Een smartphone toont een QR-code op het scherm
Nieuws24 juni · 18:364 min leestijd

Oplichters bellen KNAB-klanten en vragen een QR-code te scannen

Criminelen bellen KNAB-klanten met een vervalst banknummer, claimen verdachte inlogpogingen en vragen om een QR-code te scannen. Die scan geeft toegang tot je rekening. KNAB waarschuwt zelf. Zo herken je de truc en bescherm je je bedrijf.

Je telefoon gaat, en op het scherm staat het echte nummer van je bank. Aan de lijn een 'medewerker' van KNAB die meldt dat er verdachte inlogpogingen op je rekening zijn. Om het te verifiëren moet je even een QR-code scannen. Doe dat niet. KNAB waarschuwt zelf voor een actieve oplichtingscampagne waarin criminelen precies dit doen, en de timing maakt het extra relevant: KNAB is dé bank van honderdduizenden zzp'ers en ondernemers.

Hoe de oplichting werkt

De fraudeurs gebruiken telefoonspoofing: ze vervalsen het nummer dat jij in beeld krijgt, zodat het lijkt alsof KNAB echt belt. Ze zeggen verdachte inlogpogingen te zien, sturen je naar een opgegeven website en vragen je daar een QR-code te scannen, zogenaamd ter verificatie. Dat scannen geeft de oplichters juist toegang tot je apparaat of je bankrekening. De Fraudehelpdesk waarschuwt dat de criminelen soms al persoonlijke gegevens over je hebben, waardoor hun verhaal extra geloofwaardig klinkt. Die gegevens komen vaak uit eerdere datalekken.

Waarom een QR-code, en waarom nu

QR-codes zijn de nieuwe troef in phishing, soms 'quishing' genoemd. Een QR-code verbergt de bestemming: je ziet geen verdachte link, alleen een blokje dat je gedachteloos scant. Wat erachter zit, kan een nepbetaalpagina zijn, een sessie-overname of een koppelverzoek dat de fraudeur toegang tot je rekening geeft. KNAB is van oudsher de bank van veel zzp'ers en ondernemers, en juist zakelijke rekeningen zijn een aantrekkelijk doelwit: hogere saldi, meer en grotere transacties, en een ondernemer die onder tijdsdruk sneller meewerkt.

Wat KNAB zelf zegt

Op de eigen site is KNAB ondubbelzinnig. De bank waarschuwt dat oplichters zich voordoen als KNAB en je vragen QR-codes te scannen, en dat je alleen via de KNAB App of de officiële site moet inloggen. Ze benadrukt dat ze hier nooit zelf telefonisch contact over opneemt, en dat ze in e-mail of sms nooit vraagt om persoonlijke gegevens, cardreader-, pin- of QR-codes. Met andere woorden: elk telefoontje of bericht dat je vraagt iets te scannen of in te loggen, is per definitie vals.

Wat je nu kunt doen

De verdediging is simpel, maar vraagt discipline. Word je 'door je bank' gebeld? Hang op, zoek zelf het nummer op via de officiële app of website, en bel terug om te controleren of de bank je echt belde. Scan nooit een QR-code op verzoek van een beller, en log nooit in via een link of site die iemand je telefonisch doorgeeft. Onthoud dat een kloppend banknummer in je scherm niets bewijst: spoofing maakt dat triviaal te vervalsen. En train de medewerkers met financiële toegang hier expliciet op, want één klik onder druk volstaat.

De kern is dat je je niet blindstaart op het herkennen van een nepbericht. Phishing herken je steeds minder aan de tekst, en je verdediging begint bij je proces, niet je software: een vaste werkafspraak als 'mijn bank vraagt nooit om een QR-code' is sterker dan welk onderbuikgevoel ook. Combineer dat met de basis op orde, van back-ups tot toegangsbeheer, zoals in deze vijf beveiligingslagen die je zelf kunt nalopen. De truc past in een bredere golf, van WhatsApp-phishing met nep-bedrijfsdocumenten die een pc volledig overneemt tot deze bankhelpdesktruc met een QR-code.

Oplichting werkt niet omdat slachtoffers dom zijn, maar omdat ze geraakt worden op een moment van haast, autoriteit en angst. De beste bescherming is geen tool maar een afspraak die je vooraf maakt en kent: je bank vraagt nooit om een QR-code, dus elk verzoek daartoe is je signaal om op te hangen. Wie dat reflexmatig doet, is de oplichter altijd een stap voor.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Beveiliging die meedenkt

Ik help je processen en systemen zo inrichten dat fraude minder kans krijgt, van duidelijke werkafspraken tot self-hosted koppelingen en automatisering die verdachte signalen vroeg opvangt. End-to-end, van meedenken tot realisatie.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Verken verder

In dit artikel

Hoofdonderwerpen

Kort genoemd

Concepten

PhishingSocial engineeringQuishingOplichtingscampagneSpoofingTelefoonspoofing

Gerelateerde artikelen

Kifid: Rabobank hoeft phishingschade van bijna 4.000 euro niet te vergoeden
Nieuws
6 min

1 jul 04:07

Kifid: Rabobank hoeft phishingschade van bijna 4.000 euro niet te vergoeden

Een klant die via Marktplaats-phishing een toestel van de oplichter aan haar rekening koppelde, krijgt haar schade niet terug. Kifid noemt het grove nalatigheid. Voor ondernemers ligt de lat vaak nog lager.

Betalingsfraude springt 30% omhoog: 198 miljoen euro schade in 2025
Nieuws
5 min

30 jun 12:19

Betalingsfraude springt 30% omhoog: 198 miljoen euro schade in 2025

De Nederlandsche Bank meldt 658.000 frauduleuze transacties in 2025, 30% meer dan een jaar eerder, met 198 miljoen euro schade. De grootste groei zit bij overschrijvingen, juist waar bedrijven kwetsbaar zijn.

AP telt 39.407 datalekmeldingen, account takeovers bijna verdrievoudigd
Nieuws
4 min

8 jul 18:10

AP telt 39.407 datalekmeldingen, account takeovers bijna verdrievoudigd

De privacytoezichthouder kreeg in 2025 ruim 39.000 datalekmeldingen en waarschuwt voor een sterke stijging van account takeovers via phishing. AI maakt die aanvallen makkelijker, precies waar de meldplicht en je beveiliging nu op de proef worden gesteld.

Aanvallers misbruiken kritiek lek in Gitea's Docker-image via één HTTP-header
Nieuws
4 min

10 jul 22:38

Aanvallers misbruiken kritiek lek in Gitea's Docker-image via één HTTP-header

Aanvallers misbruiken een kritiek lek in de officiële Docker-image van Gitea: met één HTTP-header doen ze zich voor als elke gebruiker, tot en met de beheerder. Wie zijn eigen Git-server self-host, moet nu updaten.

Self-hosted is geen garantie voor veilig, het is een verantwoordelijkheid
Inzicht
6 min

10 jul 21:01

Self-hosted is geen garantie voor veilig, het is een verantwoordelijkheid

Nextcloud, het soevereine Microsoft 365-alternatief, lekte 367.000 records via een open database. Niet de software faalde, maar de configuratie eromheen. Zelf hosten verschuift de verantwoordelijkheid naar jou.

Progress roept ShareFile-klanten op om on-prem servers direct uit te zetten
Nieuws
4 min

10 jul 20:11

Progress roept ShareFile-klanten op om on-prem servers direct uit te zetten

Progress vraagt klanten met een zelf-gehoste ShareFile-server om die vanwege een geloofwaardige dreiging onmiddellijk uit te zetten. Er is geen patch, alleen de stekker eruit. Wat een Nederlandse beheerder nu afweegt, met de MOVEit-parallel op de achtergrond.