Cybercriminelen gebruiken twee nieuwe technieken waarmee ze proberen de detectie van schadelijke QR-codes te omzeilen bij phishingaanvallen. Hierbij worden schadelijke QR-code in twee delen gesplitst om traditionele scansystemen te verwarren, of worden schadelijke QR-code genest in of rond een tweede, legitieme QR-code.
Quishing is een vorm van phishing waarbij QR-codes worden gebruikt die zijn voorzien van schadelijke links die, wanneer ze worden gescand, slachtoffers naar valse websites leiden die zijn ontworpen om hun inloggegevens of andere gevoelige informatie te stelen. Onderzoekers van Barracuda ontdekten de nieuwe splitsings- en nestingtechnieken in aanvallen van de veelgebruikte phishing-as-a-service (PhaaS)-kits Tycoon en Gabagool.
Gesplitste QR-codes
De Gabagool-aanvallers hebben gesplitste QR-codes toegepast in nepmails van Microsoft, waarin gebruikers werden gevraagd om hun wachtwoord te resetten. Bij deze techniek wordt de schadelijke QR-code in twee afzonderlijke afbeeldingen gesplitst, die vervolgens naast elkaar in een phishing-e-mail worden gezet. Zo lijkt het dan één enkele QR-code. Wanneer traditionele e‑mailsecurityoplossingen dit bericht scannen, zien ze twee afzonderlijke en onschuldig ogende afbeeldingen in plaats van één complete QR-code. Als de ontvanger echter de afbeelding scant, wordt hij naar een phishingwebsite geleid die is ontworpen om Microsoft inloggegevens te stelen.
Geneste QR-codes
De Tycoon PhaaS maakt gebruik van de nestingmethode om een schadelijke QR-code rond een legitieme QR-code te plaatsen. De schadelijke buitenste QR-code verwees naar een schadelijke URL, terwijl de binnenste QR-code naar Google leidde. Deze techniek is waarschijnlijk ontworpen om het voor scanners moeilijker te maken deze dreiging te detecteren, omdat de resultaten niet eenduidig zijn.
“Schadelijke QR-codes zijn populair bij aanvallers omdat ze er legitiem uitzien en traditionele securitymaatregelen zoals e‑mailfilters en linkscanners kunnen omzeilen”, zegt Saravan Mohankumar, Manager Threat Analysis bij Barracuda. “Omdat ontvangers vaak moeten overschakelen naar een mobiel device om de code te scannen, zijn ze mogelijk niet langer beschermd door de securitymaatrelen van het bedrijf. Aanvallers zullen steeds weer nieuwe technieken blijven uitproberen om securitymaatregelen een stap voor te blijven. Dit is waar geïntegreerde, AI-gestuurde bescherming echt het verschil kan maken.”
Bescherming tegen evoluerende QR-codes
Naast de essentiële basisprincipes zoals bewustwordingstraining op het gebied van cybersecurity, multi-factor authenticatie en robuuste spam- en e‑mailfilters, moeten organisaties overwegen om meerlaagse e‑mailsecurity te implementeren die multimodale AI-mogelijkheden integreert om zo snel evoluerende dreigingen te detecteren. Multimodale AI verbetert de detectie door QR-codes te identificeren, te decoderen en te inspecteren, zonder dat de ingebedde inhoud hoeft te worden geëxtraheerd.
Kijk voor meer informatie op: https://blog.barracuda.com/2025/08/20/threat-spotlight-split-nested-qr-codes-quishing-attacks
