De nieuwe AI-aangedreven QR-codefraude — en hoe u die kunt vermijden

Veiligheid & oplichting Guide7 min lezen·Bijgewerkt op 11 juli 2026
Het korte antwoord

Quishing is QR-code phishing — het scannen van een nep-code leidt u naar een site die uw inloggegevens of betalingsgegevens steelt. AI heeft deze oplichting veel eenvoudiger te maken en veel moeilijker te herkennen. De veiligste gewoontes zijn: de URL-preview lezen voordat u tikt, nooit betaal- of inloggegevens invoeren na het scannen van een openbare QR-code, en adressen handmatig typen als u twijfelt.

U heeft het afgelopen jaar waarschijnlijk tientallen QR-codes gescand — voor een restaurantmenu, om te betalen voor parkeren of om ergens in te checken. Dat kleine vierkantje is inmiddels een van de favoriete gereedschappen van oplichters, en AI heeft het voor hen dramatisch eenvoudiger gemaakt om overtuigende nep-codes te maken. De truc heet quishing, en het verspreidt zich zo snel dat zowel de FBI als de FTC er waarschuwingen over hebben uitgebracht.

Wat is quishing?

Het woord combineert 'QR' en 'phishing' — de bredere categorie van oplichting die een vertrouwde organisatie nabootst om uw inloggegevens of betalingsinformatie te stelen.

Zo werkt het: een oplichter maakt een QR-code die u, wanneer gescand, naar een nepwebsite leidt die er precies uitziet als uw bank, het parkeerbetalingsportaal van uw gemeente of de trackingpagina van een bezorgdienst. De pagina vraagt u in te loggen, een betaling te bevestigen of uw identiteit te verifiëren. Als u dat doet, gaan uw inloggegevens of kaartnummer rechtstreeks naar de oplichter.

De reden waarom QR-codes bijzonder effectief zijn voor oplichters: e-mail- en sms-beveiligingsfilters zijn ontworpen om verdachte tekstlinks te scannen — ze zijn niet gebouwd om afbeeldingen te lezen. Een nep-QR-code ingebed in een PDF of afbeeldingsbijlage passeert de meeste filters onopgemerkt.

Waar nep-QR-codes opduiken

Nep-codes duiken op op heel gewone plaatsen:

Parkeerautomaten. Een sticker met een nep-QR-code wordt over de legitieme betaalcode geplakt. U scant hem, voert uw creditcard in op een overtuigende nep-'parkeerbetalings'-pagina — en de automaat registreert uw betaling nooit.

Restaurantmenu's. De meeste QR-menu's zijn veilig, maar oplichters zijn betrapt op het plakken van stickers over de originele codes. De nepversie leidt u naar een pagina die mogelijk om uw creditcard vraagt 'om uw plek te reserveren' of een kortingsinschrijving aanbiedt.

Sms-berichten over pakketbezorging. U ontvangt een bericht dat uw bezorging vertraagd is en dat u een code moet scannen of een link moet volgen om te herplannen. De URL leidt naar een neppagina die om uw adres en betalingsgegevens vraagt.

Flyers en posters. Nep-codes zijn verschenen op gemeenschapsflyers — een 'gratis cadeaukaart' of 'exclusief aanbod' — geplaatst in wasserettes, bibliotheken en ingangen van appartementsgebouwen.

E-mails en PDF-bijlagen. Een bericht van een vermeende bank, nutsbedrijf of bezorgdienst bevat een QR-code die u vraagt uw 'account te verifiëren.' Dit is de meest voorkomende digitale variant, en degene die het gemakkelijkst langs e-mailbeveiligingssoftware glipt.

Waarom AI dit veel erger heeft gemaakt

Voordat AI-schrijftools breed beschikbaar waren, was een oplichters-e-mail vaak gemakkelijk te herkennen: onhandig schrijven, grammaticafouten, een vreemde aanvraag die niet klinkt als hoe een echte bank zou communiceren. Dat is geen betrouwbaar signaal meer.

Volgens een rapport van juli 2026 stegen AI-aangedreven phishingaanvallen in één maand met een factor veertien, en AI-gegenereerde phishing vormt nu ongeveer 40% van alle phishingaanvallen. Oplichters gebruiken AI om perfecte professionele e-mails te schrijven, realistisch ogende nep-inlogpagina's te maken en QR-codes op grote schaal te genereren — honderden licht verschillende versies gericht op verschillende mensen of regio's.

De combinatie is bijzonder effectief: de e-mail leest alsof hij van een echt bedrijf komt, de QR-code omzeilt tekstgebaseerde filters en de nepwebsite ziet er identiek uit aan de echte. Het enige moment waarop u het kunt opvangen, is wanneer u de URL controleert waar de code daadwerkelijk naartoe verwijst.

Hoe u een QR-code controleert voordat u tikt

U hoeft QR-codes niet helemaal te stoppen met gebruiken. U heeft slechts één snelle gewoonte nodig: lees de URL-preview voordat u tikt.

Op iPhone: Wanneer u uw camera op een QR-code richt, verschijnt er bovenaan het scherm een kleine melding met de bestemmings-URL. Tik niet meteen op die melding — lees eerst het adres.

Op Android: De meeste Android-camera-apps tonen een kleine URL-balk onder het QR-coderaster. Lees die voordat u tikt.

Waar u op moet letten in de URL:

  • Komt het domein overeen met de organisatie die u verwacht? Een gemeentelijke parkeerapp kan 'gemeentenaam.nl' of 'parkXYZ.nl' zijn — het zou niet 'parking-secure-pay.net' moeten zijn met een willekeurig domein dat u niet herkent.
  • Staat er een lange reeks willekeurige tekens in de URL? Legitieme QR-codes voor een menu of betaalpagina hebben meestal korte, overzichtelijke adressen.
  • Gebruikt het domein subtiele spelfouten — 'rnijnbank.nl' in plaats van 'mijnbank.nl'? Dat extra lettertje is bij een vluchtige blik gemakkelijk over het hoofd te zien.

Veilige gewoontes voor de toekomst

Typ adressen handmatig als u twijfelt. Als een QR-code in een e-mail u vraagt uw bankaccount te 'verifiëren', scan het dan niet — open de app van uw bank of typ het adres dat u kent in uw browser. De FTC beveelt dit specifiek aan als voornaamste advies voor QR-codeveiligheid.

Voer nooit betaal- of inloggegevens in na het scannen van een openbare code. Als een parkeerautomaat, poster of openbare QR-code om uw creditcard of wachtwoord vraagt, stop dan. Legitieme parkeer-apps en openbare betaalsystemen laten u betalen via een bestaande app die u al heeft, of accepteren uw pas direct bij de automaat. Ze hebben er geen behoefte aan dat u uw volledige kaartnummer invoert op een website die u via een QR-sticker heeft bereikt.

Controleer op stickers. Voordat u een QR-code op een fysiek oppervlak scant — een automaat, een tafelkaartje, een poster — kijk dan of de code direct gedrukt is of dat er een stickerrand overheen zit. Een sticker over een legitieme code is de meest voorkomende fysieke vorm van deze oplichting.

Wees extra sceptisch over QR-codes in e-mails. Echte banken, nutsbedrijven en bezorgdiensten hebben zelden nodig dat u een QR-code scant. Ze hebben apps en websites die u direct kunt bereiken. Een onverwachte e-mail met een QR-code is een waarschuwingssignaal, zelfs als de huisstijl er correct uitziet.

Waar u op moet letten

Deze gewoontes zullen de meeste quishing-pogingen tegenhouden, maar geen enkele controle is onfeilbaar. Oplichters verfijnen hun techniek voortdurend en de neppagina's die ze bouwen zijn soms visueel niet te onderscheiden van de echte. Als u informatie heeft ingevoerd na het scannen van een code en u zich daarna onzeker voelde, handel dan snel: verander uw wachtwoord, bel uw bank en meld het incident bij reportfraud.ftc.gov. Hoe eerder u handelt, hoe beter uw kansen om eventuele schade te beperken.

Iets wat deze gids niet behandelt: AI-aangedreven vervolgoproepen die QR-oplichting soms vergezellen. Een oplichter kan kort nadat u een code heeft gescand bellen, bewerend uw 'betaling te verifiëren' en naar kaartgegevens vragen die u niet op de nepsite heeft ingevoerd. Als u een onverwachte oproep krijgt net nadat u een QR-code heeft gescand, hang dan op en bel de organisatie direct via een nummer dat u zelf opzoekt.

Wat u vervolgens kunt proberen

Quishing maakt deel uit van een bredere golf van AI-aangedreven oplichting die momenteel inboxen treft — Hoe u AI-phishingmails herkent behandelt de tekenen dat een bericht niet door een mens is geschreven. En als u naast verdachte berichten ook verdachte oproepen ontvangt, legt De beste AI-blokkers voor oplichtersbellen de tools uit die kunnen helpen ze eruit te filteren.

Gepubliceerd op 11 juli 2026 · Bijgewerkt op 11 juli 2026Hoe we testen →

Veelgestelde vragen

Wat is quishing?
Quishing is een afkorting voor QR-code phishing. Oplichters plaatsen een nep-QR-code — op een sticker, in een e-mail of in een tekstbericht — die u omleidt naar een overtuigende nepwebsite die is ontworpen om uw wachtwoord, creditcardnummer of andere persoonlijke informatie te stelen. De naam combineert 'QR' en 'phishing', de bredere categorie van trucs die vertrouwde organisaties nadoen om inloggegevens te stelen.
Waarom gebruiken oplichters QR-codes in plaats van gewone links?
Een gewone phishinglink toont de werkelijke URL als tekst, die e-mailbeveiligingsfilters en oplettende lezers vaak kunnen herkennen. Een QR-code is een afbeelding — uw e-mailbeveiligingssoftware scant tekst, geen afbeeldingen, dus een nep-QR-code ingebed in een PDF of afbeeldingsbijlage passeert de meeste filters onopgemerkt. U kunt ook niet naar een QR-code kijken en zien waar hij naartoe leidt, zoals u op een desktopcomputer over een hyperlink kunt hoveren.
Hoe zie ik waar een QR-code naartoe gaat voordat ik tik?
Op de meeste smartphones verschijnt er bij het richten van uw camera op een QR-code een kleine URL-previewbanner voordat u ergens op tikt — let op die preview en lees hem zorgvuldig. Op iPhone verschijnt dit als een melding bovenaan het scherm; op Android verschijnt het net onder het QR-coderaster. Als het domein in de preview niet overeenkomt met de organisatie die u verwacht, tik dan niet.
Zijn QR-codes op restaurantmenu's veilig?
De meeste restaurant-QR-menu's zijn volkomen legitiem — ze leiden naar een PDF of een eenvoudige website die het restaurant heeft opgezet. Het risico zit in een sticker die over de originele code is geplakt, wat gemakkelijk te herkennen is: let op een stickerrand of iets ander papier bovenop de gedrukte code. Als iets erop geplakt lijkt te zijn, vertel het aan het personeel en scan niet.
Wat moet ik doen als ik al een verdachte QR-code heb gescand?
Als u op de link heeft getikt maar geen informatie heeft ingevoerd, sluit dan de browser — u bent vrijwel zeker veilig. Als u een gebruikersnaam en wachtwoord heeft ingevoerd, wijzig dat wachtwoord dan onmiddellijk op elk account waar u hetzelfde gebruikt en schakel tweestapsverificatie in als u dat nog niet heeft gedaan. Als u een creditcardnummer heeft ingevoerd, bel dan onmiddellijk uw bank. Meld de verdachte code bij reportfraud.ftc.gov.
Kan ik QR-codes vertrouwen in e-mails van bedrijven die ik ken?
Wees voorzichtig. Oplichters kopiëren doelbewust de huisstijl van bekende bedrijven — banken, bezorgdiensten, nutsbedrijven — omdat een vertrouwd logo uw waakzaamheid verlaagt. De FTC adviseert om geen QR-codes te scannen uit onverwachte e-mails, zelfs als ze officieel lijken. Ga in plaats daarvan rechtstreeks naar de website van het bedrijf door het adres zelf te typen, of bel het nummer op de achterkant van uw pas.
Radim S.
Oprichter & redacteur

Radim is een softwareontwikkelaar die zijn dagen besteedt aan bouwen met AI en zijn avonden aan het uitleggen ervan aan familieleden die niet geïnteresseerd zijn in hoe het werkt — alleen in wat het voor hen kan doen. Elke gids wordt handmatig getest voordat hij gepubliceerd wordt.