Quishing ist eine Form des Phishings, bei der QR-Codes mit schädlichen Links genutzt werden, um potenzielle Opfer, die den Code scannen, auf eine gefälschte Webseite weiterzuleiten und von dort ihre Anmeldedaten oder andere sensible Informationen zu stehlen. Die Bedrohungsanalysten von Barracuda identifizierten diese Aufteilungs- und Verschachtelungstechniken bei Angriffen der führenden Phishing-as-a-Service-Kits (PhaaS) Tycoon und Gabagool.

Aufgeteilte QR-Codes

Angreifer, die Gabagool nutzten, setzten laut Barracuda aufgeteilte QR-Codes im Rahmen einer Microsoft-"Passwort Zurücksetzen"-Betrugsmasche ein. Ihr Ansatz bestand darin, den QR-Code in zwei separate Bilder zu teilen und diese dicht nebeneinander in einer Phishing-E-Mail zu platzieren – für das menschliche Auge wirkt das Ergebnis wie ein einziger QR-Code. Wenn jedoch konventionelle E-Mail-Sicherheitslösungen die E-Mail scannen, erkennen sie zwei unterschiedliche, harmlos aussehende Bilder anstelle eines vollständigen QR-Codes. Wenn der E-Mail-Empfänger den Code scannt, wird er auf eine Phishing-Webseite weitergeleitet, die darauf ausgelegt ist, seine Anmeldedaten zu stehlen.

Verschachtelte QR-Codes

Tycoon nutzte eine Verschachtelungstechnik, bei der ein legitimer QR-Code mit einem schädlichen QR-Code umhüllt wird. Der schädliche, außenliegende QR-Code verwies auf eine schädliche URL, während der legitime, innenliegende Code auf Google führte. Diese Technik wurde wahrscheinlich entwickelt, um Scannern die Bedrohungserkennung zu erschweren, da so mehrdeutige Ergebnisse geliefert werden.

"Schädliche QR-Codes sind bei Angreifern beliebt, da sie legitim erscheinen und in der Lage sind, konventionelle Sicherheitsmaßnahmen wie E-Mail-Filter und Link-Scanner zu umgehen", sagt Saravan Mohankumar, Manager des Threat Analysis Team bei Barracuda. "Da E-Mail-Empfänger oftmals zu einem mobilen Endgerät wechseln müssen, um einen QR-Code zu scannen, sind sie in diesem Moment nicht mehr von den Sicherheitsmaßnahmen des Unternehmens geschützt."

Schutz vor QR-Code-Bedrohungen

Neben grundlegenden Maßnahmen wie Schulungen zur Steigerung des Sicherheitsbewusstseins, Multifaktor-Authentifizierung und robusten Spam- und E-Mail-Filtern sollten Unternehmen einen mehrschichtigen E-Mail-Schutz in Betracht ziehen, der multimodale KI-Funktionen zur Erkennung sich schnell weiterentwickelnder Bedrohungen nutzt. Multimodale KI verbessert die Bedrohungserkennung, indem sie den QR-Code identifiziert, entschlüsselt und überprüft, ohne die eingebetteten Inhalte extrahieren zu müssen.