Eddy Willems

Nieuwe feature Windows 10 zet deur voor phishers wagenwijd open

Eddy Willems Security-evangelist bij G Data

Al eerder heb ik kritische kanttekeningen geplaatst bij beslissingen die Microsoft heeft genomen voor Windows 10 (hier en hier). En helaas moet ik mij opnieuw negatief uitlaten over een nieuwe feature die Microsoft deze zomer in Windows 10 wil inbrengen. Toegegeven: het idee is zeer gebruiksvriendelijk. Helaas opent het een enorme deur voor cybercriminelen: de nieuwe Blue Screen of Death (BSOD) met QR-code.

Nieuwe feature Windows 10 zet deur voor phishers wagenwijd open

Wie kent hem niet? Het gevreesde Blue Screen of Death dat op ieder willekeurig moment plotseling opdoemt en je onopgeslagen werk van de afgelopen uren ongedaan maakt. Je zat eenvoudigweg te typen in een Word-document (daarover gesproken, ik ga nu alvast even op de ‘save’-knop klikken) of op internet een artikel te lezen en opeens wordt het scherm blauw. Geen idee waarom. Windows wil de gebruiker vanaf deze zomer meer inzicht geven in het waarom van het BSOD en gaat elk blauw scherm voorzien van een QR-code. Als de gebruiker deze QR-code scant, komt hij op de webpagina terecht waarop wordt uitgelegd waar zijn specifieke BSOD door is ontstaan. Dat is mooi, want zo kan de gebruiker lezen wat er mis is gegaan en kan hij wellicht stappen nemen om deze error in de toekomst te voorkomen. Het is niet nodig om een lange URL over te typen op een tweede apparaat, de QR-code doet dat werk voor je. Wel is het zo dat je de errorcode nog handmatig op de webpagina moet intypen om de juiste informatie te krijgen. Ook is het jammer dat het probleem niet kan worden opgelost voordat er een systeemcrash heeft plaatsgevonden. Maar al met al is het een gebruiksvriendelijke feature, die het leven een beetje gemakkelijker maakt.

Het idee is zeer gebruiksvriendelijk. Helaas opent het een enorme deur voor cybercriminelen

Maar wat is nu het gevaar? Er zijn twee aannemelijke scenario’s denkbaar, één waarbij de gebruiker een malware-infectie oploopt en een tweede die hem serieus geld kan kosten door een slimme phishing-aanval. Het eerste scenario begint met een nagemaakte BSOD met een QR-code. De QR-code leidt naar een webpagina met schadelijke code (voor Android of iOS). Het scannen van de QR-code met de smartphone is al genoeg om een drive-by-download te genereren en het apparaat te infecteren. In het G DATA SecurityLab zien we de laatste maanden een toename van drive-by-downloads voor Android. QR-codes zijn ideaal voor cybercriminelen die zich op Android en iOS hebben toegelegd, omdat je weet dat alle slachtoffers door het scannen van de QR-code gegarandeerd met hun mobiele apparaat op die pagina komen. Een BSOD van de pc is -anders dan een reclamezuil of de verpakking van koekjes, waar ook QR-codes kunnen worden gevonden) een goede motivator voor gebruikers om een QR-code te scannen. Mobiele apparaten vormen vaak de zwakke schakels in de beveiliging van bedrijfsnetwerken, dus de gevolgen kunnen desastreus zijn.

Het tweede scenario is minstens zo vervelend. Daarbij wordt ook een namaak-BSOD met QR-code getoond. De site waar de QR-code naartoe leidt is niet geïnfecteerd, maar ziet eruit als een echte Windows Support Page. Op deze pagina kan de gebruiker worden verleid om inloggegevens, contactgegevens en zelfs creditcardgegevens in te geven om het ‘probleem’ opgelost te krijgen.

Wellicht hebben wij bij G DATA een beetje een ‘dirty mind’ dat wij zo gemakkelijk aanvalsscenario’s bedenken. Maar om misdaad te bestrijden, moet je kunnen denken als een crimineel. Het wordt tijd dat Microsoft non-stop als crimineel gaat denken wanneer nieuwe plannen worden bedacht. Hopelijk ziet Microsoft in dat de QR-code in het BSOD geen goed idee is, en wordt het plan nog teruggedraaid.

Meer gedetailleerde informatie over het geplande nieuwe BSOD:

Partner Content