QR-Code-Phishing mit ASCII-Zeichen

QR-Code-Phishing mit ASCII-Zeichen

Beitrag teilen

Sicherheitsforscher von Check Point haben eine neue Art des QR-Code-Phishing („Quishing“ genannt) entdeckt, mit der Angreifer auf geschickte Weise OCR-Systeme umgehen.

Indem sie die verseuchten QR-Codes in ihren Phishing-Mails statt, wie gewöhnlich, als Bilddateien versenden, bilden die Drahtzieher per ASCII-Zeichen die charakteristischen schwarzen Kacheln handelsüblicher QR-Codes nach. Diese sind von legitimen QR-Codes auf den ersten Blick nur schwer zu unterscheiden, können jedoch wie reguläre Codes eingescannt und in abrufbare – und in diesem Fall verseuchte – URLs umgewandelt werden.

Anzeige

Ziel sind OCR-Sicherheitsanalysen

Optical Character Recognition (OCR), also die optische digitale Texterkennung, wird nicht nur für die Digitalisierung von Text und Schrift genutzt, sondern findet auch in der IT-Sicherheit Gebrauch. Die Technologie hilft bei der Überwachung von Dokumenten und Kommunikationskanälen und kann bei der Früherkennung bösartiger Aktivitäten und der Einhaltung von Datenschutzbestimmungen unterstützen. Oft kommt dabei Machine Learning zum Einsatz. Check Point hat nun eine neue Kampagne aufgedeckt, bei der ein QR-Code nicht als Bild, sondern über ASCII-Zeichen und HTML dargestellt wird, um besagte OCR-Scan- und Filtersysteme zu umgehen. Die Forscher haben allein Ende Mai über 600 solcher E-Mails abgefangen.

Im Wesentlichen fügen die Bedrohungsakteure kleine Blöcke in den HTML-Code ein. In der E-Mail sieht das für den Empfänger wie ein normaler QR-Code aus, der jedoch einen Phishing-Link enthält. Ein OCR-Systemsieht darin jedoch eine gewöhnliche Zeichenfolge, sodass die Mail ungehindert durch den Filter und damit zu seinem Opfer gelangen kann. Es gibt Websites, die Bedrohungsakteuren dabei helfen, diese Codes automatisch zu generieren, und die so konfiguriert werden können, dass sie bösartige Links enthalten.

Die Forscher haben ein weiteres Beispiel eines fingierten QR-Codes entdeckt, der zur Umgehung der Multifaktor-Authentifizierung (MFA) erstellt und ebenfalls in eine Phishing-Mail eingebettet wurde, die von einem vermeintlichen Administrator kommt. Seit Juli 2023 beobachten die Sicherheitsforscher bereits die neuen Phishing-Methoden über QR-Codes, die sich zuletzt drastisch erhöht haben. Im Februar des laufenden Jahres registrierten sie über 10.000 Angriffe mittels QR-Codes – eine Steigerung um 1.688 Prozent im Vergleich zu Januar. Im März waren es bereits über 30.000 Attacken, im April sank die Zahl kurzweilig wieder auf rund 10.000 ab und stieg im Mai zuletzt wieder drastisch auf über 35.000 Angriffe an. Das dürfte auch den neuen Methoden zuzurechnen sein.

QR-Code-Phishing 3.0 und OCR

Die Angriffsmethoden Cyberkrimineller entwickeln sich ständig weiter und QR-Code-Phishing ist keine Ausnahme. Bemerkenswert ist jedoch, wie schnell sich diese Entwicklungen derzeit vollziehen. Angefangen hat es mit Standard-MFA-Verifizierungscodes. Diese waren recht simpel gehalten und forderten Benutzer auf, einen Code zu scannen, um entweder die MFA neu einzustellen oder sogar Finanzdaten einzusehen.

Bei der zweiten Variante, QR-Code-Phishing 2.0, handelte es sich um bedingte Routing-Angriffe. Der Link erkennt, wo der Benutzer mit ihm interagiert, und passt sich entsprechend an, um authentischer zu wirken. Befindet sich der Benutzer auf einem Mac, wird ein anderer Link angezeigt, als wenn der Benutzer ein Android-Telefon verwendet. Check Point hat auch benutzerdefinierte QR-Code-Kampagnen gesehen, bei denen die Hacker dynamisch das Logo des Unternehmens und sogar den richtigen Benutzernamen als Adressaten einfügen.

QR-Code-Phishing 3.0 entpuppt sich nun als Manipulationskampagne. Es handelt sich dabei nicht um einen herkömmlichen QR-Code, sondern um eine textbasierte Darstellung eines solchen. Das macht es für OCR-Systeme wesentlich schwieriger, ihn zu sehen und zu erkennen. Er zeigt auch, wie die Bedrohungsakteure sich anpassen. Viele Anbieter von E-Mail-Sicherheitslösungen haben zuletzt einen neuen QR-Code-Schutz vorgestellt und nutzen dabei eine Form von OCR. Hacker wissen das und haben ihre Kampagnen darauf ausgerichtet. Möglicherweise ist dies lediglich die nächste Evolutionsphase im ewigen Katz-und-Maus-Spiel der Cybersicherheit: Hacker finden Lücken, Verteidiger schließen sie – dann beginnt der Kreislauf von Neuem.Doch ist man auch diesen neuartigen Maschen nicht schutzlos ausgeliefert. IT-Verantwortliche sollten Sicherheitsmaßnahmen implementieren, die

  • in E-Mails eingebettete QR-Codes automatisch entschlüsseln und die URLs auf bösartige Inhalte analysieren.
  • eingebettete QR-Codes im E-Mail-Text umschreiben und durch einen sicheren, umgeschriebenen Link ersetzen.
  • fortschrittliche künstliche Intelligenz nutzen, um mehrere Indikatoren für Phishing zu erkennen.
Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen

Cybertrends 2025 – womit man rechnen muss

Was bedeutet 2025 für die Cybersicherheit in Unternehmen? Welche Cyberattacken werden häufiger, welche Branchen stehen besonders im Visier und welche ➡ Weiterlesen

Zero-Trust-Segmentation gegen Ransomware

Ein Anbieter kündigt mit Zero-Trust-Segmentation die erste Lösung für Zero-Trust-Segmentierung an, die eine sichere, agile und kostengünstige Möglichkeit bietet, User, ➡ Weiterlesen

EMA: Cloud Connector für Microsoft 365

Für die einfachere Anbindung der Datenmanagement- und Archivierungslösung EMA an Microsoft 365 Exchange Online sowie an lokale Exchange-Infrastrukturen ist jetzt ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen