Cybercriminelen verbergen schadelijke QR-codes bij phishingpogingen
Cyberaanvallers gebruiken twee nieuwe methoden om de detectie van schadelijke QR-codes te ontwijken bij phishingpogingen. Bij de ene techniek wordt een malafide QR-code opgesplitst in twee delen, bij de andere wordt een schadelijke code genest rond of in een legitieme QR-code. Deze aanpakken maken het voor beveiligingssystemen moeilijker om de fraude op te sporen.
Dit blijkt uit onderzoek van Barracuda Networks. Bij quishing – een vorm van phishing met QR-codes – worden slachtoffers via gescande codes doorgestuurd naar nepwebsites die inloggegevens of andere gevoelige informatie proberen te ontfutselen. Uit onderzoek van ABN AMRO naar QR-codefraude, gepubliceerd op 20 augustus 2025, blijkt dat één op de tien Nederlanders weleens te maken heeft gehad met ongewenste situaties door frauduleuze QR-codes. Daarnaast beschikt zeven op de tien Nederlanders niet over voldoende kennis om QR-codes veilig te gebruiken. Onderzoekers van beveiligingsbedrijf Barracuda signaleerden recent dat deze vorm van phishing zich verder ontwikkelt, met name binnen de phishing-as-a-service-kits Tycoon en Gabagool.
Aanvallers die gebruikmaken van de Gabagool-kit pasten gesplitste QR-codes toe in nepmails die ogenschijnlijk afkomstig waren van Microsoft. Slachtoffers kregen het verzoek hun wachtwoord te resetten. De schadelijke QR-code werd hierbij opgedeeld in twee afzonderlijke afbeeldingen, die naast elkaar in de e-mail werden geplaatst. Voor traditionele beveiligingsystemen leek dit twee onschuldige afbeeldingen, maar bij het scannen leidde de gecombineerde code naar een phishingwebsite gericht op het stelen van Microsoft-inloggegevens.
Malafide URL om een legitieme URL plaatsen
De Tycoon-kit maakt gebruik van een nestingtechniek, waarbij een schadelijke QR-code om een legitieme code heen is geplaatst. De buitenste code verwees naar een malafide URL, terwijl de binnenste code naar Google leidde. Deze methode bemoeilijkt detectie, omdat scanners tegenstrijdige resultaten opleveren.
“Schadelijke QR-codes zijn aantrekkelijk voor aanvallers omdat ze er betrouwbaar uitzien en bestaande beveiligingsmaatregelen, zoals e-mailfilters en linkscanners, kunnen omzeilen,” aldus Saravan Mohankumar, Manager Threat Analysis bij Barracuda. “Doordat ontvangers vaak naar een mobiel apparaat moeten overschakelen om de code te scannen, vallen ze mogelijk buiten de bescherming van bedrijfsbeveiliging. Aanvallers blijven nieuwe technieken ontwikkelen om securitymaatregelen te ontlopen. Geïntegreerde, AI-gestuurde bescherming kan hierbij een rol spelen.”
Aanbevelingen voor bescherming
Naast bewustwordingstraining, multi-factorauthenticatie en sterke spamfilters adviseren deskundigen organisaties om gelaagde e-mailbeveiliging in te zetten. Multimodale AI kan helpen bij het identificeren, decoderen en inspecteren van QR-codes zonder dat de ingebedde inhoud eerst hoeft te worden geëxtraheerd.
De technieken benadrukken de noodzaak van waakzaamheid bij het scannen van QR-codes, ook als deze afkomstig lijken van vertrouwde bronnen.
Meer informatie over het onderzoek en resultaten is hier te vinden.
Meer over Barracuda
Over Wouter Hoeffnagel
