De bibliotheek voor digitale criminaliteit

QR code fraude

QR code fraude kan plaatsvinden door het scannen van een malafide QR code, waardoor je op een website (phishing) komt of een app download (malware) die niet is wat het beoogt.

Maar het kan ook door een legitieme QR code te scannen, waarbij je door een babbeltruc onbedoeld toestemming geeft aan je bank omgeving.

De potentiële koper truc

De oplichters gaan vaak als volgt te werk: 
Adverteerders op verkoopsites worden benaderd door iemand die zich voordoet als potentiële koper van jouw product. De criminelen zijn het eens met de vraagprijs. De ‘koper’ wil afrekenen via zijn ‘zakelijke rekening’. Hiervoor heeft hij wel het rekeningnummer van het latere slachtoffer nodig. Maar hij zal wel even een QR Code sturen. Vervolgens appt de cybercrimineel een QR-code, die de verkoper kan scannen om de betaling te bevestigen en het geld te kunnen ontvangen. Nadat deze code gescand is door het slachtoffer, heeft de oplichter volledige toegang tot de bankrekening van het slachtoffer.  Zowel betaal- als spaarrekeningen kunnen worden geplunderd.

Scan geen QR-code van onbekenden!

Je kunt dit voorkomen door eenvoudigweg niet mee te gaan in dergelijke praktijken. Vertrouw geen enkele koper die jou vraagt om een QR code te scannen. Dat is niet nodig en dus kun je beter de deal weigeren. 

QR Code Parkeer truc

Bij de straattruc worden slachtoffers, vaak jongeren, op straat benaderd met een smoes. Voor de straattruc geldt dat in de politieregistraties de parkeertruc het vaakst in beeld komt. Hierbij zeggen de daders dat zij alleen contant geld hebben en met een pinpas voor het parkeren moeten betalen. Zij geven de slachtoffers contant geld, dat zogenaamd moet worden overgemaakt naar de rekening van de daders. Voor dit doel moet een QR-code worden ingescand, zogenaamd om het juiste rekeningnummer te krijgen. In werkelijkheid gebeurt hier hetzelfde als bij de Marktplaats variant en wordt hiermee de bankapp van de slachtoffers gekoppeld aan het apparaat van de daders.

QR Code betalen

Naast de parkeertruc is er ook een variant bekend waarbij de daders 's nachts in uitgaansgebieden lachgasballonnen op straat verkopen, of claimen dat een drankje wat omgestoten wordt terugbetaald moet worden. De betaling moet in beide gevallen door het scannen van een QR-code plaatsvinden. De werkwijze bij de straattruc is gebaseerd op de aanname dat jongeren makkelijk betalingen via een QR-code uitvoeren, ook bij onbekenden.
Canadese autoriteiten hebben al in februari internationaal gewaarschuwd voor deze handelswijze die ook in Canada door georganiseerde criminele groepen wordt ingezet. Bij de politie komen meer meldingen van de Marktplaats variant binnen dan van de straattruc. De eerste indruk is dat de straattruc vooral in de Randstad voorkomt (Amsterdam, Rotterdam en omgeving) en de Marktplaats variant overal in het land.
De Fraudehelpdesk en Cybercrimeinfo kreeg meldingen die allemaal verbonden waren aan één bank. In de politieregistraties komen twee banken naar voren. Het geld wordt in ieder geval op drie manieren doorgesluisd: via derden gelden rekeningen, via katvanger rekeningen en door pinnen. 
Opvallend is dat de daders bij de Marktplaats variant veel durven in de omgang met de slachtoffers. Zo worden potentiële slachtoffers soms gedreigd met geweld als zij willen afhaken. Ook maakt een vrouwelijke slachtoffer melding van een voorstel van de criminelen: in ruil voor een nacht met de dader zou zij haar geld wel terug kunnen krijgen.

Wat is een QR code?

Voorbeeld van een QR Code. Deze codes zijn niet malafide maar een verwijzing naar de website, e-mail en het inschrijven voor de nieuwsbrief Cybercrimeinfo.nl