
Quishing: zo herken je valse QR-codes (en zo bescherm je je klanten)
In het kort: quishing is phishing via een QR-code: criminelen lokken je met een valse code naar een nepsite die je inloggegevens of bankgegevens steelt, of die een betaling aan de verkeerde partij afdwingt. De bekendste vorm in Nederland is de sticker over de echte code op parkeerautomaten en laadpalen; ook gemeenten en de politie hebben daar publiekelijk voor gewaarschuwd. De code zelf is daarbij nooit het gevaar, de website erachter wel.
De verdediging is gelukkig simpel: kijk vóór het scannen (is de code gedrukt of opgeplakt, hoort hij hier logisch?), lees de link die je telefoon toont voordat je hem opent, en vul nooit betaal- of inloggegevens in op een pagina waar je via een code in een openbare ruimte terechtkwam; gebruik voor parkeren en laden de officiële app of de automaat zelf. Ben je toch gescand en heb je iets ingevuld: waarschuw direct je bank, verander je wachtwoorden en meld het bij de Fraudehelpdesk en de politie.
De QR-code is in tien jaar tijd van gimmick naar infrastructuur gegroeid: we betalen ermee, verbinden ermee met wifi en openen er menukaarten mee. Precies die vanzelfsprekendheid maakt hem interessant voor criminelen, want wie gewend is te scannen, scant ook een keer zonder na te denken. Phishing via QR-codes heeft inmiddels een eigen naam, quishing, en een eigen plek in de voorlichting van het Nationaal Cyber Security Centrum (NCSC), de politie en de Fraudehelpdesk.
Dit artikel is een nuchtere gids voor beide kanten van de code. Voor de scanner: hoe de fraude werkt, waar hij in Nederland opduikt en hoe je een valse code herkent voordat het misgaat. En voor de ondernemer die zelf codes ophangt: hoe je voorkomt dat jouw klanten jouw code wantrouwen, of erger, dat iemand er een sticker overheen plakt zonder dat je het merkt. Eén ding vooraf, want het misverstand is hardnekkig: een QR-code is geen programma en kan je telefoon niet 'hacken' door het scannen alleen. Het gevaar zit vrijwel altijd in wat je ná het scannen doet.
Vergelijk alle modellen en hun actuele prijzen bij meerdere winkels.
Wat is quishing?
Quishing is een samentrekking van 'QR' en 'phishing': oplichting waarbij een QR-code het lokmiddel is in plaats van een link in een mail of sms. Het doel is hetzelfde als bij klassieke phishing. De politie omschrijft het als fraude waarbij criminelen je via een valse QR-code naar een nepwebsite leiden om inloggegevens of bankgegevens te stelen, of je een betaling aan de verkeerde partij te laten doen.
Waarom werkt een QR-code daarvoor zo goed? Om drie redenen. Ten eerste is de bestemming onzichtbaar: bij een geschreven link zie je nog iets, bij een blokjespatroon helemaal niets, dus je vertrouwt op de context eromheen. Ten tweede scan je met je telefoon, waar het adres van een website klein in beeld staat en een nepsite er op het kleine scherm sneller overtuigend uitziet. En ten derde gebruiken we codes juist op plekken waar we haast hebben: bij de parkeerautomaat in de regen, bij de laadpaal, aan een tafeltje. Haast is de beste vriend van elke oplichter.
Hoe de fraude werkt: de sticker en de brief
De meest gemelde werkwijze in de openbare ruimte is verrassend laagtechnisch. Criminelen drukken stickers met hun eigen QR-code en plakken die over of naast de echte code op bijvoorbeeld een parkeerautomaat, vaak met een tekst als 'Scan en betaal'. Het NCSC noemt deze techniek attagging: een kwaadaardige code over een legitieme heen plakken. Wie scant, komt op een nagemaakte betaalsite die eruitziet als die van een bekende parkeerapp, en betaalt daar niet zijn parkeergeld maar geeft zijn bankgegevens of creditcardgegevens aan de oplichter.
Dezelfde truc verschijnt op papier en in de mailbox. Denk aan nepbrieven die van je bank of een overheidsinstantie lijken te komen met het verzoek 'de app opnieuw te koppelen' via een QR-code, mails waarin een code de spamfilters omzeilt (een afbeelding met blokjes is voor een filter moeilijker te lezen dan een geschreven link), en codes op nep-boetes of valse aanmaningen. De verpakking wisselt, het mechanisme niet: de code brengt je naar een site die zich voordoet als iets vertrouwds en je daar om geld of gegevens vraagt.
Belangrijk om te blijven herhalen: het scannen zelf is niet het gevaar. Een QR-code bevat gegevens, meestal een link, en je telefoon voert die niet zomaar uit. De schade ontstaat pas als je de link opent én op de pagina erachter iets invult of betaalt. Tussen scan en schade zitten dus altijd nog één of twee momenten waarop je kunt stoppen.
Waar het gebeurt: van automaat tot brievenbus
- Parkeerautomaten. Het bekendste Nederlandse voorbeeld. De politie waarschuwde publiekelijk dat stickers met QR-codes op parkeerautomaten van oplichters zijn, en gemeenten (waaronder Den Haag) deden hetzelfde na meldingen over valse codes op automaten in de stad. Betaal parkeren dus via de automaat zelf of via de officiële app, niet via een gescande code.
- Laadpalen. Zelfde patroon: een sticker met 'scan om te betalen' op of naast de paal, die naar een nepbetaalsite leidt. Gebruik je laadpas of de app van de laadaanbieder.
- Brieven en e-mails. Nepbrieven van 'je bank' met het verzoek een code te scannen om je app opnieuw te activeren, of mails waarin de QR-code de plaats inneemt van de klassieke phishing-link. Banken vragen nooit op die manier om herkoppeling.
- Horeca en winkels. Een sticker over de menukaart- of betaalcode op een tafeltje is voor een oplichter een kleine moeite. Voor gasten geldt: klopt de site die opent met de zaak waar je zit? Voor ondernemers: controleer je eigen codes regelmatig (zie verderop).
- Marktplaats-achtige oplichting. 'Betaalverzoeken' of verificatie-QR-codes die een tegenpartij je toestuurt, bijvoorbeeld om 'te controleren of je account echt is'. Scan nooit een betaal- of inlogcode die een vreemde je toestuurt.
Valse codes herkennen: de checklist
De adviezen van het NCSC, de politie en de Fraudehelpdesk komen samen in een handvol controles die samen een paar seconden kosten:
- 1. Kijk en voel: gedrukt of geplakt? Een code die in het ontwerp van de automaat, poster of menukaart is meegedrukt, hoort daar. Een sticker met een voelbaar randje, scheef geplakt of over een andere code heen, is een rode vlag. Het NCSC adviseert expliciet te controleren of een code niet als sticker is opgeplakt.
- 2. Klopt de context? Wees terughoudend bij codes zonder begeleidende tekst of duidelijke afzender, zeker op openbare plekken als pleinen, stations en winkelcentra. Een code hoort te vertellen wat hij doet en van wie hij is.
- 3. Lees de link vóór je hem opent. Moderne iPhones en Android-toestellen tonen het webadres voordat de pagina opent. Neem die seconde: herken je het adres niet, of lijkt het nét niet op het echte (parkeer-app-betalen.com in plaats van het echte domein), stop dan. Niet verder klikken, adviseert het NCSC.
- 4. Wantrouw elke betaal- of inlogpagina achter een code. Moet je na het scannen ineens inloggen bij je bank, een wachtwoord invullen of creditcardgegevens achterlaten? Dat is het moment om af te haken. Betaal parkeren en laden via de automaat, je laadpas of de officiële app.
- 5. Let op de klassieke phishing-signalen. Taalfouten, vage logo's, tijdsdruk ('betaal binnen 5 minuten om een boete te voorkomen') en verzoeken om gegevens die de echte partij allang heeft.
Gescand of zelfs ingevuld: wat nu?
Alleen gescand en de pagina bekeken, maar niets ingevuld? Dan is er vrijwel zeker niets aan de hand; sluit de pagina en installeer niets dat de site aanbiedt. Heb je wél gegevens ingevuld of betaald, handel dan in deze volgorde:
- Bankgegevens of een betaling: bel direct je bank. Die kan je pas of creditcard blokkeren en soms een betaling stoppen of terughalen. Snelheid telt hier echt.
- Wachtwoorden: verander het betreffende wachtwoord meteen, en ook overal waar je hetzelfde wachtwoord gebruikt. Zet waar mogelijk tweestapsverificatie aan.
- Meld het. Doe melding bij de Fraudehelpdesk (fraudehelpdesk.nl), en doe bij financiële schade aangifte bij de politie. Meldingen zijn niet alleen voor jouw zaak: ze maken de omvang van het probleem zichtbaar en helpen waarschuwingen op tijd de wereld in.
- Iets geïnstalleerd? Verwijder de app direct en overweeg je toestel te laten controleren of terug te zetten naar fabrieksinstellingen als het om een onbekend bestand buiten de officiële app-store ging.
Voor ondernemers: houd je eigen codes betrouwbaar
Quishing raakt ook de eerlijke gebruiker van QR-codes: elke krantenkop over valse codes maakt jouw klanten terughoudender om jouw code te scannen. Wie codes ophangt, kan zelf veel doen om dat vertrouwen te verdienen en te houden:
- Druk de code in het ontwerp, plak geen losse sticker. Een code die zichtbaar onderdeel is van je tafelstandaard, poster of raambiljet is voor klanten controleerbaar. Precies het verschil dat de checklist hierboven maakt.
- Zet er altijd tekst bij die zegt wat er gebeurt. 'Scan voor de menukaart', 'Beoordeel ons op Google', 'Verbind met onze wifi': in onze QR-code generator kies je zulke tekstkaders kant-en-klaar. Een code zonder context is exact wat het NCSC afraadt te scannen.
- Gebruik een herkenbare link. Een code die naar jouwzaak.nl leidt, wekt bij het link-voorbeeld op de telefoon direct vertrouwen. Vermijd doorstuurdiensten en linkverkorters: die verbergen de bestemming, en dat is precies het patroon van de oplichter. Een statische code met je eigen link heeft die tussenlaag niet nodig; hij kan bovendien nooit worden 'omgehangen' doordat een dienst erachter wordt gehackt of overgenomen, want er zit geen dienst achter.
- Maak er geen betaalmoment van waar dat niet hoeft. Vraag via een publieke code nooit om inloggegevens of kaartgegevens; laat betalen via de pin, je kassa of een officiële betaalomgeving.
- Loop je codes periodiek na. Scan je eigen tafelstandaards, raamstickers en posters af en toe en voel of er niets overheen is geplakt. Op drukke locaties (terras, evenement) is dat een kwestie van meenemen in de dagelijkse ronde.
- Geef je klanten uitleg. Personeel dat kan zeggen 'die code opent alleen onze menukaart, geen betaling' neemt twijfel direct weg.
Meer weten over de goede kant van de streep? Lees hoe je een QR-menukaart of een Google review-code opzet die klanten juist graag scannen, en hoe je met goed drukwerk voorkomt dat je code er zelf verdacht uitziet.
Veelgestelde vragen
Wat is quishing precies?
Quishing is phishing via een QR-code: criminelen gebruiken een valse code om je naar een nepwebsite te leiden die inloggegevens of bankgegevens steelt, of die je een betaling aan de verkeerde partij laat doen. De naam is een samentrekking van 'QR' en 'phishing'. De bekendste Nederlandse variant is de sticker met een valse code op parkeerautomaten en laadpalen, waarvoor onder meer de politie en gemeenten publiekelijk hebben gewaarschuwd.
Kan mijn telefoon gehackt worden door alleen een QR-code te scannen?
Praktisch gezien niet. Een QR-code bevat gegevens, meestal een link, en is geen programma dat bij het scannen wordt uitgevoerd. Het gevaar zit in wat je ná het scannen doet: de link openen, op de nepsite gegevens invullen, een betaling doen of een app installeren van buiten de officiële app-store. Tussen scannen en schade zitten dus altijd momenten waarop je kunt stoppen, en moderne telefoons helpen door eerst het webadres te tonen.
Hoe herken ik een valse QR-code?
Controleer vier dingen. Kijk en voel of de code is meegedrukt in het ontwerp of als sticker is opgeplakt; een sticker over of naast een andere code is een rode vlag. Wees terughoudend bij codes zonder begeleidende tekst of duidelijke afzender op openbare plekken. Lees het webadres dat je telefoon na het scannen toont en open het niet als je het niet herkent. En haak af zodra een pagina achter een publieke code om inloggegevens, bankgegevens of een betaling vraagt.
Is de QR-code op een parkeerautomaat veilig?
Wees er standaard voorzichtig mee. De politie heeft gewaarschuwd dat stickers met QR-codes op parkeerautomaten van oplichters zijn, en gemeenten hebben vergelijkbare waarschuwingen afgegeven. Betaal parkeren daarom via de automaat zelf, met je pinpas, of via de officiële parkeerapp die je zelf uit de app-store hebt geïnstalleerd. Zie je een opgeplakte code, meld dat dan bij de gemeente zodat de sticker wordt verwijderd.
Ik heb een valse QR-code gescand en gegevens ingevuld. Wat moet ik doen?
Handel snel en in deze volgorde: bel direct je bank als je bankgegevens hebt ingevuld of betaald hebt, zodat je pas geblokkeerd kan worden en een betaling mogelijk gestopt wordt. Verander daarna meteen de wachtwoorden die je hebt ingevuld, ook op andere plekken waar je hetzelfde wachtwoord gebruikt. Meld het voorval bij de Fraudehelpdesk en doe bij financiële schade aangifte bij de politie. Heb je iets geïnstalleerd, verwijder die app dan direct.
Hoe voorkom ik als ondernemer dat mijn QR-codes verdacht overkomen?
Druk de code mee in het ontwerp in plaats van een losse sticker te plakken, zet er altijd een tekst bij die zegt wat de code doet ('Scan voor de menukaart'), en laat hem naar een herkenbaar adres op je eigen domein leiden in plaats van via een linkverkorter of doorstuurdienst. Vraag via een publieke code nooit om betaal- of inloggegevens, controleer je opgehangen codes regelmatig op overgeplakte stickers, en zorg dat je personeel kan uitleggen wat de code doet.
Quishing is klassieke oplichting in een nieuw jasje: niet de QR-code is het wapen, maar de haast en het vertrouwen van de scanner. De verdediging is even onspectaculair als effectief: kijk of de code gedrukt of geplakt is, lees de link die je telefoon toont, en vul nooit betaal- of inloggegevens in op een pagina waar je via een code in de openbare ruimte belandde. Gaat het toch mis, dan zijn je bank, de Fraudehelpdesk en de politie de drie adressen die ertoe doen, in die volgorde.
Voor ondernemers is de les gespiegeld: wie zijn code meedrukt in het ontwerp, er duidelijke tekst bij zet en naar zijn eigen domein linkt, geeft klanten precies de houvast die de checklists van NCSC en politie vragen. Zo blijft de QR-code wat hij moet zijn: een handige brug, geen valkuil. Zelf een betrouwbare code opzetten doe je gratis met onze QR-code generator, volledig in je browser en zonder tussendienst.
Vergelijk alle modellen en hun actuele prijzen bij meerdere winkels.
Reacties
Heb je een van deze modellen, of nog een vraag? Deel het met andere lezers.
Nog geen reacties. Wees de eerste die reageert!
Onafhankelijk samengesteld door de redactie van 5prijzen op basis van productinformatie, specificaties en kopersbeoordelingen. We testen producten niet zelf in een lab. 5prijzen.nl kan een commissie ontvangen via partnerlinks; dit beïnvloedt onze selectie niet. Prijzen en beschikbaarheid worden automatisch bijgewerkt en kunnen afwijken. Laatst bijgewerkt: 6 juli 2026.



