Boek een kennismaking
Blog

Quishing: waarom die QR-code op de parking een val kan zijn

Valse QR-codes op laadpalen en parkeermeters in België: zo herkent u quishing en beschermt u uzelf en uw bedrijf tegen deze nieuwe vorm van phishing.
Close-up van een hand die een loslatende, valse QR-code sticker op een Belgische parkeerautomaat controleert. Dit illustreert de fysieke 'voel-test' om 'quishing' te herkennen, zoals geadviseerd door Cyberplan.

QR-code phishing is de nieuwe truc waar élke ondernemer van wakker moet liggen

U kent het wel. U parkeert uw wagen in Brussel, scant snel die QR-code op de automaat, en rijdt door naar uw afspraak. Simpel, snel, contactloos. Maar wat als die code niet van de stad is? Wat als u net uw bankgegevens aan een crimineel hebt gegeven?

Welkom in de wereld van quishing, oftewel QR-code phishing. En het gebeurt nu, hier, in België.

QR-code fraude in België: dit gebeurt nu

In mei 2024 werden in Brussel meer dan 100 mensen slachtoffer van een gecoördineerde aanval op laadpalen van EnergyVision. Fraudeurs hadden op 22 laadpalen stickers met valse QR-codes geplakt. Slachtoffers dachten hun laadsessie te starten, maar gaven hun creditcardgegevens rechtstreeks aan criminelen. Schade per slachtoffer: tot 300 euro.

In september 2025 arresteerde de Brusselse politie een verdachte met 160 valse QR-stickers en productieapparatuur op zak. Klaar om op parkeerautomaten te plakken.

Dit is geen sciencefiction. Dit is uw dagelijkse realiteit.

Waarom QR-code phishing zo effectief is

Jaren hebben we geleerd om niet zomaar op links te klikken. “Kijk uit voor phishing!” hoorden we keer op keer. Die boodschap is blijven hangen. Maar QR-codes? Die scannen we zonder nadenken. Ze voelen veilig. Ze zijn overal: in restaurants, op facturen, bij laadpalen.

En dat is precies waarom criminelen ze nu gebruiken.

Een QR-code is eigenlijk gewoon een link in vermomming. U ziet niet waar die naartoe gaat tot u scant. En tegen die tijd is het vaak al te laat.

Valse QR-codes herkennen: praktische tips

QR-codes op laadpalen en parkeermeters controleren

Bij parkeermeters, laadpalen of andere publieke QR-codes:

  • Voel aan de code. Is er reliëf? Zit er een sticker óver iets anders geplakt? Zitten de randen los? Dat is verdacht.
  • Kijk goed. Is de sticker scheef? Van slechte kwaliteit? Past de huisstijl niet bij de aanbieder?
  • Stel uzelf de vraag: Hoort hier eigenlijk wel een QR-code? Veel Belgische parkeerautomaten werken met apps of SMS, niet met QR-codes.

De URL controleren na het scannen

Wanneer u een QR-code scant, toont uw smartphone de link voordat u erop klikt. Dat is uw laatste verdedigingslinie.

  • Goed: yellowbrick.be, ionity.eu, parking.brussels
  • Verdacht: park-payment-service.info, ms-auth-security.com, bit.ly/xyz123

Ziet u een vreemde URL? Scan niet verder.

De gouden regel

Gebruik de app. Start uw parkeer-app, laadpaal-app of bankapp rechtstreeks op. Dan weet u zeker dat u op de juiste plek zit. Die extra 10 seconden kunnen u honderden euro’s besparen.

Quishing op de werkvloer: het risico voor uw bedrijf

Quishing stopt niet bij parkeermeters. Sterker nog: de zakelijke variant is nog gevaarlijker.

Stel: een medewerker krijgt een e-mail met als onderwerp “Actie vereist: uw MFA-instellingen verlopen”. In de e-mail staat geen link, wel een QR-code. “Scan met uw telefoon om uw account te beveiligen.”

Het voelt logisch. Uw medewerker is gewend om zijn telefoon te gebruiken voor tweestapsverificatie. Hij scant. Hij logt in op wat een Microsoft-pagina lijkt. En zonder het te weten geeft hij zijn inloggegevens én zijn sessie aan een aanvaller.

Het resultaat? Volledige toegang tot uw bedrijfsomgeving. E-mails, bestanden, klantgegevens… alles.

Waarom uw e-mailbeveiliging quishing mist

De e-mail komt binnen op de beveiligde laptop. Maar de medewerker scant met zijn privé-smartphone. Die staat niet onder bedrijfsbeheer. Geen webfilters. Geen detectie. De aanval verplaatst zich letterlijk buiten het zicht van uw IT-afdeling.

Bescherming tegen QR-code phishing: concrete stappen

Het STOP-protocol voor medewerkers

Leer het STOP-protocol:

  1. STOP – Scan niet. Hoe urgent de e-mail ook klinkt.
  2. VERIFIEER – Bel de IT-helpdesk op een bekend nummer. Niet het nummer in de e-mail.
  3. MELD – Stuur de e-mail door naar uw beveiligingsteam of naar verdacht@safeonweb.be
  4. VERWIJDER – Na melding: definitief verwijderen.

Quishing-beleid voor uw organisatie

  • Maak het beleid: “Wij sturen nooit QR-codes via e-mail voor wachtwoordresets of MFA-configuratie.” Als medewerkers dat weten, herkennen ze fraude direct.
  • Train specifiek op quishing. Neem QR-code scenario’s op in uw phishing-simulaties.
  • Overweeg FIDO2-sleutels. Hardware keys zoals YubiKeys zijn phishing-resistent. Zelfs als iemand op een valse site zit, weigert de sleutel te authenticeren.

QR-codes veilig gebruiken: de belangrijkste les

Quishing is geen technische truc voor nerds. Het is sociale manipulatie die misbruik maakt van ons vertrouwen in die handige zwart-witte vierkantjes.

De oplossing? Behandel elke QR-code zoals u een link in een e-mail zou behandelen: met gezonde argwaan. Voel, kijk, check de URL, en bij twijfel: gebruik de app.

In 2026 is een QR-code geen onschuldig vierkantje meer. Het is een potentiële link naar problemen, tenzij u even de tijd neemt om te verifiëren.

Veelgestelde vragen over quishing

Wat is quishing precies?

Quishing is een vorm van phishing waarbij criminelen valse QR-codes gebruiken om slachtoffers naar frauduleuze websites te leiden. De term is een samentrekking van “QR-code” en “phishing”. In tegenstelling tot traditionele phishing via e-maillinks, maakt quishing misbruik van het vertrouwen dat mensen hebben in QR-codes.

Hoe herken ik een valse QR-code op straat?

Controleer of de code als sticker over iets anders is geplakt door er met uw vinger overheen te voelen. Let ook op de kwaliteit: scheef geplakte stickers, slechte printkwaliteit of een huisstijl die niet klopt zijn waarschuwingssignalen. Veel Belgische parkeerautomaten gebruiken helemaal geen QR-codes voor betaling.

Kan mijn bedrijf slachtoffer worden van quishing?

Ja, en de schade is vaak groter dan bij particulieren. Aanvallers sturen e-mails met QR-codes die zogenaamd van IT of Microsoft komen. Medewerkers scannen met hun privé-telefoon, buiten het zicht van de bedrijfsbeveiliging. Zo krijgen criminelen toegang tot bedrijfsaccounts, e-mails en klantgegevens.

Beschermt tweestapsverificatie (MFA) tegen quishing?

Niet altijd. Geavanceerde quishing-aanvallen gebruiken zogenaamde “man-in-the-middle” technieken. De aanvaller vangt zowel uw wachtwoord als uw MFA-code op en gebruikt deze direct om in te loggen. Phishing-resistente oplossingen zoals FIDO2 hardware keys bieden wel bescherming.

Wat moet ik doen als ik een verdachte QR-code heb gescand?

Controleer eerst of u daadwerkelijk gegevens hebt ingevuld. Zo ja: wijzig direct uw wachtwoorden en neem contact op met uw bank als u betaalgegevens hebt ingevoerd. Meld de fraude bij uw IT-afdeling en stuur het verdachte bericht door naar verdacht@safeonweb.be.

Hoe kan ik mijn medewerkers trainen tegen quishing?

Neem QR-code scenario’s op in uw phishing-simulaties en communiceer duidelijk dat uw organisatie nooit QR-codes verstuurt voor wachtwoordresets of MFA-configuratie. Awareness training helpt medewerkers om de risico’s te herkennen voordat ze slachtoffer worden.

Cybersecurity awareness training voor uw KMO

Bij Cyberplan helpen we Vlaamse KMO’s om cyberdreigingen zoals quishing te begrijpen én aan te pakken. Onze awareness trainingen maken uw medewerkers de eerste verdedigingslijn tegen social engineering. Geen dikke rapporten die stof verzamelen, maar praktische sessies die direct resultaat opleveren.

Goed om te weten: onze trainingen komen in aanmerking voor de KMO-portefeuille, waarmee u tot 45% subsidie kunt ontvangen.

Neem contact op voor een vrijblijvend gesprek. We spreken geen jargon, we spreken business.

Contacteer ons →