Voor een optimale werking van deze pagina plaatsen wij
functionele cookies. De bezoekersinformatie die we daarmee binnen krijgen zijn volledig anoniem.
Overige cookies worden pas geplaatst na jouw goedkeuring.
Functionele cookies
De websites van de Nederlandse Publieke Omroep gebruiken cookies om er voor te zorgen dat onze
websites naar behoren werken. Om te bepalen welke onderdelen van de website het meest
interessant zijn voor onze bezoekers, proberen wij continu te meten hoeveel bezoekers er op onze
website komen en welke onderdelen van de website het meest bekeken worden. Hiervoor gebruiken
wij cookies. De statistieken en overige rapportages kunnen wij niet herleiden tot personen.
Overige cookies
In deze categorie staan cookies, die niet in een van de andere categorieën van cookies te
plaatsen zijn. Het gaat hierbij om cookies die op een deel van onze sites worden gebruikt om het
sitebezoek te vergemakkelijken en de gebruikservaring te verbeteren. De artikelen en video’s die
je op onze websites bekijkt, kun je delen via social media. Bij het delen van video's wordt
gebruik gemaakt van social media cookies van de social media partijen, zodat deze je herkennen
op het moment dat je een artikel of video wilt delen. Daarnaast maken we veelvuldig gebruik van
op de pagina ingesloten (ge-embedde) content van andere social media partijen als YouTube,
Facebook, Twitter en Instagram. Bij het tonen van deze ingesloten content worden ook social
media cookies geplaatst in de browser.
Oplichtingstruc met QR-code in valse mail van 'MijnOverheid'
Alert
clockOval 6
Er gaan valse mails rond namens 'MijnOverheid' en in het verlengde daarvan ook 'DigiD'. Dat hebben we wel vaker gezien, maar in deze mail passen de oplichters een oplichtingstruc toe in de vorm van een QR-code. In valse mails is dat een relatief nieuwe vorm van oplichting: het idee is dat consumenten wél beducht zijn voor verdachte linkjes, maar nog niet direct op hun hoede zijn indien er een QR-code in de mail staat.
In deze valse mail – volledig in de huisstijl van MijnOverheid gegoten – staat dat er een bericht voor je klaarstaat met betrekking tot een belastingteruggave onder het (verzonnen) kenmerk WZ02123C. Het verzoek is dan ook of je dit bericht tijdig even kunt lezen, want je moet vermoedelijk actie ondernemen.
En juist dat is in deze nepmail in een iets ander vorm gegoten, en wel in de vorm van een QR-code:
Open gemakkelijk uw beveiligde berichten door middel van het scannen van de QR-code aan de rechterzijde van de pagina met de camera van uw smartphone.
Tekst in valse mail namens 'MijnOverheid'
Waarom moet je niet zomaar een QR-code scannen?
We zeiden het al, maar de achterliggende gedachte is dat ontvangers minder argwanend zijn bij het zien van een QR-code dan bij het zien van een valse link. Toch kun je niet blind op een QR-code vertrouwen: vermoedelijk denken velen dat dat technisch allemaal heel ingewikkeld is en dat alleen officiële instanties een QR-code kunnen maken, maar dat is niet het geval.
Op internet vind je zonder al te veel moeite talloze gratis tools om in een handomdraai een QR-code te kunnen genereren, dus ook voor oplichters is dat een koud kunstje. Consumenten zijn echter nog niet zo van het gevaar doordrongen, en sinds enige tijd duiken er dan ook steeds vaker valse mails op met daarin QR-codes in plaats van verdachte linkjes, iets waar Opgelicht?! eerder al uitgebreid voor heeft gewaarschuwd.
Overigens kun je het op een iPhone (iOS) al in de preview zien als je via de camerafunctie van je toestel een QR-code scant. Datzelfde geldt voor de 'eigen' QR-scanner op de meeste Android-toestellen, al is het in dat geval iets lastiger om er in één regel iets over te zeggen: het hangt er namelijk maar net vanaf wat de fabrikant van jouw toestel heeft bedacht. Op AndroidPlanet lees je meer over het scannen van QR-codes op Android-toestellen.
Ook als je QR-scanners van derden installeert en gebruikt, kan het zijn dat je de preview niet standaard op je scherm ziet, en in dat geval is het risico net ietsje groter. Dit gebeurt er op een iPhone, in ieder geval:
Je ziet een waarschuwing op je scherm die aanduidt dat je op het punt staat om een website te bezoeken op het domein s.id, in dit geval een door oplichters veelgebruikte 'url shortener' waar in werkelijkheid een heel andere link achter zit. Maar dat het niet van MijnOverheid is, staat op deze manier wel vast.
Wat zit hier precies achter?
In dit geval weten we het niet zeker: de link in dit voorbeeld is al uit de lucht. We hebben echter vaker met dit spreekwoordelijke bijltje gehakt, dus durven we ons zonder al te veel moeite aan een voorspelling te wagen.
Het zal vermoedelijk gaan om een nepsite in de huisstijl van 'DigiD' met daarop nagemaakte inlogomgevingen van verschillende banken. Jij denkt in te loggen bij jouw bank om de belastingteruggave te regelen, maar in werkelijkheid gaan oplichters met je geld aan de haal.
Doe dit dus niet: dit is namelijk toch al niet de officiële werkwijze van MijnOverheid, DigiD of de Belastingdienst.