Geavanceerde phishing met QR-code omzeilt traditionele beveiliging

Opnieuw maakt inzicht het verschil

16 maart 2026

Cybercriminelen blijven hun methodes verfijnen. Recent werd bij een van onze klanten een zeer geavanceerde phishingpoging waargenomen, waarbij meerdere beveiligingslagen bewust werden omzeild. De aanval was geraffineerd opgezet, realistisch uitgevoerd en duidelijk gericht op het misleiden van de eindgebruiker.

Dankzij onze Secure Email-dienst werd de aanval tijdig herkend en geblokkeerd. Deze casus laat opnieuw zien waarom inzicht, context en meerdere beveiligingslagen essentieel zijn voor digitale weerbaarheid.

Hoe deze aanval werkte

Stap 1 - Vertrouwen wekken via herkenbare context

De phishingmail leek afkomstig van de administratieafdeling van de organisatie. Het onderwerp ging over een salarisaanpassing, een onderwerp waarbij gebruikers geneigd zijn snel te handelen en minder kritisch te zijn. De afzendernaam, tone of voice en timing sloten goed aan bij de organisatie. Op het eerste gezicht was er geen reden tot argwaan.

Stap 2 - Misbruik van .eml bestanden

In plaats van een klassieke PDF of link bevatte de e-mail een .eml bijlage. Een .eml bestand is een e-mailbericht in zijn oorspronkelijke vorm. Belangrijk detail: Een .eml bestand kan volledig handmatig worden opgebouwd. Dat betekent dat:

  • Het Van-adres exact kan kloppen;
  • Headers visueel betrouwbaar lijken;
  • De opmaak identiek kan zijn aan interne e-mails. Na het openen van de bijlage kreeg de gebruiker een zeer overtuigende interne e-mail te zien, compleet in huisstijl van het bedrijf.

Originele mail
Originele mail

Stap 3 - Het venijn zit in de QR-code

In deze interne e-mail zat geen klikbare link. In plaats daarvan werd de gebruiker gevraagd een QR-code te scannen om het document te bekijken. Dit is een cruciale stap in deze aanval:

  • De gebruiker pakt zijn telefoon;
  • De beveiliging van de laptop wordt volledig omzeild;
  • Traditionele endpoint bescherming speelt hier nauwelijks nog een rol.

De samengestelde mail met QR-code in de eml-bijlage
De samengestelde mail met QR-code in de eml-bijlage

Stap 4 - Een levensechte Microsoft loginpagina

Na het scannen van de QR-code werd de gebruiker doorgestuurd naar een zeer realistisch nagemaakte Microsoft-loginpagina. Wat deze aanval extra geraffineerd maakt:

  • Het e-mailadres van de gebruiker was al ingevuld;
  • Dit wekt vertrouwen (“Microsoft weet wie ik ben”);
  • De gebruiker hoeft alleen nog een wachtwoord in te voeren. Hiermee zou volledige-mailbox toegang mogelijk zijn geweest.

Fake Microsoft login pagina
Fake Microsoft login pagina

Waarom deze aanval zo gevaarlijk is

Deze phishingpoging combineert meerdere technieken:

  • Social engineering (salaris/ administratie);
  • Technische misleiding (.eml bestanden);
  • QR-code phishing (quishing);
  • Omzeiling van endpoint beveiliging;
  • Realistische identity phishing. Zonder de juiste beveiliging én inzicht is dit type aanval zeer lastig te herkennen voor eindgebruikers.

Hoe HOB dit heeft tegengehouden

Secure Email: eerste verdedigingslinie

Onze Secure Email-dienst herkende deze aanval en blokkeerde de e-mail voordat deze de gebruiker bereikte. Op basis van:

  • Afwijkende e-mailstructuur;
  • Misbruik van bijlagen;
  • Verdachte content opbouw.

Detecties binnen Secure Email-dienst
Detecties binnen Secure Email-dienst

DNS Security: tweede vangnet

Daarnaast geldt dat de achterliggende link achter de QR-code wordt herkend door onze DNS Security-oplossing. Mocht een gebruiker de QR-code tóch scannen en de link openen, dan wordt de verbinding geblokkeerd voordat er credentials kunnen worden ingevoerd.


Blokkering bij openen phishing-site.
Blokkering bij openen phishing-site.

Wat deze casus opnieuw laat zien

Deze aanval benadrukt een belangrijke realiteit: Beveiliging stopt niet bij e-mail of endpoint. Inzicht over meerdere lagen maakt het verschil.

  • Aanvallers verplaatsen zich tussen e-mail, identiteit en mobiele apparaten
  • Eén enkele maatregel is niet voldoende
  • Context en correlatie zijn essentieel

Tot slot

Cybercriminelen blijven innoveren. Door gebruik te maken van QR-codes, realistische e-mailstructuren en identity phishing proberen zij traditionele beveiligingsmaatregelen te omzeilen. Met een combinatie van Secure Email, DNS Security en continu inzicht zorgen wij ervoor dat ook deze nieuwe aanvalstechnieken tijdig worden herkend en gestopt.

HOB ICT Security - oog voor jouw digitale weerbaarheid.

Incident in het kort

  • Phishingmail verstuurd uit naam van de (nep) administratie
  • Onderwerp: salarisaanpassing – een herkenbaar en geloofwaardig thema
  • Bijlage bevatte een .eml bestand (e-mail in e-mail)
  • In de .eml een zeer realistisch nagemaakte interne e-mail
  • Geen link, maar een QR-code als aanvalsvector
  • QR-code leidde naar een nagemaakte Microsoft loginpagina
  • E-mailadres van de gebruiker was al vooraf ingevuld
  • Doel: inloggegevens buitmaken buiten de laptop om
  • Aanval geblokkeerd door HOB Secure Email
  • De achterliggende link wordt bovendien herkend door DNS Security