QR-Code-Phishing 3.0
Quishing: Hacker setzen ASCII-Zeichen für verseuchte QR-Codes ein
Check Point® Software Technologies Ltd., ein führendes Unternehmen im Bereich Cyber Security, hat eine neue Methode des QR-Code-Phishings , auch bekannt als "Quishing", entdeckt. Diese Technik nutzt ASCII-Zeichen und HTML anstelle von Bilddateien, um QR-Codes zu erstellen, die Sicherheitsmaßnahmen der optischen Texterkennung (Optical Character Recognition, OCR) umgehen können.
Umgehung von OCR-Systemen
OCR-Technologie wird in der IT-Sicherheit zur Überwachung und Früherkennung bösartiger Aktivitäten verwendet. Traditionell werden QR-Codes als Bilddateien versendet, die von OCR-Systemen gescannt und analysiert werden können. Die neu entdeckte Methode von Check Point verwendet jedoch ASCII-Zeichen, um die charakteristischen schwarzen Kacheln eines QR-Codes nachzubilden. Diese textbasierten QR-Codes sehen für das menschliche Auge wie reguläre QR-Codes aus, sind aber für OCR-Systeme schwer zu erkennen. Dadurch gelangen diese Phishing-Mails ungehindert zu den Opfern.
Die Hacker fügen kleine Blöcke in den HTML-Code ein, der für den Empfänger wie ein normaler QR-Code aussieht. Diese Codes enthalten jedoch Phishing-Links. Websites unterstützen Bedrohungsakteure bei der automatischen Generierung solcher Codes, die bösartige Links enthalten können. Ein Beispiel eines solchen HTML-Codes zeigt die Struktur eines in ASCII dargestellten, verseuchten „QR-Codes“.
Ein weiteres Beispiel sind fingierte QR-Codes zur Umgehung der Multifaktor-Authentifizierung (MFA). Diese Art von Phishing-Mail kommt oft von vermeintlichen Administratoren. Seit Juli 2023 hat Check Point eine Zunahme dieser Phishing-Methoden beobachtet, mit einem signifikanten Anstieg der Angriffe. Im Februar 2024 registrierten sie über 10.000 Angriffe mittels QR-Codes, eine Steigerung um 1.688 Prozent im Vergleich zum Vormonat. Die Anzahl der Angriffe schwankte, erreichte jedoch im Mai 2024 über 35.000.
Entwicklung der Phishing-Techniken
Die Methoden der Cyberkriminellen entwickeln sich ständig weiter, und QR-Code-Phishing ist keine Ausnahme. Zu Beginn wurden einfache MFA-Verifizierungscodes verwendet, die Benutzer aufforderten, einen Code zu scannen. Die zweite Variante, QR-Code-Phishing 2.0, nutzte bedingte Routing-Angriffe, bei denen sich der Link an das Gerät des Benutzers anpasste. Bei QR-Code-Phishing 3.0 handelt es sich um textbasierte QR-Codes, die für OCR-Systeme schwer zu erkennen sind. Hacker passen ihre Kampagnen an neue Sicherheitsmaßnahmen an, indem sie textbasierte Darstellungen verwenden, die schwerer zu erkennen sind.
Schutzmaßnahmen und Empfehlungen
Obwohl die Bedrohung durch diese neuen Phishing-Methoden steigt, gibt es Möglichkeiten, sich zu schützen. IT-Verantwortliche sollten Sicherheitsmaßnahmen implementieren, die eingebettete QR-Codes in E-Mails automatisch entschlüsseln und auf bösartige Inhalte analysieren. Weitere Maßnahmen umfassen die Umschreibung eingebetteter QR-Codes im E-Mail-Text durch sichere Links und die Nutzung fortschrittlicher Künstlicher Intelligenz, um mehrere Indikatoren für Phishing zu erkennen.
Fazit
Die Entwicklung von QR-Code-Phishing zeigt, wie sich Cyberkriminelle anpassen und neue Lücken in der Sicherheit finden. Es ist ein ständiges Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern. Durch die Implementierung fortschrittlicher Sicherheitsmaßnahmen und Technologien können Unternehmen jedoch diese Bedrohungen mindern und ihre Systeme schützen.