QR-Code-Phishing mit ASCII-Zeichen

QR-Code-Phishing mit ASCII-Zeichen

Beitrag teilen

Sicherheitsforscher von Check Point haben eine neue Art des QR-Code-Phishing („Quishing“ genannt) entdeckt, mit der Angreifer auf geschickte Weise OCR-Systeme umgehen.

Indem sie die verseuchten QR-Codes in ihren Phishing-Mails statt, wie gewöhnlich, als Bilddateien versenden, bilden die Drahtzieher per ASCII-Zeichen die charakteristischen schwarzen Kacheln handelsüblicher QR-Codes nach. Diese sind von legitimen QR-Codes auf den ersten Blick nur schwer zu unterscheiden, können jedoch wie reguläre Codes eingescannt und in abrufbare – und in diesem Fall verseuchte – URLs umgewandelt werden.

Ziel sind OCR-Sicherheitsanalysen

Optical Character Recognition (OCR), also die optische digitale Texterkennung, wird nicht nur für die Digitalisierung von Text und Schrift genutzt, sondern findet auch in der IT-Sicherheit Gebrauch. Die Technologie hilft bei der Überwachung von Dokumenten und Kommunikationskanälen und kann bei der Früherkennung bösartiger Aktivitäten und der Einhaltung von Datenschutzbestimmungen unterstützen. Oft kommt dabei Machine Learning zum Einsatz. Check Point hat nun eine neue Kampagne aufgedeckt, bei der ein QR-Code nicht als Bild, sondern über ASCII-Zeichen und HTML dargestellt wird, um besagte OCR-Scan- und Filtersysteme zu umgehen. Die Forscher haben allein Ende Mai über 600 solcher E-Mails abgefangen.

Im Wesentlichen fügen die Bedrohungsakteure kleine Blöcke in den HTML-Code ein. In der E-Mail sieht das für den Empfänger wie ein normaler QR-Code aus, der jedoch einen Phishing-Link enthält. Ein OCR-Systemsieht darin jedoch eine gewöhnliche Zeichenfolge, sodass die Mail ungehindert durch den Filter und damit zu seinem Opfer gelangen kann. Es gibt Websites, die Bedrohungsakteuren dabei helfen, diese Codes automatisch zu generieren, und die so konfiguriert werden können, dass sie bösartige Links enthalten.

Die Forscher haben ein weiteres Beispiel eines fingierten QR-Codes entdeckt, der zur Umgehung der Multifaktor-Authentifizierung (MFA) erstellt und ebenfalls in eine Phishing-Mail eingebettet wurde, die von einem vermeintlichen Administrator kommt. Seit Juli 2023 beobachten die Sicherheitsforscher bereits die neuen Phishing-Methoden über QR-Codes, die sich zuletzt drastisch erhöht haben. Im Februar des laufenden Jahres registrierten sie über 10.000 Angriffe mittels QR-Codes – eine Steigerung um 1.688 Prozent im Vergleich zu Januar. Im März waren es bereits über 30.000 Attacken, im April sank die Zahl kurzweilig wieder auf rund 10.000 ab und stieg im Mai zuletzt wieder drastisch auf über 35.000 Angriffe an. Das dürfte auch den neuen Methoden zuzurechnen sein.

QR-Code-Phishing 3.0 und OCR

Die Angriffsmethoden Cyberkrimineller entwickeln sich ständig weiter und QR-Code-Phishing ist keine Ausnahme. Bemerkenswert ist jedoch, wie schnell sich diese Entwicklungen derzeit vollziehen. Angefangen hat es mit Standard-MFA-Verifizierungscodes. Diese waren recht simpel gehalten und forderten Benutzer auf, einen Code zu scannen, um entweder die MFA neu einzustellen oder sogar Finanzdaten einzusehen.

Bei der zweiten Variante, QR-Code-Phishing 2.0, handelte es sich um bedingte Routing-Angriffe. Der Link erkennt, wo der Benutzer mit ihm interagiert, und passt sich entsprechend an, um authentischer zu wirken. Befindet sich der Benutzer auf einem Mac, wird ein anderer Link angezeigt, als wenn der Benutzer ein Android-Telefon verwendet. Check Point hat auch benutzerdefinierte QR-Code-Kampagnen gesehen, bei denen die Hacker dynamisch das Logo des Unternehmens und sogar den richtigen Benutzernamen als Adressaten einfügen.

QR-Code-Phishing 3.0 entpuppt sich nun als Manipulationskampagne. Es handelt sich dabei nicht um einen herkömmlichen QR-Code, sondern um eine textbasierte Darstellung eines solchen. Das macht es für OCR-Systeme wesentlich schwieriger, ihn zu sehen und zu erkennen. Er zeigt auch, wie die Bedrohungsakteure sich anpassen. Viele Anbieter von E-Mail-Sicherheitslösungen haben zuletzt einen neuen QR-Code-Schutz vorgestellt und nutzen dabei eine Form von OCR. Hacker wissen das und haben ihre Kampagnen darauf ausgerichtet. Möglicherweise ist dies lediglich die nächste Evolutionsphase im ewigen Katz-und-Maus-Spiel der Cybersicherheit: Hacker finden Lücken, Verteidiger schließen sie – dann beginnt der Kreislauf von Neuem.Doch ist man auch diesen neuartigen Maschen nicht schutzlos ausgeliefert. IT-Verantwortliche sollten Sicherheitsmaßnahmen implementieren, die

  • in E-Mails eingebettete QR-Codes automatisch entschlüsseln und die URLs auf bösartige Inhalte analysieren.
  • eingebettete QR-Codes im E-Mail-Text umschreiben und durch einen sicheren, umgeschriebenen Link ersetzen.
  • fortschrittliche künstliche Intelligenz nutzen, um mehrere Indikatoren für Phishing zu erkennen.
Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Microsoft 365 Backup Storage optimiert Datensicherheit

Ein weiterer Cybersicherheitsanbieter integriert Microsoft 365 Backup Storage in seine Cloud-Plattform. Damit lassen sich Backups kostengünstig überwachen und verwalten sowie ➡ Weiterlesen

Cyberversicherung: Beratung hilft, versicherungsfähig zu werden

Um eine Cyberversicherung abzuschließen, müssen Unternehmen nachweisen, dass sie entsprechende Sicherheitsvorkehrungen getroffen haben. Für viele ist das eine Herausforderung. Adlon ➡ Weiterlesen

Hacker tarnen Malware als KI-Tools

KI-Tools wie ChatGPT, Bard oder Suno boomen, denn sie bieten so viele Möglichkeiten. Das nutzen Hacker aus und verbreiten gefälschte ➡ Weiterlesen

Cybersecurity Awareness: Aufklärung für mehr Sicherheit

Der Oktober ist seit 2004 der internationale Cybersecurity Awareness Month. Die Initiative informiert über Security im Netz und wie man ➡ Weiterlesen

SSTI Angriffe nehmen deutlich zu

SSTI stellt eine kritische Bedrohung für Web-Anwendungen dar. Angreifer können damit beliebigen Code ausführen und ganze Systeme übernehmen Ziel der ➡ Weiterlesen

Container Security: Bedrohungen erkennen und beheben

Eine neue Container-Security-Lösung unterstützt Unternehmen dabei, Schwachstellen schneller zu erkennen und proaktiv zu reduzieren, indem sie statische Analysen mit Analysen ➡ Weiterlesen

Kompromittierte Identitäten sofort erkennen und stoppen

Menschliche und maschinelle Identitäten nehmen in Unternehmen ständig zu. Das macht es schwer, herauszufinden, ob und welche Identitäten kompromittiert sind. ➡ Weiterlesen

Schwachstellen erkennen und effizient handeln

Sicherheitsteams stehen großen Mengen an Schwachstellen- und Threat-Intelligence-Daten gegenüber. Deshalb hat Tenable neue Funktionen in seinem Vulnerability Management entwickelt, die ➡ Weiterlesen