dat ook zien in de adresbalk zodra je de website eenmaal geopend hebt.

Toch is het raadzaam om niet zomaar QR-codes te scannen als je niet 100% zeker weet dat de afzender betrouwbaar is: zeker voor wie digitaal minder vaardig is, is dit de meest veilige optie.

Bron: RTL Nieuws, Politie Amsterdam Zuid-De Pijp, wijkagent Chris Beniest (Politie-eenheid Midden-Nederland)