De populaire QR-codes worden al langer misbruikt voor phishingdoeleinden, maar sinds kort gebruiken cybercriminelen twee nieuwe technieken om de detectie van schadelijke QR-codes te omzeilen. En die zijn even vernuftig als gevaarlijk, zo ontdekten onderzoekers van cyberbeveiliger Barracuda.
Het wordt ook wel ‘quishing’ genoemd: de vorm van phishing waarbij de schadelijke link in een QR-code wordt verpakt. Wie met zijn smartphone nietsvermoedend zo’n code scant, belandt op een valse website die ontworpen is om inloggegevens of andere gevoelige informatie te stelen. Tot zover niets nieuws. Onderzoekers van Barracuda ontdekten recent echter nieuwe splitsings- en nesting-technieken in aanvallen via de veelgebruikte PhaaS-kits (phishing-as-a-service) Tycoon en Gabagool.
Gesplitste QR-codes
De Gabagool-aanvallers pasten onlangs gesplitste QR-codes toe in nepmails van Microsoft, waarin gebruikers werden gevraagd om hun wachtwoord te resetten. Bij deze techniek wordt de schadelijke QR-code in twee afzonderlijke afbeeldingen gesplitst, die vervolgens naast elkaar in een phishing-e-mail worden plaatst. Zo lijkt het dan één enkele QR-code.
Wanneer traditionele e-mailsecurityoplossingen dit bericht scannen, zien ze twee afzonderlijke en onschuldig ogende afbeeldingen in plaats van één complete QR-code. Als de ontvanger echter de afbeelding scant, wordt hij naar een malafide website geleid die is ontworpen om Microsoft-inloggegevens te stelen.
Geneste QR-codes
De Tycoon PhaaS-kit maakt sinds kort dan weer gebruik van de zogeheten nesting-methode om een schadelijke QR-code rond een legitieme QR-afbeelding te plaatsen. In een onderschepte aanval verwees de buitenste code naar een schadelijke URL, terwijl de binnenste QR-code naar een website van Google leidde. Ook deze techniek is volgens Barracuda waarschijnlijk ontworpen om het voor beveiligingsoplossingen moeilijker te maken om de dreiging te detecteren.
‘Schadelijke QR-codes zijn populair bij aanvallers omdat ze er legitiem uitzien en traditionele securitymaatregelen, zoals e-mailfilters en linkscanners, kunnen omzeilen’, zegt Saravan Mohankumar, Manager Threat Analysis bij Barracuda. ‘Omdat ontvangers vaak moeten overschakelen naar een mobiel toestel om de code te scannen, zijn ze mogelijk niet langer beschermd door de securitymaatrelen van het bedrijf.’
‘Multimodale AI’
De cyberbeveiliger adviseert organisaties daarom om, bovenop alle basisprincipes van security, het e-mailverkeer te beveiligen met multimodale AI-mogelijkheden. ‘Multimodale AI verbetert de detectie door QR-codes te identificeren, te decoderen en te inspecteren, zonder dat de ingebedde inhoud hoeft te worden geëxtraheerd’, klinkt het bij Barracuda.