Angesichts der Fortschritte im Kampf gegen Phishing im Allgemeinen und der zunehmenden Verbreitung von Zero Trust und Multifaktor-Authentifizierung suchen Cybercrime-Akteure stets nach neuen Wegen, die Abwehrmaßnahmen von Unternehmen zu umgehen. Dabei entwickeln sich QR-Codes für Cyberkriminelle zu einem nützlichen Tool, das immer häufiger im Rahmen von Angriffen zum Einsatz kommt.
Diverse aktuelle Studien respektive Untersuchungen aus dem Cybersecurity-Umfeld - unter anderem von Perception Point, Check Point und AT&T - berichten von einem sprunghaften Anstieg der Phishing-Kampagnen, die sich solche QR-Codes zunutze machen (auch als Quishing) bekannt.
Obwohl es sich bei Quishing technisch gesehen lediglich um eine kosmetisch optimierte Variante des traditionellen Phishing-Modells handelt, weist diese mehrere Merkmale auf, die die Beachtung von CISOs und Sicherheitsentscheidern verdienen. Darüber hinaus können Cybersicherheitsteams auch wirksame Maßnahmen ergreifen, um diesen wachsenden Angriffsvektor zu entschärfen. Welche das sind, lesen Sie in diesem Artikel.
So funktioniert Quishing
Beim Quishing werden Informationen, häufig in Form eines bösartigen Links, in das QR-Code-Format überführt. Die harmlos anmutenden Codes stellen insbesondere auch eine Gefahr für Mitarbeiter in Unternehmen dar. Denn sie erhöhen die Wahrscheinlichkeit, Scammern auf den Leim zu gehen. Für die Angreifer bringen QR-Codes zu Phishing-Zwecken eine ganze Reihe von Vorteilen mit sich (die teils auch von seriösen Unternehmen geschätzt werden):
QR-Codes sind einfach zu erstellen und zu nutzen. Für Angreifer ist es ein Leichtes, kostenlose Ressourcen zu nutzen, um überzeugende Phishing-E-Mails, -Anhänge und -Websites mit QR-Codes zu erstellen - ein Mechanismus, der die Effektivität ihrer Bemühungen mit minimalem Aufwand erhöht.
QR-Codes sehen "offiziell" aus und bieten dem Nutzer eine bequeme und schnelle Option, direkt zum Ziel zu gelangen. Das macht sie in den Händen von Cyberkriminellen zu einem außergewöhnlich hochwertigen Köder.
Bösartige QR-Codes sind auch für automatisierte Sicherheitssysteme schwieriger zu erkennen. Da es sich bei einem QR-Code nur um ein Bild handelt, das Informationen verschlüsselt, kann er dazu verwendet werden, die Menge an bösartigen Daten in einer E-Mail zu reduzieren. Das kann dazu führen, dass Spam-Filter nicht greifen.
Olesia Klevchuk, Director of Email Protection beim Sicherheitsanbieter Barracuda, warnt: "URL-Scan- und URL-Rewrite-Technologien sind gegen QR-Code-Angriffe unwirksam, weil es keinen Link zu scannen gibt. Die Benutzer müssen die Codes mit ihren Telefonen scannen. So werden die Angriffe im Grunde auf ein völlig neues Device verlagert - auf das die Unternehmens-Security oft keinen Zugriff hat."
QR-Code-Phishing verhindern
Aus der Sicht der Verteidiger manifestieren sich die Gefahren bösartiger QR-Codes deshalb sowohl in der menschlichen als auch der maschinellen Komponente. Um dieses Problem bewältigen zu können, sind mehrere unterschiedliche Ansätze erforderlich:
Aufklärung: Sorgen Sie dafür, dass Ihre Benutzer über den Quishing-Trend informiert sind. Dabei lohnt es sich zu betonen, dass QR-Codes ganz allgemein kein Garant für Legitimität sind.
Vorbeugung: Automatisierte Systeme, die E-Mails und URLs filtern, sollten geprüft und gegebenenfalls gegen schadhafte QR-Codes abgesichert werden. Wenn Ihr Unternehmen selbst QR-Codes zum Einsatz bringt, lohnt es sich, diesen Prozess zu überprüfen und bei Bedarf zu optimieren, um es Cyberkriminellen so schwer wie möglich zu machen, ihn zu kapern.
Reaktion: Detection- und Sperr-Mechanismen einzubeziehen, kann vor einer Kompromittierung von Konten schützen.
Validierung: Integrieren Sie Cyberangriffe mit QR-Codes in Ihre Red-Teaming-Tests und Angriffssimulationen.
Die Aufklärung der Mitarbeiter sollte in diesem Zusammenhang mit verstärkten, technischen Sicherheitsmaßnahmen einhergehen. Was letzteres angeht, sollte nach Meinung von Security-Expertin Klevchuk auch künstliche Intelligenz (KI) eine Rolle spielen: "Sie können sicher sein, dass die Angreifer KI einsetzen, um überzeugende Quishing-E-Mails zu erstellen. In diesem Fall sollten Sie Feuer mit Feuer bekämpfen: Der Einsatz von KI und Bilderkennungstechnologie kann dabei unterstützen, Quishing-Angriffe zu erkennen. Denn KI-basierte Detection-Tools suchen auch nach anderen Signalen, die auf bösartige Inhalte hindeuten können."
In der Vergangenheit waren viele Quishing-Kampagnen vor allem auf Verbraucher ausgerichtet. Das dürfte sich künftig ändern, wie unter anderem ein kürzlich erfolgter, großangelegter Cyberangriff mit maliziösen QR-Codes auf einen US-Energieversorger vermuten lässt. (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.