Wat is Quishing? QR-code phishing uitgelegd — De ultieme gids 2026
Quishing is QR-code phishing — in 2026 de snelst groeiende phishingvariant in Europa. Hoe de oplichting werkt, hoe je het herkent en hoe je je beschermt. Met actuele BSI- en politiegegevens, 18 gedocumenteerde cases uit Duitsland en een uitgebreide FAQ.
Quishing in het kort (TL;DR)
Quishing (QR-code phishing) is een oplichtingstruc waarbij criminelen kwaadaardige QR-codes gebruiken om inloggegevens, TAN's, betaalgegevens of geld te stelen. In 2026 stegen de gevallen wereldwijd met meer dan 600 % — vooral bij parkeerautomaten, EV-laadpalen, valse bankbrieven, DHL-stickers op brievenbussen en briefjes onder ruitenwissers. Beste bescherming: scan QR-codes alleen met URL-voorbeeld of gebruik een checker zoals QRTrust die de link controleert tegen phishingdatabases voordat de pagina opent.
Wat is Quishing?
Quishing (samentrekking van „QR-code” en „phishing”) is een vorm van phishing waarbij criminelen kwaadaardige QR-codes als aanvalsvector gebruiken. Waar klassieke phishing e-mail of nep-websites gebruikt, vervoert quishing de schadelijke link in een machine-leesbare QR-code — gedrukt, geplakt of als afbeelding in een e-mail.
De reden waarom quishing in 2026 zo gevaarlijk is: QR-codes zijn niet leesbaar voor mensen. Niemand ziet aan de zwart-witte matrix waar hij heen leidt — tot de smartphone de URL al heeft geopend. Spamfilters en mailgateways kunnen de code ook niet controleren omdat het een afbeelding is. Aanvallers maken precies van deze dubbele blindheid misbruik.
Definitie: Quishing
Quishing is een phishing-methode waarbij aanvallers gemanipuleerde of kwaadaardige QR-codes gebruiken om slachtoffers naar nep-websites te lokken, persoonlijke gegevens te stelen of malware te verspreiden.
Hoe werkt een Quishing-aanval?
Een typische Quishing-aanval verloopt in meerdere stappen:
- De aanvaller maakt een kwaadaardige QR-code die naar een nep-website leidt (bijv. een kopie van de inlogpagina van uw bank)
- De QR-code wordt verspreid via verschillende kanalen: e-mails, valse parkeertickets, flyers, social media of zelfs over echte QR-codes die worden overgeplakt
- Het slachtoffer scant de QR-code met de smartphone, zonder te herkennen dat deze kwaadaardig is
- Het slachtoffer komt op de nep-website terecht en voert daar gevoelige gegevens in (wachtwoorden, creditcardgegevens, persoonlijke informatie) of downloadt onbewust malware
Echte Quishing-voorbeelden uit Duitsland
Valse parkeertickets
Aanvallers plakken QR-codes op parkeerautomaten die naar valse 'easy park'-pagina's leiden en creditcardgegevens stelen. De overgeplakte codes zijn vaak moeilijk te herkennen.
ADAC Phishing-e-mails
E-mails met ADAC-logo en QR-codes die naar valse ledenpagina's leiden om persoonlijke gegevens en bankgegevens te stelen.
Rheinbahn Deutschlandticket-oplichting
Valse posters in bussen en trams met QR-codes die zogenaamd naar gratis Deutschlandtickets leiden - in werkelijkheid naar gegevensdiefstal.
Valse bankbrieven
Brieven in Commerzbank-design met QR-codes voor zogenaamde photoTAN-activering. Doel: online banking-inloggegevens stelen.
E-laadstation oplichting
Overgeplakte QR-codes bij elektrische laadstations die in plaats van naar de betaalpagina naar phishing-websites leiden.
Valse parkeerboetes
Frauduleuze parkeerboetes met QR-codes die naar valse betaalpagina's leiden.
Hoe herkent u Quishing?
- • Onverwachte QR-codes in e-mails (vooral van banken, Microsoft, Google)
- • QR-codes op parkeerautomaten of openbare plaatsen die er 'overgeplakt' uitzien
- • Dringende oproepen om te scannen ('Uw account wordt geblokkeerd', 'Laatste kans')
- • QR-codes van onbekende afzenders op social media
- • URL's na het scannen die verdacht lijken of niet overeenkomen met het verwachte bedrijf
Hoe beschermt u zich tegen Quishing?
- Gebruik QRTrust: Onze app scant QR-codes en controleert ze real-time tegen onze lokale dreigingsdatabase en AI-modellen voordat u de URL opent.
- Gebruik apps die doel-URL's tonen: Scan alleen QR-codes met apps die het doeladres eerst tonen voordat de pagina wordt geopend. Zo kunt u verdachte links herkennen.
- Let goed op leestekens in URL's: Belangrijk: 'voorbeeld.nl/123' is legitiem, maar 'voorbeeld.nl-123.com' leidt naar een totaal andere, mogelijk frauduleuze website!
- Negeer overgeplakte QR-codes: QR-codes op parkeerautomaten, laadstations of openbare plaatsen die er overgeplakt uitzien, mogen nooit worden gescand.
- Controleer brieven en e-mails kritisch: Bij verdachte brieven (bijv. van uw bank): Neem contact op met de instelling via een zelf opgezocht telefoonnummer, niet via gegevens in de brief.
- Bij fraude: Direct handelen: Neem contact op met de politie, bel uw bank of gebruik de blokkeerhotline 116 116 als u slachtoffer bent geworden.
Quishing in bedrijven
Voor bedrijven is Quishing een bijzonder grote bedreiging. Medewerkers zijn vaak de zwakste schakel in de beveiligingsketen. Een enkele gescande kwaadaardige QR-code kan:
• Bedrijfsgegevens compromitteren • Ransomware in het netwerk brengen • Toegangsgegevens voor kritieke systemen stelen • Nalevingsschendingen veroorzaken (AVG, NIS2)
Conclusie
Quishing is een groeiende bedreiging die QR-codes als aanvalsvector gebruikt. De onzichtbaarheid van het doel maakt QR-codes het perfecte gereedschap voor cybercriminelen.
De beste bescherming is een combinatie van bewustzijn, gezond wantrouwen en technische oplossingen zoals QRTrust die elke QR-code controleren voordat deze wordt geopend.
Bescherm uzelf nu tegen Quishing
QRTrust controleert elke QR-code real-time tegen meerdere dreigingsdatabases en waarschuwt u voor gevaren.
Probeer QRTrust gratisBronnen
Dit artikel is gedeeltelijk gebaseerd op informatie van Verbraucherzentrale NRW:
Quishing: Valse QR-codes in e-mails, brieven, openbaar vervoer en wegverkeer →Quishing-statistieken 2026 — Duitsland in het vizier
Quishing is in 2026 de snelst groeiende phishingvariant. Actuele cijfers uit het BSI-dreigingsrapport, politiestatistieken en branche-rapporten (per Q1 2026):
meer quishingpogingen wereldwijd (Q1 2026 vs. Q1 2025, Keepnet)
gedetecteerde quishingaanvallen in alleen Q1 2026 (FBI/branche)
van alle phishingpayloads bevat in 2026 een QR-code (2021: 0,8 %)
gemiddelde schade per quishing-incident in bedrijven (Keepnet 2026)
van de smartphonegebruikers scant QR-codes zonder URL-controle
gedocumenteerde quishinggolven in Duitse steden sinds medio 2025
Quishing vs. phishing, smishing & vishing — het verschil
De phishingfamilie kent vier hoofdvarianten. Ze verschillen alleen in kanaal — het doel is altijd hetzelfde: data of geld stelen.
| Variant | Kanaal | Typisch voorbeeld 2026 | Hoe moeilijk te herkennen? |
|---|---|---|---|
| Phishing | Valse bankmail met inloglink | Gemiddeld — spamfilters helpen | |
| Smishing | SMS / messenger | DHL-SMS met tracklink | Hoog — nauwelijks filters op de telefoon |
| Vishing | Telefoon / VoIP | Oproep van „Microsoft-support” | Hoog — geen technisch filter |
| Quishing | QR-code (print/digitaal) | Sticker op een parkeerautomaat of bankbrief | Zeer hoog — URL is onzichtbaar |
Quishinggolven in Duitsland: echte cases 2025–2026
Quishing is geen theoretisch risico. Dit zijn cases die we hebben gedocumenteerd — elk item is een volledig rapport met bronnen, politie/BSI-verwijzingen en beschermingstips:
Berlijn: Tagesschau/rbb-golf (mei 2026)
Quishingstickers op parkeerautomaten en EV-laadpalen in heel Berlijn — honderden gedupeerden.
Polen: ruitenwisserbriefjes met QR-code (april 2026)
Valse KAS-„boetes” op autoruiten — cold-channel quishing uit het buurland.
Schwabenheim: quishing op EV-laadpaal (maart 2026)
Stickers over de originele QR-codes stuurden EV-rijders naar valse betaalpagina's.
Tauberbischofsheim: valse bankbrieven (maart 2026)
VR Bank, ING-DiBa, ApoBank: politie Heilbronn waarschuwt voor quishing per post.
DKB-scambrieven met QR-code (februari 2026)
Overtuigend echte DKB-brieven eisen „TAN-activering” via QR-code.
WhatsApp Ghost Pairing (januari 2026)
BSI-waarschuwing: QR-koppeling in WhatsApp Web wordt misbruikt voor account-overname.
DHL-quishing op brievenbussen (december 2025)
Stickerlabels op brievenbussen imiteren pakketmeldingen en stelen adres- en betaalgegevens.
DEW21-laadpalen Dortmund (december 2025)
Quishingstickers op laadpalen van het Dortmundse nutsbedrijf DEW21 — wij waarschuwden als eersten.
Dortmundse quishinggolf (november 2025)
Parkeerautomaten en EV-laadpalen door de hele stad — gecoördineerde golf.
Deutsche Bank QR-codewaarschuwing (oktober 2025)
Deutsche Bank waarschuwt actief voor brief-quishing met vermeende TAN-update.
Veelgestelde vragen over quishing (FAQ)
Wat betekent quishing?+
Quishing is een samentrekking van „QR-code” en „phishing”. Het beschrijft phishingaanvallen waarbij criminelen kwaadaardige QR-codes gebruiken om slachtoffers naar nepwebsites te lokken, inloggegevens of TAN's te stelen of malware te verspreiden.
Hoe gevaarlijk is quishing in 2026?+
Zeer gevaarlijk. In Q1 2026 stegen quishingpogingen wereldwijd met meer dan 600 %. Politie en BSI documenteerden tientallen golven in Duitsland — van Berlijn via Dortmund tot Tauberbischofsheim. In bedrijven ligt de gemiddelde schade per incident boven één miljoen euro.
Hoe herken ik een quishingaanval?+
Typische signalen: een QR-code waar er eerst geen was (overgeplakt); een onverwachte brief met QR-code van een bank, overheid of verzekeraar; tijdsdruk („onmiddellijk handelen”) na het scannen; en URL's die niet bij de verwachte aanbieder passen (typodomeinen, vreemde TLD's, kaal IP-adres).
Wat is het verschil tussen phishing en quishing?+
Phishing gebruikt klassieke kanalen zoals e-mail of nepwebsites. Quishing vervoert de phishinglink in een QR-code. Belangrijk verschil: spamfilters en mailgateways kunnen de code niet controleren (het is een afbeelding) en mensen kunnen de bestemming-URL ook niet zien voor het scannen.
Zijn QR-codes onveilig op zich?+
Nee. QR-codes zelf zijn een veilige technologie. Onveilig wordt het pas als niemand de URL controleert voordat de pagina opent. Met een checker als QRTrust die de link controleert tegen actuele phishingdatabases (PhishTank, Google Safe Browsing) en AI-modellen, zijn QR-codes weer veilig te gebruiken.
Hoe bescherm ik mezelf precies tegen quishing?+
Zes maatregelen: 1) Gebruik een scanner-app met URL-voorbeeld — nooit automatisch openen. 2) Let op typodomeinen (bv. „spark-asse.de” in plaats van „sparkasse.de”). 3) Negeer QR-codes van banken of overheden — die communiceren via andere kanalen. 4) Scan nooit overgeplakte QR-codes. 5) Bel bij briefquishing de instelling via een officieel opgezocht nummer. 6) Gebruik een gespecialiseerde app zoals QRTrust.
Ik heb een verdachte QR-code gescand — wat nu?+
Geen paniek. Zolang je geen gegevens hebt ingevoerd is het risico klein. Heb je dat wel: wijzig direct getroffen wachtwoorden, blokkeer online bankieren via de blokkeerlijn 116 116 (DE), bel je bank via het officiële nummer en doe aangifte bij de politie. Documenteer het incident met screenshots.
Waar meld ik quishingaanvallen?+
In Duitsland: bij de Verbraucherzentrale, de politie (online-aangifteloket van de deelstaat), het BSI (via het BSI-meldpunt of de Allianz für Cybersicherheit) en bij bank-quishing direct bij de getroffen bank (bv. phishing@deutsche-bank.de). QRTrust neemt meldingen ook aan en voegt ze toe aan onze dreigingsdatabase.
Bestaat er quishingbescherming voor bedrijven?+
Ja. Een bedrijf zou drie lagen moeten combineren: 1) Awareness-training (quishing/phishing-simulaties). 2) Technische QR-codecontrole — bijv. QRTrust Enterprise op zakelijke smartphones en in mailgateways. 3) Een meldsjabloon voor NIS-2-conforme incidentmeldingen aan het BSI. Wij bieden een geïntegreerd pakket voor overheden en KRITIS-exploitanten.
Welke QR-codes worden in 2026 het vaakst vervalst?+
Top-lokmiddelen in Duitsland: 1) Parkeerautomaten („Easy Park”-klonen). 2) EV-laadpalen (betaalpagina's). 3) Bankbrieven (TAN/photoTAN-updates). 4) DHL- en pakketstickers. 5) Valse boetes op autoruiten. 6) Restaurantmenu's. 7) WhatsApp Web-koppeling (Ghost Pairing).
Is quishing strafbaar?+
Ja. In Duitsland is quishing strafbaar onder §263 StGB (oplichting), §202a StGB (afluisteren van gegevens) en §263a StGB (computerfraude) — afhankelijk van het feit met gevangenisstraf tot vijf jaar. Voor het in omloop brengen van valse QR-codes gelden bovendien §269 StGB en §202c StGB.
Wat doet QRTrust tegen quishing?+
QRTrust scant elke QR-code en controleert de bestemming-URL real-time tegen PhishTank (1 mln+ phishing-URL's), Google Safe Browsing, onze eigen AI-classifier en een URL-redirect-resolver. Verdachte sites worden geblokkeerd voordat ze openen. De app is AVG-conform, draait op EU-servers en is gratis voor privégebruik.