OnD - Stock.Adobe.com
Quishing nimmt zu: Wie man QR-Code-Phishing verhindert
Eine monatelange Quishing-Kampagne hat gezeigt, wie Cyberkriminelle QR-Codes nutzen, um Benutzer auszutricksen. Erfahren Sie, was Security-Verantwortliche in Firmen wissen müssen.
Cyberkriminelle nutzen E-Mail-basierte Quishing-Angriffe, um Nutzer anzugreifen, so die Erkenntnisse von Bedrohungsforschern. Mindestens eine Quishing-Kampagne scheint groß angelegt, langwierig und dynamisch zu sein, was sich an der Häufigkeit der Angriffe und den Variationen der in den Nachrichten verwendeten Köder und Domänen zeigt.
Beim Quishing, dass auch als QR-Code-Phishing bezeichnet wird, wird jemand dazu verleitet, einen QR-Code mit einem Mobiltelefon zu scannen. Der QR-Code führt den Nutzer dann auf eine betrügerische Website, von der möglicherweise Malware heruntergeladen oder sensible Daten abgefragt werden (siehe auch QR-Code-Phishing: die unterschätzte Gefahr).
Patrick Schläpfer, Malware-Analyst bei HP, sagte, dass sein Team seit Monaten fast täglich E-Mail-basierte Quishing-Aktivitäten beobachtet. Die Forscher haben eine bestimmte QR-Code-Phishing-Kampagne verfolgt, auf die sie erstmals aufmerksam wurden, als sie eine Reihe verdächtiger E-Mails mit ähnlichen Word-Dokumenten im Anhang bemerkten.
Bei näherer Betrachtung stellten sie fest, dass jedes Dokument chinesischen Text und einen QR-Code enthielt. Die Nachricht schien vom chinesischen Finanzministerium zu stammen - obwohl sie in Wirklichkeit von Bedrohungsakteuren stammte - und teilte den Empfängern mit, dass sie Anspruch auf eine neue, von der Regierung finanzierte Subvention hätten. Um ihre Zahlungen zu erhalten, so das Dokument, sollten die Nutzer mit ihren Mobilgeräten den QR-Code scannen, der sie zu einem Antragsformular weiterleiten würde, in dem sie ihre persönlichen und finanziellen Daten angeben könnten.
Bei einem anderen, ähnlichen Angriff, den HP aufdeckte, erhielten die Nutzer eine E-Mail, die scheinbar von einem Paketzustelldienst stammte und zur Zahlung über einen QR-Code aufforderte.
Laut Schläpfer ist der QR-Code eine Möglichkeit, einen Benutzer dazu zu zwingen, von einem Desktop oder Notebook auf ein mobiles Gerät zu wechseln, das möglicherweise einen schwächeren Schutz gegen Phishing bietet. Auch wenn die von den HP-Forschern entdeckte Kampagne darauf abzielte, Finanzdaten von Einzelpersonen abzufragen, könnten Bedrohungsakteure solche Quishing-Kampagnen auch nutzen, um mobile Malware zu verbreiten und Anmeldedaten für Unternehmen zu stehlen. „Es ist sehr wahrscheinlich, dass QR-Phishing in größerem Umfang und mit einer Vielzahl von Methoden stattfindet“, so Schläpfer.
Der E-Mail-Sicherheitsanbieter Abnormal Security hat eine Quishing-Kampagne identifiziert, bei der ein QR-Code verwendet wurde, um E-Mail-Sicherheitsgateways zu umgehen, die üblicherweise Text nach URLs scannen. Der Angriff schien ein Versuch zu sein, die Microsoft-Anmeldedaten der Benutzer zu stehlen, berichtet der Anbieter.
Was ist Quishing und wie funktioniert es?
Quishing ist eine Art von Phishing-Angriff, bei dem ein Bedrohungsakteur einen QR-Code verwendet, um Benutzer zu manipulieren, indem er sie in der Regel auf eine Website umleitet, die entweder Malware herunterlädt oder ihre vertraulichen Daten abfragt.
Ein QR-Code (Quick Response Code) ist ein quadratischer Strichcode, der von kompatiblen Mobilgerätekameras gelesen werden kann. Wenn ein Nutzer einen QR-Code scannt, wird häufig eine Webseite geöffnet, es kann aber auch ein Anruf, eine SMS oder eine digitale Zahlung ausgelöst werden.
Anekdotische Hinweise deuten darauf hin, dass Quishing-Angriffe seit Beginn der COVID-19-Pandemie zugenommen haben, als eine wachsende Zahl seriöser Unternehmen begann, QR-Codes zu verwenden, um kontaktarme Transaktionen zu ermöglichen. Einige Restaurants verknüpfen beispielsweise QR-Codes mit Online-Speisekarten, anstatt den Gästen gedruckte Exemplare auszuhändigen. Digitale Geldbörsen nutzen QR-Codes, um kontaktlose Zahlungen zu ermöglichen. Da sich die Nutzer zunehmend daran gewöhnt haben, im Alltag mit QR-Codes zu interagieren, sind die Möglichkeiten für Quishing gestiegen.
Nach Angaben des Better Business Bureau (BBB) besteht eine inzwischen in den USA weit verbreitete Betrugsmasche darin, dass betrügerische QR-Codes auf Parkuhren angebracht werden, um Autofahrer dazu zu bringen, ihre finanziellen Daten preiszugeben, wenn sie versuchen, das Parken zu bezahlen. Das BBB hat die Verbraucher gewarnt, dass sie in E-Mails, in Textnachrichten, auf Schildern, auf Direktwerbung und sogar persönlich von Kriminellen, die sich als Mitarbeiter von Versorgungsunternehmen oder Behörden ausgeben, mit QR-Codes betrogen werden könnten.
Viele der bisherigen Quishing-Angriffe zielen auf Privatpersonen ab, aber auch Unternehmen und ihre Mitarbeiter sind gefährdet. Insbesondere E-Mail-basierte QR-Phishing-Kampagnen, wie sie die Forscher von HP und Abnormal Security aufgedeckt haben, könnten auf Benutzerkonten von Unternehmen abzielen, um Zugangsdaten zu stehlen oder Malware zu verbreiten.
Wie man Quishing-Angriffe verhindert
Wie bei jeder Art von Phishing ist die beste Verteidigung gegen Quishing-Angriffe eine gut ausgebildete Anwenderbasis. Unternehmen sollten Schulungen zum Sicherheitsbewusstsein anbieten, die die folgenden bewährten Verfahren umfassen:
- Niemals einen QR-Code von einer unbekannten Quelle scannen.
- Wenn Sie einen QR-Code von einer vertrauenswürdigen Quelle per E-Mail erhalten, bestätigen Sie über ein separates Medium – zum Beispiel eine Textnachricht, einen Anruf und so weiter - dass die Nachricht legitim ist.
- Achten Sie auf die typischen Merkmale von Phishing-Kampagnen, wie zum Beispiel ein Gefühl der Dringlichkeit und Appelle an Ihre Emotionen.
- Überprüfen Sie die Vorschau der URL des QR-Codes, bevor Sie ihn öffnen, um zu sehen, ob sie legitim erscheint. Vergewissern Sie sich, dass die Website HTTPS und nicht HTTP verwendet, keine offensichtlichen Rechtschreibfehler enthält und eine vertrauenswürdige Domain hat. Klicken Sie nicht auf unbekannte oder verkürzte Links.
- Seien Sie äußerst vorsichtig, wenn ein QR-Code Sie zu einer Website führt, die nach persönlichen Daten, Anmeldedaten oder Zahlungen fragt.
- Achten Sie auf eine gute Passworthygiene, indem sie beispielsweise niemals dasselbe Passwort für mehrere Konten verwenden.
Unternehmen sollten auch zusätzliche Sicherheitskontrollen in Betracht ziehen, die dazu beitragen können, mehrere Arten von Phishing-Angriffen zu bekämpfen und den Schaden zu mindern, wenn einer erfolgreich ist. Dazu gehören die folgenden Maßnahmen:
- Allowlisting und Blocklisting
- Anti-Spam-Filter
- Starke E-Mail-Sicherheitsrichtlinien
- Starke Passwortrichtlinien
- Multifaktor-Authentifizierung
- Anti-Malware-Software
- E-Mail-Sicherheits-Gateways
- Nutzung von Threat-Intelligence-Diensten