Die Bedrohungsanalysten von Barracuda haben zwei neue Techniken identifiziert, mit denen Cyberangreifer schädliche QR-Codes im Rahmen von Phishing-Attacken vor Entdeckung schützen. [...]
Die im neuen Barracuda Threat Spotlight im Detail beschriebenen Techniken basieren darauf, einen schädlichen QR-Code in zwei einzelne Bestandteile aufzuteilen, um konventionelle Scan-Systeme zu verwirren, oder den schädlichen QR-Code in einen zweiten, legitimen QR-Code einzubetten oder diesen um den schädlichen Code herum zu platzieren.
Quishing ist eine Form des Phishings, bei der QR-Codes mit schädlichen Links genutzt werden, um potenzielle Opfer, die den Code scannen, auf eine gefälschte Webseite weiterzuleiten und von dort ihre Anmeldedaten oder andere sensible Informationen zu stehlen. Die Bedrohungsanalysten von Barracuda identifizierten diese Aufteilungs- und Verschachtelungstechniken bei Angriffen der führenden Phishing-as-a-Service-Kits (PhaaS) Tycoon und Gabagool.
Aufgeteilte QR-Codes
Angreifer, die Gabagool nutzten, setzten aufgeteilte QR-Codes im Rahmen einer Microsoft-„Passwort Zurücksetzen“-Betrugsmasche ein. Ihr Ansatz bestand darin, den QR-Code in zwei separate Bilder zu teilen und diese dicht nebeneinander in einer Phishing-E-Mail zu platzieren – für das menschliche Auge wirkt das Ergebnis wie ein einziger QR-Code. Wenn jedoch konventionelle E-Mail-Sicherheitslösungen die E-Mail scannen, erkennen sie zwei unterschiedliche, harmlos aussehende Bilder anstelle eines vollständigen QR-Codes. Wenn der E-Mail-Empfänger den Code scannt, wird er auf eine Phishing-Webseite weitergeleitet, die darauf ausgelegt ist, seine Anmeldedaten zu stehlen.
Verschachtelte QR-Codes
Tycoon nutzte eine Verschachtelungstechnik, bei der ein legitimer QR-Code mit einem schädlichen QR-Code umhüllt wird. Der schädliche, außenliegende QR-Code verwies auf eine schädliche URL, während der legitime, innenliegende Code auf Google führte. Diese Technik wurde wahrscheinlich entwickelt, um Scannern die Bedrohungserkennung zu erschweren, da so mehrdeutige Ergebnisse geliefert werden.
„Schädliche QR-Codes sind bei Angreifern beliebt, da sie legitim erscheinen und in der Lage sind, konventionelle Sicherheitsmaßnahmen wie E-Mail-Filter und Link-Scanner zu umgehen“, sagt Saravan Mohankumar, Manager des Threat Analysis Team bei Barracuda. „Da E-Mail-Empfänger oftmals zu einem mobilen Endgerät wechseln müssen, um einen QR-Code zu scannen, sind sie in diesem Moment nicht mehr von den Sicherheitsmaßnahmen des Unternehmens geschützt. Angreifer werden auch in Zukunft immer wieder neue Techniken entwickeln, um Sicherheitsmaßnahmen immer einen Schritt voraus zu sein. In solchen Fällen kann ein integrierter, KI-gestützter Schutz einen signifikanten Unterschied machen.“
Schutz vor sich weiterentwickelnden QR-Code-Bedrohungen
Neben grundlegenden Maßnahmen wie Schulungen zur Steigerung des Sicherheitsbewusstseins, Multi-Faktor-Authentifizierung und robusten Spam- und E-Mail-Filtern sollten Unternehmen einen mehrschichtigen E-Mail-Schutz in Betracht ziehen, der multimodale KI-Funktionen zur Erkennung sich schnell weiterentwickelnder Bedrohungen nutzt. Multimodale KI verbessert die Bedrohungserkennung, indem sie den QR-Code identifiziert, entschlüsselt und überprüft, ohne die eingebetteten Inhalte extrahieren zu müssen.
Be the first to comment