Quishing mit E-Mail-Anhängen: QR-Codes als Sicherheitsrisiko
Dr. Martin Krämer, CISO-Advisor bei KnowBe4
QR-Codes sind ein altbekanntes, aber effektives Utensil im Werkzeugkasten der Cyberkriminellen. Neu ist, dass ihre Nutzung im Textkörper von Phishing-E-Mails zwar insgesamt zurückgeht, sie aber vermehrt in einem Anhang einer Phishing-E-Mail versteckt sind. In der Regel werden sie nun in einer PDF- oder Word-Datei eingebettet. Dies ist eine Technik, um sie vor den E-Mail-Filtern einer Organisation zu verbergen. Sicherheitsforscher von KnowBe4 beobachten eine deutliche Verlagerung hin zum Verstecken von QR-Codes hinter mehreren Ebenen, z. B. in einem Anhang oder auf einer legitimen Website z. B. Docusign. Diese Form des Quishings ist effektiv, wenn vermeintlich sichere PDFs die Sicherheitsbarrieren passieren.
Aus den Daten der letzten sechs Monate lässt sich feststellen, dass der Anteil der weltweiten Phishing-Mails mit QR-Code bei 4,53 Prozent liegt. Mehr als 40 Prozent dieser QR-Codes waren in PDF-Dateien versteckt. Neben PDFs wurden diese Codes jedoch auch in .docx- und .ppt-Dateien gefunden, allerdings deutlich seltener. Dies liegt zum einen daran, dass in diesen Datei-Typen zumeist mit Makros gearbeitet wird und zum anderen, dass diese Art von Anhängen häufiger in E-Mail-Filtern hängen bleibt.
Zu Beginn des Jahres tauchten mehrere Beispiele auf, bei denen Cyberkriminelle URL-Umleitungen in QR-Codes einbauten. Diese erschwerten die Erkennung des Angriffs, da Benutzer beim Scannen des Codes nur einen Teil der Link-Vorschau sehen können. Perfide an dieser Vorgehensweise ist, dass wenn die URL über einen QR-Code aufgerufen wird, Nutzer den Domain-Namen nur über die Kamera-App ihres Smartphones sehen können. Verdächtige URLs erscheinen dadurch eher als legitim.
Die zunehmende Verwendung von QR-Code Phishing durch die Angreifer unterstreicht die Notwendigkeit Maßnahmen zur Verbesserung des Risikomanagements zu ergreifen sowie technische Lösungen zu implementieren, die diese Bedrohungen erkennen und blockieren können.
Weitere Informationen über Quishing und technische Analysen finden Sie hier: https://blog.knowbe4.com/the-attackers-playbook-a-technical-analysis-of-quishing-and-encrypted-svg-payloads-used-in-hr-impersonation-phishing-attacks
Quishing mit E-Mail-Anhängen: QR-Codes als Sicherheitsrisiko
Dr. Martin Krämer, CISO-Advisor bei KnowBe4
QR-Codes sind ein altbekanntes, aber effektives Utensil im Werkzeugkasten der Cyberkriminellen. Neu ist, dass ihre Nutzung im Textkörper von Phishing-E-Mails zwar insgesamt zurückgeht, sie aber vermehrt in einem Anhang einer Phishing-E-Mail versteckt sind. In der Regel werden sie nun in einer PDF- oder Word-Datei eingebettet. Dies ist eine Technik, um sie vor den E-Mail-Filtern einer Organisation zu verbergen. Sicherheitsforscher von KnowBe4 beobachten eine deutliche Verlagerung hin zum Verstecken von QR-Codes hinter mehreren Ebenen, z. B. in einem Anhang oder auf einer legitimen Website z. B. Docusign. Diese Form des Quishings ist effektiv, wenn vermeintlich sichere PDFs die Sicherheitsbarrieren passieren.
Aus den Daten der letzten sechs Monate lässt sich feststellen, dass der Anteil der weltweiten Phishing-Mails mit QR-Code bei 4,53 Prozent liegt. Mehr als 40 Prozent dieser QR-Codes waren in PDF-Dateien versteckt. Neben PDFs wurden diese Codes jedoch auch in .docx- und .ppt-Dateien gefunden, allerdings deutlich seltener. Dies liegt zum einen daran, dass in diesen Datei-Typen zumeist mit Makros gearbeitet wird und zum anderen, dass diese Art von Anhängen häufiger in E-Mail-Filtern hängen bleibt.
Zu Beginn des Jahres tauchten mehrere Beispiele auf, bei denen Cyberkriminelle URL-Umleitungen in QR-Codes einbauten. Diese erschwerten die Erkennung des Angriffs, da Benutzer beim Scannen des Codes nur einen Teil der Link-Vorschau sehen können. Perfide an dieser Vorgehensweise ist, dass wenn die URL über einen QR-Code aufgerufen wird, Nutzer den Domain-Namen nur über die Kamera-App ihres Smartphones sehen können. Verdächtige URLs erscheinen dadurch eher als legitim.
Die zunehmende Verwendung von QR-Code Phishing durch die Angreifer unterstreicht die Notwendigkeit Maßnahmen zur Verbesserung des Risikomanagements zu ergreifen sowie technische Lösungen zu implementieren, die diese Bedrohungen erkennen und blockieren können.
Weitere Informationen über Quishing und technische Analysen finden Sie hier: https://blog.knowbe4.com/the-attackers-playbook-a-technical-analysis-of-quishing-and-encrypted-svg-payloads-used-in-hr-impersonation-phishing-attacks