QR-Code-Phishing: Hacker nutzen ASCII-Zeichen, um Virenscanner zu umgehen
Hacker nutzen eine neue Methode des QR-Code-Phishings mit ASCII-Zeichen, um Virenscanner zu umgehen. Unternehmen sollten QR-Codes in E-Mails mit Vorsicht betrachten und geeignete Sicherheitsmaßnahmen ergreifen.
Cyberkriminelle erfinden ihre Methoden immer wieder neu: Sicherheitsforscher von Check Point haben eine neue Variante des QR-Code-Phishings entdeckt, das sogenannte „QR-Code-Phishing 3.0“. Dabei nutzen die Täter ASCII-Zeichen, um die in vielen E-Mail-Sicherheitssystemen integrierte optische Texterkennung (OCR) zu umgehen. Statt wie üblich Bilddateien zu verwenden, erstellen die Angreifer QR-Codes aus ASCII-Zeichen, einfachen Textbausteinen, aus denen Computer Buchstaben und Symbole darstellen. Diese gefälschten QR-Codes sehen täuschend echt aus und können von den Opfern wie normale QR-Codes gescannt werden. Die meisten E-Mail-Sicherheitssysteme verwenden OCR, um eingehende E-Mails auf schädliche Inhalte zu untersuchen. Dazu gehört auch die Erkennung von QR-Codes. Da die neuen ASCII-Codes jedoch als normaler Text dargestellt werden, können sie von diesen Systemen nicht erkannt und blockiert werden.
Die Bedrohungslage durch QR-Codes nimmt zu
Seit Juli 2023 beobachten die Sicherheitsforscher bereits die neuen Phishing-Methoden über QR-Codes, die sich zuletzt drastisch erhöht haben. Im Februar des laufenden Jahres registrierten sie über 10.000 Angriffe mittels QR-Codes – eine Steigerung um 1.688 Prozent im Vergleich zu Januar. Im März waren es bereits über 30.000 Attacken, im April sank die Zahl kurzweilig wieder auf rund 10.000 ab und stieg im Mai zuletzt wieder drastisch auf über 35.000 Angriffe an. Das dürfte auch den neuen Methoden zuzurechnen sein.
Die Angriffsmethoden Cyberkrimineller entwickeln sich ständig weiter und QR-Code-Phishing ist keine Ausnahme. Bemerkenswert ist jedoch, wie schnell sich diese Entwicklungen derzeit vollziehen. Angefangen hat es mit Standard-MFA-Verifizierungscodes. Diese waren recht simpel gehalten und forderten Benutzer auf, einen Code zu scannen, um entweder die MFA neu einzustellen oder sogar Finanzdaten einzusehen.
Bei der zweiten Variante, QR-Code-Phishing 2.0, handelte es sich um bedingte Routing-Angriffe. Der Link erkennt, wo der Benutzer mit ihm interagiert, und passt sich entsprechend an, um authentischer zu wirken. Befindet sich der Benutzer auf einem Mac, wird ein anderer Link angezeigt, als wenn der Benutzer ein Android-Telefon verwendet. Check Point hat auch benutzerdefinierte QR-Code-Kampagnen gesehen, bei denen die Hacker dynamisch das Logo des Unternehmens und sogar den richtigen Benutzernamen als Adressaten einfügen.
QR-Code-Phishing 3.0 entpuppt sich nun als Manipulationskampagne. Es handelt sich dabei nicht um einen herkömmlichen QR-Code, sondern um eine textbasierte Darstellung eines solchen. Das macht es für OCR-Systeme wesentlich schwieriger, ihn zu sehen und zu erkennen. Er zeigt auch, wie die Bedrohungsakteure sich anpassen. Viele Anbieter von E-Mail-Sicherheitslösungen haben zuletzt einen neuen QR-Code-Schutz vorgestellt und nutzen dabei eine Form von OCR. Hacker wissen das und haben ihre Kampagnen darauf ausgerichtet.
Möglicherweise ist dies lediglich die nächste Evolutionsphase im ewigen Katz-und-Maus-Spiel der Cybersicherheit: Hacker finden Lücken, Verteidiger schließen sie – dann beginnt der Kreislauf von Neuem. Doch ist man auch diesen neuartigen Maschen nicht schutzlos ausgeliefert.
Was können Unternehmen tun, um sich zu schützen?
IT-Verantwortliche sollten Sicherheitsmaßnahmen implementieren, die
- in E-Mails eingebettete QR-Codes automatisch entschlüsseln und die URLs auf bösartige Inhalte analysieren.
- eingebettete QR-Codes im E-Mail-Text umschreiben und durch einen sicheren, umgeschriebenen Link ersetzen.
- fortschrittliche Künstliche Intelligenz nutzen, um mehrere Indikatoren für Phishing zu erkennen.
