Je telefoon gaat, en op het scherm staat het echte nummer van je bank. Aan de lijn een 'medewerker' van KNAB die meldt dat er verdachte inlogpogingen op je rekening zijn. Om het te verifiëren moet je even een QR-code scannen. Doe dat niet. KNAB waarschuwt zelf voor een actieve oplichtingscampagne waarin criminelen precies dit doen, en de timing maakt het extra relevant: KNAB is dé bank van honderdduizenden zzp'ers en ondernemers.
Hoe de oplichting werkt
De fraudeurs gebruiken telefoonspoofing: ze vervalsen het nummer dat jij in beeld krijgt, zodat het lijkt alsof KNAB echt belt. Ze zeggen verdachte inlogpogingen te zien, sturen je naar een opgegeven website en vragen je daar een QR-code te scannen, zogenaamd ter verificatie. Dat scannen geeft de oplichters juist toegang tot je apparaat of je bankrekening. De Fraudehelpdesk waarschuwt dat de criminelen soms al persoonlijke gegevens over je hebben, waardoor hun verhaal extra geloofwaardig klinkt. Die gegevens komen vaak uit eerdere datalekken.
Waarom een QR-code, en waarom nu
QR-codes zijn de nieuwe troef in phishing, soms 'quishing' genoemd. Een QR-code verbergt de bestemming: je ziet geen verdachte link, alleen een blokje dat je gedachteloos scant. Wat erachter zit, kan een nepbetaalpagina zijn, een sessie-overname of een koppelverzoek dat de fraudeur toegang tot je rekening geeft. KNAB is van oudsher de bank van veel zzp'ers en ondernemers, en juist zakelijke rekeningen zijn een aantrekkelijk doelwit: hogere saldi, meer en grotere transacties, en een ondernemer die onder tijdsdruk sneller meewerkt.
Wat KNAB zelf zegt
Op de eigen site is KNAB ondubbelzinnig. De bank waarschuwt dat oplichters zich voordoen als KNAB en je vragen QR-codes te scannen, en dat je alleen via de KNAB App of de officiële site moet inloggen. Ze benadrukt dat ze hier nooit zelf telefonisch contact over opneemt, en dat ze in e-mail of sms nooit vraagt om persoonlijke gegevens, cardreader-, pin- of QR-codes. Met andere woorden: elk telefoontje of bericht dat je vraagt iets te scannen of in te loggen, is per definitie vals.
Wat je nu kunt doen
De verdediging is simpel, maar vraagt discipline. Word je 'door je bank' gebeld? Hang op, zoek zelf het nummer op via de officiële app of website, en bel terug om te controleren of de bank je echt belde. Scan nooit een QR-code op verzoek van een beller, en log nooit in via een link of site die iemand je telefonisch doorgeeft. Onthoud dat een kloppend banknummer in je scherm niets bewijst: spoofing maakt dat triviaal te vervalsen. En train de medewerkers met financiële toegang hier expliciet op, want één klik onder druk volstaat.
De kern is dat je je niet blindstaart op het herkennen van een nepbericht. Phishing herken je steeds minder aan de tekst, en je verdediging begint bij je proces, niet je software: een vaste werkafspraak als 'mijn bank vraagt nooit om een QR-code' is sterker dan welk onderbuikgevoel ook. Combineer dat met de basis op orde, van back-ups tot toegangsbeheer, zoals in deze vijf beveiligingslagen die je zelf kunt nalopen. De truc past in een bredere golf, van WhatsApp-phishing met nep-bedrijfsdocumenten die een pc volledig overneemt tot deze bankhelpdesktruc met een QR-code.
Oplichting werkt niet omdat slachtoffers dom zijn, maar omdat ze geraakt worden op een moment van haast, autoriteit en angst. De beste bescherming is geen tool maar een afspraak die je vooraf maakt en kent: je bank vraagt nooit om een QR-code, dus elk verzoek daartoe is je signaal om op te hangen. Wie dat reflexmatig doet, is de oplichter altijd een stap voor.
Veelgestelde vragen
Beveiliging die meedenkt
Ik help je processen en systemen zo inrichten dat fraude minder kans krijgt, van duidelijke werkafspraken tot self-hosted koppelingen en automatisering die verdachte signalen vroeg opvangt. End-to-end, van meedenken tot realisatie.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
