De laatste tijd signaleert Opgelicht?! een opvallende stijging van het aantal meldingen over fraude met QR-codes. Door jou zo’n code te laten scannen, hopen criminelen zich op slinkse wijze toegang te verschaffen tot jouw bankrekening met als doel deze te plunderen. Voordat je het goed en wel doorhebt, is je geld weg en de kans om iets terug te krijgen is vaak zeer gering. Omdat dit een relatief nieuwe vorm van fraude betreft en de gevolgen erg ingrijpend kunnen zijn, zetten we graag even op een rij waar je op moet letten.
Wat is een QR-code?
De term QR-code staat voor Quick Response-code. Dit is een soort streepjescode die je met je smartphone kunt scannen. Hoewel de techniek achter de QR-code al ruim vijfentwintig jaar bestaat, raakt de code pas sinds een aantal jaar steeds meer ingeburgerd in het dagelijks gebruik. De meeste hedendaagse smartphones hebben bijvoorbeeld al standaard een geïntegreerde QR-codescanner, maar anders zijn er tal van gratis apps beschikbaar.
Waar wordt een QR-code voor gebruikt?
De meest voor de hand liggende toepassing van een QR-code is om te verwijzen naar een website. Je scant de code en de aan de code gekoppelde hyperlink wordt direct geopend. Dat is handig: het scheelt je zoek- en typewerk en je belandt direct op de gewenste webpagina. De codes kunnen daarnaast ook worden gebruikt om te verwijzen naar een bepaalde locatie op Google Maps, om een notitie met aanvullende informatie op te vragen of om bepaalde contactgegevens te tonen.
Veel toepassingen zijn commercieel of informatief van aard: maak je bijvoorbeeld een flyer over een winactie, dan kun je de ontvanger via een op deze flyer afgedrukte QR-code direct verwijzen naar de algemene voorwaarden. Organiseer je een evenement en wil je potentiële bezoekers in staat stellen om in een handomdraai de Facebook-evenementpagina te openen, dan is hetzelfde principe van toepassing.
Ook kan een QR-code verwijzen naar een bepaalde app in mobiele app stores, naar alle denkbare vormen van sociale media en ook naar betaallinks. Zo heeft iDEAL al een eigen QR-code ingericht die inmiddels door een aantal mobiele apps van grote banken zoals ING, Rabobank en ABN AMRO wordt ondersteund. Een QR-code kan daarnaast ook verwijzen naar een PayPal-betaallink of vergelijkbare links van alternatieve financiële dienstverleners.
Je begrijpt waarschijnlijk al waar we naartoe willen, maar helaas wordt ook hier misbruik van gemaakt. Wat op het eerste gezicht een gebruiksvriendelijk en laagdrempelig hulpmiddel lijkt om in een handomdraai een transactie mee te verrichten, kan door personen met minder bonafide intenties worden aangewend om toegang te krijgen tot jouw bankrekening. Reden genoeg om alle bekende varianten even onder de loep te nemen.
Welke varianten van fraude met QR-codes kennen we?
Mobiel internetbankieren
De Fraudehelpdesk maakte vorige maand melding van dit soort fraude. Het uitgangspunt van deze truc is steevast dat iemand die iets op internet te koop aanbiedt al snel door een geïnteresseerde koper wordt benaderd. Deze koper gaat akkoord met de vraagprijs, maar stelt voor om de betaling vanaf zijn zakelijke rekening te voldoen. Om de betaling mogelijk te maken, moet de verkoper echter wel even zijn rekeningnummer doorgeven.
Bij een rechtstreekse transactie tussen twee partijen is dat vrij gangbaar en zeker niet direct reden tot zorg, al zijn er diensten beschikbaar die zelfs deze stap overbodig maken. Marktplaats kent bijvoorbeeld de dienst Gelijk Oversteken, waarbij het betaalde bedrag op een derdenrekening wordt geparkeerd tot de koper aangeeft het pakket te hebben ontvangen. Doordat Marktplaats als bemiddelende partij optreedt, zullen koper noch verkoper elkaars rekeningnummer nodig hebben om de transactie af te kunnen handelen. Overigens biedt ook een dienst als Gelijk Oversteken evenmin volledige bescherming.
In dit fraudescenario krijgt de verkoper na het doorgeven van zijn rekeningnummer echter een QR-code toegestuurd. Dat is een signaal om op je hoede te zijn. Om de betaling daadwerkelijk te kunnen ontvangen, wordt de koper verzocht deze code ter bevestiging te scannen. Omdat het scannen vanuit de daadwerkelijke mobiele app van de bank gebeurt, lijkt alles in eerste instantie betrouwbaar en legitiem.
Als begunstigde partij hoef je echter nooit een specifieke handeling te verrichten om een betaling te kunnen ontvangen. Degene die via internetbankieren rechtstreeks een bedrag naar je overmaakt, heeft genoeg aan je naam en IBAN. Zelf hoef je daar niks meer voor te doen. Wees dan ook altijd alert als iemand je verzoekt om een binnenkomende betaling te bevestigen: dit kan bijvoorbeeld niet alleen via een QR-code, maar ook via de bekendere één-cent-truc.
In dit scenario bleek de code niet te verwijzen naar een (niet-bestaande) betalingsbevestiging, maar naar een inlogportaal dat de oplichter – in combinatie met het eerder ontfutselde bankrekeningnummer – direct toegang geeft tot je betaal- en spaarrekeningen. De inlogcode waarmee jij denkt een binnengekomen betaling te bevestigen, wordt namelijk direct doorgestuurd.
Het scannen van een QR-code om een betaling te ontvangen is dus klinkklare onzin. Maar biedt de mobiele app van jouw bank de mogelijkheid om een QR-code te scannen om juist een betaling te kunnen verrichten? Een legitieme QR-code zoals die van iDEAL bevat vrij prominent het iDEAL-logo. Daarnaast is gebruik van deze functionaliteit voorbehouden aan webwinkels en organisaties die een iDEAL-contract hebben afgesloten met een bank of betaaldienstverlener. In alle andere gevallen is het opletten geblazen: neem in het geval van twijfel contact op met je bank.
Parkeermeterfraude
De politie meldde medio juli een alternatieve variant van fraude met QR-codes. In dit scenario spreekt iemand je aan in de buurt van een parkeerautomaat met het verhaal dat de pinpas nog thuis ligt. Gelukkig heeft diegene wel wat contant briefgeld op zak, dus als jij de betaling even zou kunnen voorschieten, krijg je als dank meteen wat geld. Ook hier is het verzoek om een QR-code te scannen, zogenaamd om de betaling bij de exploitant te bevestigen.
Deze oplichters maken gebruik van het feit dat een aantal exploitanten van commerciële parkeerplaatsen en -garages al enige tijd de mogelijkheid bieden om – eenmaal ter plaatse – een eerder gereserveerde parkeerplaats af te halen door een QR-code te laten scannen. In die zin lijkt het wellicht niet vergezocht dat de exploitant eenzelfde methodiek gebruikt om klanten te laten betalen. Echter geldt ook voor deze truc dat er sprake is van fraude en je de oplichters je rekeningnummer en betaalcodes doorstuurt, mocht je op het verzoek ingaan. Ook hier geldt als vuistregel dat waakzaamheid geboden is op het moment dat iemand je vraagt om een QR-code te scannen.
Wat kan ik tegen deze vorm van fraude ondernemen?
De belangrijkste stap die je kunt zetten om je tegen deze fraude te verweren is waakzaamheid. Hou te allen tijde in je achterhoofd dat je zelf nooit iets hoeft te bevestigen of ergens in moet loggen om een betaling via internetbankieren in ontvangst te nemen. In het scenario op het parkeerterrein raak je wellicht een beetje overrompeld door de innemendheid van de jongeman die je aanspreekt, maar welbeschouwd is het natuurlijk erg ongebruikelijk als een wildvreemde jou uit het niets vraagt om een QR-code te scannen om een betaling te kunnen verrichten.
Meer tips:
- Kijk heel goed naar de URL/hyperlink als iemand je een betaalverzoek stuurt. Controleer deze goed en vergelijk de link met de echte URL van de betaaldienst.
- Je hoeft je betrouwbaarheid als verkoper niet te bewijzen. Je hoeft geen QR-code te scannen om een ontvangen betaling te bevestigen en je hoeft ook geen cent over te maken om te bevestigen dat het rekeningnummer klopt.
- Verstrek geen andere gegevens aan de verkoper dan noodzakelijk. Ook geen ID-bewijs. Dit heeft een koper helemaal niet nodig om de transactie door te laten gaan.
- Twijfel je ergens aan, of heb je het gevoel dat iets niet in de haak is? Bel je bank en doe navraag naar de situatie.
- Neem in geval van fraude gelijk contact op met je bank, en doe aangifte bij de politie.
Bron: Politie / iDEAL / Marktplaats