Quishing groeit hard omdat de QR-scan de mailfilter omzeilt. Een gebruiker scant met de prive-telefoon, opent de link in mobiele Safari of Chrome, en zit buiten de bereiklaag van Microsoft Defender for Office 365. De aanvaller wint twee dingen: een onbeschermd kanaal en een schermpje waarop de echte URL nauwelijks leesbaar is.

Waar de stickers opduiken

Parkeerautomaten in Amsterdam, Rotterdam en Utrecht zijn populair doelwit. De aanvaller print een sticker met een QR-code en plakt die over de officiele code op het apparaat. De betaling lijkt te lukken, maar in werkelijkheid voert het slachtoffer iDEAL-gegevens in op een nepdomein. Hetzelfde patroon ziet u op restaurant-menukaarten, bezorgkluisjes en zelfs op interne bedrijfsposters in de receptie.

Een QR-link checken voor u tikt

Moderne camera-apps tonen de URL in een preview. Leer medewerkers die preview lezen voordat ze tikken. Drie controles: matcht het domein met wat u verwacht, staat er HTTPS, en is er geen URL-shortener (bit.ly, t.co) tussengezet. Voor verdachte codes gebruikt u een online checker zoals MXToolbox of urlscan.io op een desktop, niet op het toestel zelf.

Mobiele MFA wordt het nieuwe doelwit

Quishing-campagnes mikken specifiek op mobiel omdat daar de Microsoft Authenticator-push leeft. Een AiTM-proxy achter de QR-link kan de sessiecookie stelen en een push-prompt forceren. Wie nog op SMS- of push-MFA leunt, verliest het account binnen seconden. Phishing-resistant MFA via FIDO2 of Passkeys breekt dit patroon.

Wat u technisch en organisatorisch regelt

Schakel in Defender for Office 365 de Safe Links-policy in voor mobiele clients en activeer impersonation protection op uw eigen domein. Laat de facilitaire dienst wekelijks fysiek controleren of QR-codes op posters en automaten nog origineel zijn. Train medewerkers via PhishWise met een QR-scenario waarin een nep-bedrijfsposter wordt gesimuleerd. Meet hoe vaak gebruikers de URL-preview daadwerkelijk lezen.

Incidentrespons na een quishing-tik

Een gebruiker die toch heeft ingelogd via een QR-link moet binnen vijftien minuten worden uitgelogd op alle sessies. Revoke alle refresh tokens in Microsoft Entra, reset het wachtwoord en controleer mailbox-rules op auto-forward. Aanvallers zetten vaak direct een doorstuurregel naar een externe inbox om verdere correspondentie te onderscheppen.

Verwant: Freelance cybersecurity consultant, Freelance Microsoft 365 consultant.