Microsoft waarschuwt dat QR-codephishing de snelst groeiende vorm van phishing is. Deze aanpak treft vooral medewerkers die met hun smartphone werken, ook in Nederland en Europa. De tactiek omzeilt klassieke mailfilters en leidt naar valse inlogpagina’s. De Europese AI-verordening heeft gevolgen voor overheid en bedrijven die beveiliging met algoritmen inzetten, maar organisaties moeten nu vooral hun mobiele keten beveiligen.
Microsoft ziet sterke versnelling
Beveiligingsonderzoekers van Microsoft signaleren een sterke toename van phishing via QR-codes in zakelijke e-mail. Aanvallers sturen een afbeelding met een code die slachtoffergebruikers met de telefoon scannen. Zo openen zij ongemerkt een kwaadaardige website buiten de bedrijfsbeveiliging om. Criminelen richten zich vaak op Microsoft 365-omgevingen, omdat één gestolen wachtwoord al veel deuren opent.
De verleiding werkt simpel: een QR-code wekt vertrouwen en lijkt handig. De link achter de code verwijst vaak naar een nagemaakte inlogpagina van Outlook of OneDrive. Soms zit er nog een stap tussen, zoals een CAPTCHA, om beveiligingsrobots te ontwijken. Daardoor is de aanval lastig te herkennen en te blokkeren.
Microsoft ziet ook meer misbruik van eerder gehackte accounts. Zo komen de nepmails van een echt adres binnen dezelfde sector. Die sociale bewijskracht vergroot de kans dat iemand scant en inlogt. Het resultaat is dat de aanvaller nieuwe accounts kan kapen en lateraal verder kan gaan.
“QR-codephishing is op het moment van schrijven de snelst groeiende phishingmethode in bedrijfsomgevingen,” stelt Microsoft.
Beveiliging op mobiel schiet tekort
QR-codes verplaatsen het risico van de bedrijfscomputer naar de privé- of werktelefoon. Veel organisaties hebben e-mailfilters en linkscans op pc’s goed ingericht. Maar zodra een medewerker met de telefoon scant, valt die bescherming vaak weg. Zeker bij BYOD, waar privétoestellen minder strikt beheerd worden.
Op mobiele browsers zien gebruikers minder duidelijk de volledige URL. Dat maakt het lastiger om een valse domeinnaam te herkennen. Ook waarschuwt de telefoon niet altijd voor verdachte omleidingen. Aanvallers maken hier misbruik van met korte links of lookalike-domeinen die op Microsoft lijken.
Daarnaast ontstaan gaten in de keten van aanmelding tot toegang. Zonder device compliance en voorwaardelijke toegang kan een aanvaller met gestolen inloggegevens toch bij Microsoft 365 of SharePoint komen. Wie alleen sms-MFA gebruikt, loopt extra risico door prompt-bombing of omleiding via nepportalen.
AVG en NIS2 dwingen actie
Een succesvolle QR-codephishingaanval kan leiden tot datalekken met persoonsgegevens. Onder de AVG geldt dan een meldplicht aan de Autoriteit Persoonsgegevens binnen 72 uur. Organisaties moeten ook slachtoffers informeren als het risico hoog is. Dit geldt nadrukkelijk voor zorg, onderwijs en overheid, waar veel gevoelige data staan.
De Europese NIS2-richtlijn verplicht essentiële en belangrijke entiteiten tot strengere cybersecurity. Daaronder vallen op het moment van schrijven ook veel Nederlandse publieke en vitale organisaties. Besturen moeten aantoonbaar risico’s beperken met maatregelen zoals MFA, training en incidentrespons. Het ontbreken van mobiele beveiliging en beleid rond QR-codes kan dan niet meer.
De Europese AI-verordening raakt leveranciers van beveiligingstools die algoritmen gebruiken voor dreigingsdetectie. Zij moeten transparanter zijn over werking en beperkingen. Voor overheden betekent dit dat inkoop en verantwoording strakker worden. Het helpt, maar het vervangt niet de basismaatregelen tegen phishing in de dagelijkse praktijk.
AI speelt dubbelrol in phishing
Aanvallers gebruiken generatieve AI om overtuigende Nederlandstalige lokmails te schrijven. Taalfouten verdwijnen en boodschappen lijken persoonlijker, bijvoorbeeld met namen van collega’s of projecten. Dat vergroot de kans dat iemand de QR-code toch scant. Ook afbeeldingen en lay-out worden met AI geloofwaardiger nagemaakt.
Tegelijk rust Microsoft Defender en vergelijkbare suites op AI-modellen die patronen in phishingcampagnes herkennen. Deze systemen leren van eerdere aanvallen en signaleren verdachte afzenders, domeinen of workflows. Toch zien zij niet alles wat op de telefoon gebeurt na het scannen. De menselijke factor en mobiele beleidsmaatregelen blijven dus cruciaal.
Privacy telt daarbij mee. Als organisaties AI-analyses inzetten, moeten ze onder de AVG dataminimalisatie toepassen en persoonsgegevens afschermen. Denk aan het pseudonimiseren van loggegevens en het beperken van bewaartermijnen. Zo voorkom je dat beveiliging zelf nieuwe risico’s introduceert.
Zo verklein je het risico
Begin met bewustwording: leg uit dat QR-codes links verbergen en dat scannen met een privételefoon bedrijfsbeveiliging omzeilt. Train medewerkers om altijd de URL-voorvertoning te checken en geen inlog te doen na het scannen vanuit e-mail. Vraag bij twijfel een alternatief kanaal, zoals een bekende Teams-chat of een helpdesknummer op de bedrijfswebsite. Maak het melden van verdachte mails laagdrempelig in Outlook.
Verstevig de technische basis in Microsoft 365. Schakel phishing‑resistente MFA in, bij voorkeur FIDO2/WebAuthn via Microsoft Entra ID, en gebruik voorwaardelijke toegang met device compliance. Beheer mobiele apparaten met Intune of een andere MDM, ook bij BYOD via app-beheer (MAM). Stel sessiebeperkingen in voor onbekende of niet‑conforme toestellen.
Werk ook aan e-mailhygiëne en respons. Pas DMARC, DKIM en SPF correct toe en controleer leveranciersdomeinen op spoofing. Stel incidentprocedures klaar voor snelle blokkade van accounts, wachtwoordreset en forensisch onderzoek. Documenteer beslissingen voor AVG‑meldingen en NIS2-verantwoording, en betrek NCSC‑richtlijnen en sectorale adviezen van IBD of Z-CERT.
