Die Sicherheitsforscher von Check Point haben eine neue Art des QR-Code-Phishing („Quishing“ genannt) entdeckt, mit der Angreifer auf geschickte Weise OCR-Systeme umgehen. Indem sie die verseuchten QR-Codes in ihren Phishing-Mails statt, wie gewöhnlich, als Bilddateien versenden, bilden die Drahtzieher per ASCII-Zeichen die charakteristischen schwarzen Kacheln handelsüblicher QR-Codes nach.
Diese sind von legitimen QR-Codes auf den ersten Blick nur schwer zu unterscheiden, können jedoch wie reguläre Codeseingescannt und in abrufbare - und in diesem Fall verseuchte - URLs umgewandelt werden.
Ziel ist die Umgehung von OCR-Sicherheitsanalysen
Optical Character Recognition (OCR), also die optische digitale Texterkennung, wird nicht nur für die Digitalisierung von Text und Schrift genutzt, sondern findet auch in der IT-Sicherheit Gebrauch. Die Technologie hilft bei der Überwachung von Dokumenten und Kommunikationskanälen und kann bei der Früherkennung bösartiger Aktivitäten und der Einhaltung von Datenschutzbestimmungen unterstützen. Oft kommt dabei Machine Learning zum Einsatz.
Check Point hat nun eine neue Kampagne aufgedeckt, bei der ein QR-Code nicht als Bild, sondern über ASCII-Zeichen und HTML dargestellt wird, um besagte OCR-Scan- und Filtersysteme zu umgehen. Die Forscher haben allein Ende Mai über 600 solcher E-Mails abgefangen. Im Wesentlichen fügen die Bedrohungsakteure kleine Blöcke in den HTML-Code ein.
In der E-Mail sieht das für den Empfänger wie ein normaler QR-Code aus, der jedoch einen Phishing-Link enthält. Ein OCR-System sieht darin jedoch eine gewöhnliche Zeichenfolge, sodass die Mail ungehindert durch den Filter und damit zu seinem Opfer gelangen kann. Es gibt Websites, die Bedrohungsakteuren dabei helfen, diese Codes automatisch zu generieren, und die so konfiguriert werden können, dass sie bösartige Links enthalten.
Die Forscher haben ein weiteres Beispiel eines fingierten QR-Codes entdeckt, der zur Umgehung der Multifaktor-Authentifizierung (MFA) erstellt und ebenfalls in eine Phishing-Mail eingebettet wurde, die von einem vermeintlichen Administrator kommt.
Seit Juli 2023 beobachten die Sicherheitsforscher bereits die neuen Phishing-Methoden über QR-Codes, die sich zuletzt drastisch erhöht haben. Im Februar des laufenden Jahres registrierten sie über 10.000 Angriffe mittels QR-Codes – eine Steigerung um 1.688 Prozent im Vergleich zu Januar.
Im März waren es bereits über 30.000 Attacken, im April sank die Zahl kurzweilig wieder auf rund 10.000 ab und stieg im Mai zuletzt wieder drastisch auf über 35.000 Angriffe an. Das dürfte auch den neuen Methoden zuzurechnen sein.
Phishing-Techniken sind in ständigem Wandel
Die Angriffsmethoden Cyberkrimineller entwickeln sich ständig weiter und QR-Code-Phishing ist keine Ausnahme. Bemerkenswert ist jedoch, wie schnell sich diese Entwicklungen derzeit vollziehen:
- Angefangen hat es mit Standard-MFA-Verifizierungscodes. Diese waren recht simpel gehalten und forderten Benutzer auf, einen Code zu scannen, um entweder die MFA neu einzustellen oder sogar Finanzdaten einzusehen.
- Bei der zweiten Variante, QR-Code-Phishing 2.0, handelte es sich um bedingte Routing-Angriffe. Der Link erkennt, wo der Benutzer mit ihm interagiert, und passt sich entsprechend an, um authentischer zu wirken. Befindet sich der Benutzer auf einem Mac, wird ein anderer Link angezeigt, als wenn der Benutzer ein Android-Telefon verwendet.
- QR-Code-Phishing 3.0 entpuppt sich nun als Manipulationskampagne. Es handelt sich dabei nicht um einen herkömmlichen QR-Code, sondern um eine textbasierte Darstellung eines solchen. Das macht es für OCR-Systeme wesentlich schwieriger, ihn zu sehen und zu erkennen. Er zeigt auch, wie die Bedrohungsakteure sich anpassen.
Viele Anbieter von E-Mail-Sicherheitslösungen haben zuletzt einen neuen QR-Code-Schutz vorgestellt und nutzen dabei eine Form von OCR. Hacker wissen das und haben ihre Kampagnen darauf ausgerichtet. Möglicherweise ist dies lediglich die nächste Evolutionsphase im ewigen Katz-und-Maus-Spiel der Cybersicherheit: Hacker finden Lücken, Verteidiger schließen sie – dann beginnt der Kreislauf von Neuem.
Doch ist man auch diesen neuartigen Maschen nicht schutzlos ausgeliefert. IT-Verantwortliche sollten Sicherheitsmaßnahmen implementieren, die
- in E-Mails eingebettete QR-Codes automatisch entschlüsseln und die URLs auf bösartige Inhalte analysieren.
- eingebettete QR-Codes im E-Mail-Text umschreiben und durch einen sicheren, umgeschriebenen Link ersetzen.
- fortschrittliche Künstliche Intelligenz nutzen, um mehrere Indikatoren für Phishing zu erkennen.