Momenteel circuleert er een e-mail die zogenaamd uit naam van DigiD is verstuurd. In het nepbericht staat dat de persoonsgegevens van de ontvanger onvolledig zijn. Met behulp van een QR-code kunnen ze deze aanvullen. Echter, de QR-code wijst mensen door naar een phishingpagina.
“Uit ons dataregister is gebleken dat de persoonsgegevens gekoppeld aan dit e-mailadres onvolledig zijn ingediend”, zo staat er bovenaan de mail. “Het is essentieel voor instanties en gemeenten om uw volledige gegevens bij ons op te kunnen vragen indien nodig. Wij verzoeken u daarom zo spoedig mogelijk uw contactgegevens bij te werken.” Vervolgens krijgen de ontvangers de opdracht om een QR-code te scannen. Deze verwijst hen door naar de juiste pagina om hun gegevens bij te werken.
Phishing via QR code
In werkelijkheid gaat het om een phishing scam. Dat is een methode waarbij hackers en cybercriminelen proberen om zoveel mogelijk persoonsgegevens te bemachtigen. Cybercriminelen doen alsof ze een betrouwbare persoon of instantie zijn, in de hoop dat nietsvermoedende slachtoffers daar in trappen en hun privé- of inloggegevens achterlaten. De financiële schade hierdoor is groot. Phishing, spoofing en vriend-in-noodfraude veroorzaken jaarlijks voor zo’n 2,75 miljard euro aan schade, zo blijkt uit recent onderzoek van de Universiteit Twente.
Het bericht is niet afkomstig van DigiD. Daarvoor zijn verschillende aanwijzingen. Om te beginnen staan er de nodige spel- en schrijffouten in het bericht. Van een overheidsdienst mag je verwachten dat deze foutloos en in correct Nederlands is geschreven.
Maar het allerbelangrijkste: DigiD verstuurt nooit uit eigen beweging e-mails of sms-berichten naar burgers. DigiD is namelijk een authenticatiedienst van de Rijksoverheid. Daarmee kun je bijvoorbeeld inloggen bij de Belastingdienst om je inkomstenbelasting of omzetbelasting op te geven.
QR code risico's
En een QR-code is helemaal 'not done': omdat je niet direct kunt zien naar welke pagina je wordt doorgestuurd, is het een oplichtingsmethode die geliefd is onder cybercriminelen. Is iedere QR-code dan verdacht? Uiteraard niet, maar je dient rekening te houden met de situatie. Op het terras, in een tijdschrift of op de verpakking van eten of drinken zie je regelmatig een QR-code. Je hoeft niet bang te zijn dat daarmee is geknoeid. In e-mails is het een ander verhaal. De afzender kan een URL in de QR-code van een betrouwbare pagina vervangen door een malafide pagina. Als argeloze lezer heb je dat wellicht niet in de gaten.