Quishing, QR-code phishing, is een snel evoluerende bedreiging. Check Point Research, de Threat Intelligence tak van Check Point, toonaangevende leverancier van cyberbeveiligingsoplossingen, zag rond augustus 2023 en in mei 2024 een snelle stijging en merkt nu ook een verandering in het type QR-code aanvallen. Het begon met standaard multi-factor authenticatie (MFA) verzoeken. Daarna evolueerde het naar voorwaardelijke routering en aangepaste targeting. Nu merkt CPR een andere evolutie op, naar de manipulatie van QR-codes.
Het is heel eenvoudig om een QR-code te maken. Er zijn talloze gratis sites die het enorm eenvoudig maken om QR-codes te genereren. QR-codes gaan naar een link. Hackers – of andere personen – kunnen eender wat in die link zetten waar de QR-code naar doorverwijst. Het lokmiddel was vaak dat een MFA verloopt en dat de gebruiker opnieuw moet authenticeren. Zodra de gebruiker de QR-code scant, wordt hij doorgestuurd naar een pagina die eruitziet als de partij die om authenticatie vraagt, maar in feite gewoon een pagina is waarop data worden verzameld.
Onderzoekers van Check Point verantwoordelijk voor e-mail security merkten een enorme stijging in het aantal aanvallen met QR-codes op. Zo was er tussen januari en februari van dit jaar een stijging van 587% en tussen april en mei 2024 een stijging van 363%.
ASCII gebaseerde QR-codes
Onderzoekers van Check Point hebben een nieuwe campagne ontdekt, waarbij de QR-code niet in een afbeelding staat, maar in plaats daarvan is gemaakt via HTML en ASCII-tekens. Ze hebben eind mei meer dan 600 soortgelijke e-mails gezien. Het voorbeeld hieronder toont het verschil tussen een klassieke QR-code en een QR-code gebaseerd op ASCII-tekens. Het is subtiel maar de ene is een afbeelding en de andere is gecreëerd via HTML. Daar ligt nu net het probleem. Deze “QR-codes” worden gecreëerd met ASCII-tekens om zo OCR-engines te omzeilen. In wezen plaatsen de bedreigers kleine blokjes in de HTML. In de e-mail ziet het eruit als een QR-code. Maar voor een typische OCR lijkt het nergens op. Er zijn websites die dreigingsactoren helpen om deze automatisch te genereren en die dan nog kunnen worden geconfigureerd om kwaadaardige koppelingen toe te voegen.
Zoals veel QR-code phishing aanvallen, is de e-mail een herauthenticatie verzoek. Maar achter de QR-code zitten ASCII-tekens, waardoor beveiligingssystemen het kunnen negeren en denken dat het een gewone e-mail is.
Technieken
Aanvalsvormen evolueren snel en QR-code phishing is niet anders. Het is echter uniek dat de evolutie zo snel is gegaan. Het begon met standaard MFA verificatiecodes. Deze waren vrij eenvoudig en vroegen gebruikers om een code te scannen, ofwel om MFA opnieuw in te stellen of zelfs om financiële gegevens te bekijken, zoals een jaarlijkse pensioenbijdrage.
De tweede iteratie, QR-code Phishing 2.0, waren voorwaardelijke routeringsaanvallen. De link kijkt waar de gebruiker interactie mee heeft en past zich daarop aan. Als de gebruiker op een Mac zit, verschijnt er een link. Als de gebruiker op een Android-telefoon zit, verschijnt er een andere. We zagen ook aangepaste QR-code campagnes, waarbij hackers dynamisch het logo van het bedrijf en de juiste gebruikersnaam invulden.
Nu is er QR-code 3.0, dat zich manifesteert als een manipulatiecampagne. Het is eigenlijk geen traditionele QR-code, maar eerder een op tekst gebaseerde weergave ervan. Dit maakt het ongelooflijk moeilijk voor OCR-systemen om het te zien en te detecteren. Het geeft ook aan hoe dreigingsactoren op het landschap reageren. Vrijwel elke leverancier van e-mailbeveiliging heeft een enorme ophef gemaakt over de nieuwe bescherming tegen QR-codes. Velen gebruiken een vorm van OCR. Hackers weten dit en hebben hun campagnes overeenkomstig aangepast.
“Het is het nooit eindigende kat-en-muisspel van cyberbeveiliging. Hackers vinden iets om uit te buiten. Cyberbeveiligers vinden een oplossing. Hackers vinden weer iets om uit te buiten. En ga zo maar door. Het gebeurt met elke aanvalsvorm en QR-codes zijn niet anders,” begint Lieven Van Rentergem, cyber security expert bij Check Point. “Om je te beschermen tegen dergelijke aanvallen, implementeer je best beveiliging die de QR-codes in e-mails automatisch decodeert en de URL’s analyseert op schadelijke inhoud. Daarnaast is het verstandig om beveiliging te implementeren die de ingesloten QR-codes in de e-mail herschrijft en vervangt door een veilige, herschreven link. Helaas merken we soms dat bedrijven alleen vertrouwen op beveiligingsoplossingen op hun computers. Dit biedt echter weinig bescherming wanneer je een QR-code scant met je mobiele telefoon. Beveiliging bestaat uit meerdere lagen en het is belangrijk om elk apparaat en elke toegang te beschermen. Tegenwoordig kun je niet zonder geavanceerde AI om naar meerdere indicatoren van phishing te kijken.”