Blog

Jouw medewerkers beschermen tegen Quishing

Een medewerker gebruikt zijn smartphone voor het scannen van een QR-code en gebruikt wat hij heeft geleerd om een quishing-aanval te voorkomen.

Gemakkelijk, maar niet zonder risico

QR-codes zijn niet meer weg te denken uit ons dagelijks leven. Snel bestellen en betalen in de horeca, digitaal boarden op het vliegveld, het invullen van een enquête en het inchecken bij evenementen. QR-codes maken het leven gemakkelijker. Maar met deze groeiende populariteit komt er ook een groter risico, vooral voor ondernemers. In deze blog gaan we dieper in op het toenemende gebruik van QR-codes, de risico’s en hoe Behaav bedrijven ondersteunt bij het opleiden van hun mensen om zich te wapenen tegen QR-code phishing. In de volksmond ook wel Quishing genoemd.

Het toenemende gebruik van QR-codes

In een eerdere post op LinkedIn hebben we de enorme groei van QR-codes al uitgelicht. Er is een wereldwijde stijging van 433%. Dit is aangewakkerd door factoren zoals contactloze betalingen en gezondheidsmaatregelen tijdens de COVID-19 pandemie. Ondernemingen omarmen QR-codes als een handige en snelle manier om klanten te bedienen. Echter heeft deze wereldwijde adoptie ook de deur geopend voor cybercriminelen om te profiteren van de onschuldige gebruiker.

 

De kwetsbaarheden en risico's

Naast dat het gebruik van QR-codes ons voordelen brengt, is het ook een toenemende dreiging. Cybercriminelen zetten quishing in om gebruikers naar valse websites te leiden, die zijn ontworpen om persoonlijke informatie te stelen zoals inloggegevens, creditcardinformatie of om schadelijke software (malware) te verspreiden. Dit kan leiden tot het hacken van apparaten en stelen van informatie.

Een persoon scant een QR-code in een winkel, waarbij quishing-aanvallen een potentieel gevaar vormen.

Kennis en bewustwording 

Bij het opleiden van mensen en reduceren van risicovol gedrag is het belangrijk om een mix van instrumenten in te zetten. De praktijk leert dat het aanbieden van kennis op verschillende manieren bijdraagt aan adoptie van gewenst gedrag. Behaav ondersteunt bedrijven met op maat gemaakte security awareness programma’s bij weerbaarheid tegen cyberaanvallen. Onderstaand praktisch stappenplan, dat onderdeel is van ons security awareness programma, heeft als doel een verhoogde weerbaarheid tegen quishing te creëren.

  1. Informeren
    Begin met het delen van informatie over wat quishing is, hoe het werkt en waarom het bepaalde risico’s met zich meebrengt. Het is van belang dat medewerkers begrijpen welke risico’s er verbonden zijn aan het onzorgvuldig scannen van QR-codes, zodat ze begrijpen wat de mogelijke impact is op zowel hun werk als privésituatie.

  2. Opleiden
    Investeer in het begrijpen waar risico’s zich in de organisatie bevinden en waarom ze bestaan. Hiermee ben je in staat om training aan te bieden op basis van kennis en behoeften van de medewerker. Maak een trainingsmix van e-learning, one-pagers, videomodules, duidelijke visualisaties en simulaties.

    Poster met tips om quishing te voorkomen, zoals alleen QR-codes scannen afkomstig van betrouwbare bronnen en het controleren van de gekoppelde URL.

  3. Bewustwording
    Creëer bewustwording rondom de potentiële risico’s en gevaren van QR-codes. Voorbeelden helpen om de ernst van de dreiging te benadrukken. Denk hierbij ook aan de positieve voorbeelden, bijvoorbeeld wat heeft het tijdig herkennen van een Quishing aanval de organisatie aan mogelijke impact bespaard.

  4. Hulp bij herkennen 
    Stel tools en richtlijnen beschikbaar die medewerkers ondersteunen bij het herkennen van verdachte QR-codes. Geef als een van de belangrijkste tips mee terughoudend te zijn bij het scannen van codes van onbekende bronnen. Een eenvoudige tip is het aandachtig bestuderen van de link die erachter schuil gaat.

  5. Simuleren
    Organiseer quishing-simulaties. Het nabootsen van realistische scenario’s zorgt voor bewustzijn. Dit stelt medewerkers in staat om in een gecontroleerde omgeving te oefenen met het identificeren en vermijden van potentieel schadelijke QR-codes.

  6. Tijdig updaten van systemen
    Benadruk het belang van regelmatige updates van device en systemen in het algemeen. Nieuwere versies bevatten vaak verbeterde beveiligingsfuncties.

  7. Rapporteren van incidenten
    Moedig medewerkers aan om verdachte QR-codes te melden aan de IT-afdeling of zoals beschreven in het beleid van je organisatie. Een snelle reactie kan verdere schade voorkomen en in ieder geval de impact beperken.

  8. Trainingssessies en workshops
    Organiseer periodieke trainingssessies en workshops waarin medewerkers hun kennis en vaardigheden op het gebied van QR-code beveiliging kunnen blijven aanscherpen.

    Workshop over quishing aan studenten in een universiteitscollegezaal.


  9. Regelmatig herhalen van de boodschap

Herhaling is de sleutel tot het behoud van bewustzijn en beïnvloeding van gedrag. Houd de boodschap levendig door regelmatig te communiceren over de gevaren van quishing en hoe deze te vermijden.

Conclusie

Door de enorme toename van QR-codes is het belangrijk dat bedrijven proactief handelen om zichzelf en hun medewerkers te beschermen tegen Quishing. Behaav biedt een pragmatische aanpak door middel van informeren, opleiden en simuleren. Gebruikers zijn hierdoor beter voorbereid op het herkennen en juist handelen bij QR-code phishing. Alleen door gezamenlijke inspanningen kunnen we de weerbaarheid tegen cyberaanvallen vergroten.

Afspraak plannen

Bescherm jouw organisatie met onze workshop Quishing

Foto van Shanice Nicolaas, Program Manager bij Behaav.
Cybercriminelen manipuleren QR-codes en leiden je naar valse websites om bijvoorbeeld malware te verspreiden. En dat via één scan. Hoe voorkom je dat?