Quishing
Einfallstor QR-Code
Quishing, also das Phishing über QR-Codes, ist nicht neu, dennoch zu wenig bekannt. Die Malware versteckt sich hierbei nicht wie üblich hinter einem Link oder einem E-Mail-Anhang, sondern hinter dem QR-Code. Wie läuft ein Cyberangriff über Quishing ab? Wie können sich Organisationen davor schützen?
Der Artikel liefert unter anderem Antworten auf folgende Fragen:
- Wie funktioniert Quishing?
- Welche Faktoren begünstigen für Cyberkriminelle diese Angriffsmethode?
- Welche Folgen kann ein erfolgreicher Quishing-Angriff für Unternehemen und auch Privatpersonen nach sich ziehen?
- Welche Schutzmaßnahmen gibt es?
Phishing gehört noch immer zu den erfolgreichsten Angriffsmethoden der Cyberkriminellen. Der Grund dafür ist, dass Phishing-E-Mails mittlerweile so gut gefälscht sind, dass sie erstens von Virenscannern und Spam-Filtern nicht aussortiert werden und zweitens für Menschen ohne Erfahrung von harmlosen E-Mails schwer zu unterscheiden sind. Und da Cyberkriminelle immer mit neuen Methoden um die Ecke kommen, mit denen sie die Sicherheitsvorkehrungen umgehen können, erweiterten sie das Phishing kurzerhand um Quishing. Auf den ersten Blick erscheint der Umweg über einen QR-Code aufwendig – QR steht dabei für Quick Response. Immerhin benötigt das Opfer meist ein zweites Endgerät, mit dem es den Code scannen kann, bevor es auf die gefälschte Seite gelangt und seine Daten eingeben kann. Doch auf der anderen Seite gehören QR-Codes mittlerweile wie selbstverständlich zum Alltag der Menschen. Spätestens seit Corona ist jeder mit dem Prinzip dieses zweidimensionalen Datensatzes für Registrierung, Nachweise oder auch zum Abrufen von Menükarten in Restaurants vertraut. Diese Entwicklung machen sich die Kriminellen zunutze. Denn: Sicherheitslösungen scannen E-Mails in der Regel nur auf Anhänge und Links. Enthält die E-Mail einen QR-Code, können Cyberkriminelle diese Kontrolle leicht umgehen. Warum? Diese Codes funktionieren ähnlich wie Barcodes auf Produkten im Supermarkt, nämlich auf Basis eines Bildes. Und Bilder werden von Sicherheitsprogrammen nicht untersucht, sondern nur der Text sowie der Anhang einer E-Mail. Wenn der Text keine Auffälligkeiten enthält und die E-Mail keinen Anhang, geht sie durch den Sicherheitsradar einfach so durch.
| Revival des zweidimensionalen Datensatzes? |
|---|
|
Als 2007 die ersten QR-Codes in Deutschland erschienen, war deren einziger Zweck die Verlinkung auf eine Webseite. Ihre Beliebtheit hielt sich in Grenzen. Zum Teil wussten die Deutschen mit dem neuartigen Code nichts anzufangen. Kaum verwunderlich also, dass die QR-Codes schon 2012 größtenteils von der Bildfläche verschwunden waren. Mit dem Corona-Ausbruch 2019 wendete sich dann das Blatt, denn der klassische Impfausweis erwies sich als unvorteilhaft. Das verhalf dem QR-Code mit der Möglichkeit, den Impfstatus über das eigene mobile Endgerät zu kontrollieren, zu einem Comeback. Zudem wurden kontaktlose Transaktionen auf der ganzen Welt zur Norm: Der QR-Code wurden zunehmend genutzt, um auf Webseiten zuzugreifen, Bestellungen aufzugeben und Zahlungen zu tätigen. Staatliche Behörden diente er zur Erleichterung der Kontaktverfolgung und der Besucherabfertigung an Grenzkontrollstellen. QR-Codes machten bargeldlosen, papierlosen Transaktionen möglich, als die Welt sie am meisten brauchte. Auch Software-Anbieter Ivanti dokumentiert in seiner Studie „QRurb Your Enthusiasm 2021“ für das Jahr 2020 eine steigende QR-Code-Nutzung – einhergehend mit potenziellen Sicherheitsrisiken. „Wir wissen, dass QR-Codes weiter verbreitet sind als je zuvor. Man bedenke, dass Social-Media-Plattformen wie Facebook, Snapchat, Twitter, LinkedIn und Instagram es den Nutzern nun ermöglichen, Accounts sofort zu folgen, indem sie einfach einen QR-Code scannen“, so die Studienautoren. Außerdem seien QR-Codes in China mittlerweile praktisch allgegenwärtig, und auch in Südkorea und Indien ist die Akzeptanz sehr hoch. Darüber hinaus sollen QR-Code-Bezahllösungen bald in Ghana, Russland, Sri Lanka und in weiteren Ländern eingeführt werden. Was 2007 also vielmehr noch zur Erfüllung von Werbezwecken diente, entwickelte sich durch die Notwendigkeit der Covid-19-Eindämmung zu einem standardisierten Werkzeug. Auch wenn die Impfnachweispflicht sukzessive abgesetzt wird, wird uns der schwarz-weiße, zweidimensionale Strichcode wohl noch eine Weile im Alltag begleiten. (DK) |
Das Problem vieler Sicherheitsprogramme
Wie beim Phishing allgemein üblich, enthält die gefälschte Quishing-Mail Infos über ein dringliches Problem, welches das Opfer nur lösen kann, wenn es den QR-Code scannt. Sei es eine vermeintlich gesperrte Website, eine geplatzte Zahlung oder eine Lieferung, die nicht zugestellt werden konnte. Immer wird der Empfänger angehalten, den QR-Code mit dem Smartphone zu scannen. Folgt er dieser Aufforderung, landet er auf einer gefälschten Website. Hier wird entweder ein mit Malware verseuchtes Dokument heruntergeladen oder der User soll seine Login-Daten eingeben – je nachdem, ob der Angreifer hinter den Daten her ist oder das System lahmlegen möchte, um im Anschluss eine Lösegeldsumme zu fordern.
Für Privatpersonen ist so etwas schädigend. Handelt es sich um eine Organisation, können die Folgen verheerend sein. Aktuell nutzen Cyberkriminelle vermehrt Quishing-Attacken, um Nutzerdaten für den Cloud-Service von Microsoft 365 abzugreifen. Ursprünglich versuchten sie es über einen Link in einer E-Mail. Klickte der User auf den Link, wurde er aufgefordert, seine Logindaten einzugeben, um dann angeblich eine Voicemail abhören zu können. Die Antivirenprogramme erkannten die Masche jedoch schnell und sortierten die E-Mails aus. Den Link aus der E-Mail ersetzten die Kriminellen daraufhin durch einen QR-Code. Seither umgehen sie damit die meisten gängigen Sicherheitslösungen, da diese die gefährliche Bilddatei nicht auslesen können. Abgesehen davon, dass die Mail nicht als Spam eingestuft wird, wird sie dadurch für das Opfer kaum als Quishing-Mail erkennbar, da sie von einem echten Absender versendet wurde, der im Vorfeld bereits von der Schadsoftware infiziert wurde. Also selbst wenn der Empfänger misstrauisch auf die E-Mail-Adresse des Absenders klickt, sieht er dort die die Original-E-Mail-Adresse eines Mitarbeiters von einem realen Unternehmen.
So schützen sich Unternehmen
Da der Großteil der Sicherheitssoftware QR-Codes als harmlose Bilddateien einstuft, ist die Erfolgsquote beim Quishing sogar noch höher als beim gewöhnlichen Phishing. Im ersten Schritt bedarf es eines Security-Awareness-Konzepts, um das Bewusstsein für die Gefahr zu schaffen. Denn nur, wenn Gefahren als solche auch erkannt werden, können Mitarbeitende entsprechend handeln. Security Awareness Trainings mit Anti-Phishing-Kampagnen und Online-Schulungen zu aktuellen Bedrohungen und dem richtigen Umgang mit E-Mails und Daten senken das Risiko eines Angriffs. Unabhängig davon gilt für jede E-Mail, sorgfältig zu prüfen, ob diese echt ist. Im Zweifel sollten Betroffene den Absender über offizielle Kanäle kontaktieren, um sicherzugehen, dass die Nachricht tatsächlich von diesem Absender stammt. Sobald eine Nachricht auch nur im geringsten verdächtig vorkommt, sollte das Öffnen von Anhängen oder Links sowie das Scannen von QR-Codes vermieden werden. Eine Multi-Faktor-Authentifizierung ist ein erster guter Schutz: Selbst wenn Kriminelle die Zugangsdaten in Erfahrung bringen konnten, fehlt ihnen dann der zweite (oder dritte) Faktor zum Einloggen. Weiterhin sollte die Sicherheitsrichtlinie der Organisation Smartphones mit einschließen. Denn oftmals existieren für Rechner und Laptops recht strenge Sicherheitsvorkehrungen, aber kaum für Firmenhandys. Da es für QR-Codes kein Standard-Format gibt, sondern nur eine Empfehlung für ein PNG-Format, bleibt es für Sicherheitsporgramme schwierig, den QR-Code auszulesen. Eine Möglichkeit ist, die E-Mails mit dem File- oder Mimetype-PNG vor der Zustellung in Quarantäne zu verschieben, zu untersuchen und dann erst an den Empfänger zuzustellen.
Allgemein gilt für jede Art von Phishing: Kredit-institute und andere Anbieter fordern grundsätzlich keine vertraulichen Daten per E-Mail, Telefon oder Post an. Es sollten nie persönliche oder vertrauliche Daten wie Passwörter oder Transaktionsnummern versendet werden. Bei Unsicherheiten sollte Rücksprache mit Absender gehalten werden, ob die E-Mail seine Richtigkeit hat. Neue Programme oder Apps sollten immer nur über die offizielle Unternehmensseite in Rücksprache mit der IT-Abteilung heruntergeladen werden.
Enthält eine E-Mail Drohungen und setzt sie enge Fristen, handelt es sich in der Regel um einen Betrugsversuch. Beim Erhalt einer verdächtigen E-Mail sollte das Unternehmen informiert werden, welches als vermeintlicher Absender herhalten musste. Auch eine Information an die Polizei und Verbraucherzentrale ist sinnvoll, um andere zu warnen und die Täter dingfest zu machen. Grob zusammengefasst kann eine Quishing-Attacke nur abgewehrt werden, wenn bei allen Mitarbeitenden im Unternehmen ein Bewusstsein für die Gefahr besteht und jeder weiß, wie er eine gefährliche E-Mail erkennt und abwehrt.
Dariush Ansari, Geschäftsführer von Network Box Deutschland
Das könnte Sie auch interessieren
Content is king
Bei diesen Themen schnappt die Phishing-Falle zu
Extended Detection and Response
Phishing-Angriffe effizient erkennen
