Quishing is QR-code phishing — het scannen van een nep-code leidt u naar een site die uw inloggegevens of betalingsgegevens steelt. AI heeft deze oplichting veel eenvoudiger te maken en veel moeilijker te herkennen. De veiligste gewoontes zijn: de URL-preview lezen voordat u tikt, nooit betaal- of inloggegevens invoeren na het scannen van een openbare QR-code, en adressen handmatig typen als u twijfelt.
U heeft het afgelopen jaar waarschijnlijk tientallen QR-codes gescand — voor een restaurantmenu, om te betalen voor parkeren of om ergens in te checken. Dat kleine vierkantje is inmiddels een van de favoriete gereedschappen van oplichters, en AI heeft het voor hen dramatisch eenvoudiger gemaakt om overtuigende nep-codes te maken. De truc heet quishing, en het verspreidt zich zo snel dat zowel de FBI als de FTC er waarschuwingen over hebben uitgebracht.
Wat is quishing?
Het woord combineert 'QR' en 'phishing' — de bredere categorie van oplichting die een vertrouwde organisatie nabootst om uw inloggegevens of betalingsinformatie te stelen.
Zo werkt het: een oplichter maakt een QR-code die u, wanneer gescand, naar een nepwebsite leidt die er precies uitziet als uw bank, het parkeerbetalingsportaal van uw gemeente of de trackingpagina van een bezorgdienst. De pagina vraagt u in te loggen, een betaling te bevestigen of uw identiteit te verifiëren. Als u dat doet, gaan uw inloggegevens of kaartnummer rechtstreeks naar de oplichter.
De reden waarom QR-codes bijzonder effectief zijn voor oplichters: e-mail- en sms-beveiligingsfilters zijn ontworpen om verdachte tekstlinks te scannen — ze zijn niet gebouwd om afbeeldingen te lezen. Een nep-QR-code ingebed in een PDF of afbeeldingsbijlage passeert de meeste filters onopgemerkt.
Waar nep-QR-codes opduiken
Nep-codes duiken op op heel gewone plaatsen:
Parkeerautomaten. Een sticker met een nep-QR-code wordt over de legitieme betaalcode geplakt. U scant hem, voert uw creditcard in op een overtuigende nep-'parkeerbetalings'-pagina — en de automaat registreert uw betaling nooit.
Restaurantmenu's. De meeste QR-menu's zijn veilig, maar oplichters zijn betrapt op het plakken van stickers over de originele codes. De nepversie leidt u naar een pagina die mogelijk om uw creditcard vraagt 'om uw plek te reserveren' of een kortingsinschrijving aanbiedt.
Sms-berichten over pakketbezorging. U ontvangt een bericht dat uw bezorging vertraagd is en dat u een code moet scannen of een link moet volgen om te herplannen. De URL leidt naar een neppagina die om uw adres en betalingsgegevens vraagt.
Flyers en posters. Nep-codes zijn verschenen op gemeenschapsflyers — een 'gratis cadeaukaart' of 'exclusief aanbod' — geplaatst in wasserettes, bibliotheken en ingangen van appartementsgebouwen.
E-mails en PDF-bijlagen. Een bericht van een vermeende bank, nutsbedrijf of bezorgdienst bevat een QR-code die u vraagt uw 'account te verifiëren.' Dit is de meest voorkomende digitale variant, en degene die het gemakkelijkst langs e-mailbeveiligingssoftware glipt.
Waarom AI dit veel erger heeft gemaakt
Voordat AI-schrijftools breed beschikbaar waren, was een oplichters-e-mail vaak gemakkelijk te herkennen: onhandig schrijven, grammaticafouten, een vreemde aanvraag die niet klinkt als hoe een echte bank zou communiceren. Dat is geen betrouwbaar signaal meer.
Volgens een rapport van juli 2026 stegen AI-aangedreven phishingaanvallen in één maand met een factor veertien, en AI-gegenereerde phishing vormt nu ongeveer 40% van alle phishingaanvallen. Oplichters gebruiken AI om perfecte professionele e-mails te schrijven, realistisch ogende nep-inlogpagina's te maken en QR-codes op grote schaal te genereren — honderden licht verschillende versies gericht op verschillende mensen of regio's.
De combinatie is bijzonder effectief: de e-mail leest alsof hij van een echt bedrijf komt, de QR-code omzeilt tekstgebaseerde filters en de nepwebsite ziet er identiek uit aan de echte. Het enige moment waarop u het kunt opvangen, is wanneer u de URL controleert waar de code daadwerkelijk naartoe verwijst.
Hoe u een QR-code controleert voordat u tikt
U hoeft QR-codes niet helemaal te stoppen met gebruiken. U heeft slechts één snelle gewoonte nodig: lees de URL-preview voordat u tikt.
Op iPhone: Wanneer u uw camera op een QR-code richt, verschijnt er bovenaan het scherm een kleine melding met de bestemmings-URL. Tik niet meteen op die melding — lees eerst het adres.
Op Android: De meeste Android-camera-apps tonen een kleine URL-balk onder het QR-coderaster. Lees die voordat u tikt.
Waar u op moet letten in de URL:
- Komt het domein overeen met de organisatie die u verwacht? Een gemeentelijke parkeerapp kan 'gemeentenaam.nl' of 'parkXYZ.nl' zijn — het zou niet 'parking-secure-pay.net' moeten zijn met een willekeurig domein dat u niet herkent.
- Staat er een lange reeks willekeurige tekens in de URL? Legitieme QR-codes voor een menu of betaalpagina hebben meestal korte, overzichtelijke adressen.
- Gebruikt het domein subtiele spelfouten — 'rnijnbank.nl' in plaats van 'mijnbank.nl'? Dat extra lettertje is bij een vluchtige blik gemakkelijk over het hoofd te zien.
Veilige gewoontes voor de toekomst
Typ adressen handmatig als u twijfelt. Als een QR-code in een e-mail u vraagt uw bankaccount te 'verifiëren', scan het dan niet — open de app van uw bank of typ het adres dat u kent in uw browser. De FTC beveelt dit specifiek aan als voornaamste advies voor QR-codeveiligheid.
Voer nooit betaal- of inloggegevens in na het scannen van een openbare code. Als een parkeerautomaat, poster of openbare QR-code om uw creditcard of wachtwoord vraagt, stop dan. Legitieme parkeer-apps en openbare betaalsystemen laten u betalen via een bestaande app die u al heeft, of accepteren uw pas direct bij de automaat. Ze hebben er geen behoefte aan dat u uw volledige kaartnummer invoert op een website die u via een QR-sticker heeft bereikt.
Controleer op stickers. Voordat u een QR-code op een fysiek oppervlak scant — een automaat, een tafelkaartje, een poster — kijk dan of de code direct gedrukt is of dat er een stickerrand overheen zit. Een sticker over een legitieme code is de meest voorkomende fysieke vorm van deze oplichting.
Wees extra sceptisch over QR-codes in e-mails. Echte banken, nutsbedrijven en bezorgdiensten hebben zelden nodig dat u een QR-code scant. Ze hebben apps en websites die u direct kunt bereiken. Een onverwachte e-mail met een QR-code is een waarschuwingssignaal, zelfs als de huisstijl er correct uitziet.
Waar u op moet letten
Deze gewoontes zullen de meeste quishing-pogingen tegenhouden, maar geen enkele controle is onfeilbaar. Oplichters verfijnen hun techniek voortdurend en de neppagina's die ze bouwen zijn soms visueel niet te onderscheiden van de echte. Als u informatie heeft ingevoerd na het scannen van een code en u zich daarna onzeker voelde, handel dan snel: verander uw wachtwoord, bel uw bank en meld het incident bij reportfraud.ftc.gov. Hoe eerder u handelt, hoe beter uw kansen om eventuele schade te beperken.
Iets wat deze gids niet behandelt: AI-aangedreven vervolgoproepen die QR-oplichting soms vergezellen. Een oplichter kan kort nadat u een code heeft gescand bellen, bewerend uw 'betaling te verifiëren' en naar kaartgegevens vragen die u niet op de nepsite heeft ingevoerd. Als u een onverwachte oproep krijgt net nadat u een QR-code heeft gescand, hang dan op en bel de organisatie direct via een nummer dat u zelf opzoekt.
Wat u vervolgens kunt proberen
Quishing maakt deel uit van een bredere golf van AI-aangedreven oplichting die momenteel inboxen treft — Hoe u AI-phishingmails herkent behandelt de tekenen dat een bericht niet door een mens is geschreven. En als u naast verdachte berichten ook verdachte oproepen ontvangt, legt De beste AI-blokkers voor oplichtersbellen de tools uit die kunnen helpen ze eruit te filteren.


