[datensicherheit.de, 30.12.2024] Vermehrt verlocken QR-Codes (QRC) u.a. auf Verpackungen, Plakaten oder sogar in Bars Verbraucher, einfach ihr Smartphone daran zu halten, um über den enthaltenen Link weitere Informationen zu erhalten oder andere Aktionen auszulösen. Diese vermeintliche Leichtigkeit sieht Chester Wisniewski, Sicherheitsexperte bei Sophos, kritisch und rät, trotz vieler Vorteile für Unternehmen und Konsumenten zur Vorsicht und Einzelfallprüfung.

Foto: Sophos

Chester Wisniewski: Ich sehe die Sicherheit von QR-Codes nicht besser werden!

QR-Codes versprechen Bequemlichkeit, Schnelligkeit und Sparsamkeit…

Wisniewski legt hierzu dar: „Der Mensch neigt bekanntlich zur Bequemlichkeit. Warum noch extra den Browser mit dem kleinen Smartphone-Display bemühen – da kommt ein QR-Code doch goldrichtig. Informationen, die auf der Stelle gebraucht werden, sind so schnell zur Hand.“ Diese Vorteile setzten nun immer mehr Unternehmen ein, beispielsweise um Kunden Zusatzinformationen zu Produkten oder deren Nutzung zu bieten. Er warnt eindringlich: „Und wie das immer so ist, sind Cyber-Kriminelle nicht weit, sobald sich eine Technik im Alltag durchgesetzt hat. ,Quishing’ heißt die Betrugsart mit QR-Codes.“ Diesen Trend hat Sophos nach eigenen Angaben in dem Beitrag beschrieben (s.u.).

Indes: QR-Codes erweisen sich offensichtlich wachsender Beliebtheit in Verkauf, Marketing und bei Bezahlsystemen. Wisniewski erläutert, wie es zu dieser Entwicklung kam und inwieweit sie das Kundenerlebnis gefühlt verbessern: „Niemand spricht gern in Computer-Art. Der Vorteil, ein Smartphone für schnelle Informationen oder Aktionen nutzen zu können, ist eine starke Motivation sowohl für die Anbieter als auch die Nutzer von QR-Codes.“ Dies in Kombination mit den ökologischen Vorzügen des Nicht-Ausdruckens von Dokumenten und der Tatsache, dass viele Unternehmen komplexe Tracking-Tokens in die URLs einbauen könnten, trage zur QRC-Verbreitung zusätzlich bei.

QR-Codes bieten durchaus großen Mehrwert – aber Bedenken zur Sicherheit nehmen zu

Während QR-Codes also durchaus einen großen Mehrwert böten, nähmen aber auch die Bedenken zu ihrer Sicherheit zu. Wisniewski führt aus, welche Arten von Betrug oder schadhaften Aktivitäten in den letzten Jahren aufgetaucht sind, welche Nutzer via QR-Codes ins Visier genommen hätten: Jeder könne QR-Codes herstellen und es sei nicht möglich, sie zu authentifizieren. „Es erfordert einen hohen Grad an Vertrauen beim Konsumenten, dass der QR-Code, den er am Parkscheinautomat oder auf dem Kaffeetisch sieht, echt ist!“

Sophos hat demnach von Vorfällen gehört – speziell in denen Zahlungen beteiligt waren – bei denen Betrüger QR-Codes ausgedruckt haben und diese auf echte QR-Codes aufklebten, um die Leute auf eine Phishing-Webseite zu lenken und dort ihre Kreditkarten-Daten und persönliche Informationen abzugreifen.

Kontrolle erforderlich – insbesondere, wenn QR-Codes öffentlich aushängen

Zur Frage, welche Schritte beispielsweise Händler unternehmen könnten, um sicherzustellen, dass die QR-Codes, welche sie in den Geschäften oder online einsetzen, sicher und legitimiert sind, und wie sie ihre Kunden vor potenziellem Betrug oder Phishing-Angriffen schützen, gibt Wisniewski zu bedenken: „Geschäfte, Händler, Gastronomie usw., die QR-Codes nutzen, sollten sie regelmäßig kontrollieren – insbesondere, wenn die QR-Codes öffentlich aushängen!“ Dies werde zu einer größeren Herausforderung bei verteilten Systemen wie etwa Parkscheinautomaten. Konsumenten seien daher gut beraten, keine QR-Codes zu scannen, denen sie nicht wirklich vertrauen könnten und lieber ein anderes Zahlungsmittel mit weniger Risiken verwenden.

Wisniewski betont: „Ich persönlich meide Geldautomaten, die zweifelhafte Tastaturen haben oder sich ersichtlich nicht im Originalzustand befinden – das gleiche könnte man für QR-Sticker anwenden.“ QR-Codes sollten wirklich niemals online genutzt werden, denn die meisten seien nur eine visuelle Form einer URL. Wenn man möchte, dass jemand auf einen Link klickt, dann sollte man auch einen Link benutzen. Es gebe Ausnahmen, aber im Allgemeinen bestätigten sie diese Regel.

Sicherste Weg für Konsumenten: QR-Codes eben nicht scannen

Wisniewski Tipp zu „Red Flags“, vor denen sich Konsumenten in Acht nehmen sollten, wenn sie QR-Codes in der Öffentlichkeit oder auf Produkten scannen, um nicht zum Opfer Cyber-Krimineller zu werden: „QR-Codes übertragen ein Bild in eine Webseiten-Adresse. Wenn der Code im Browser öffnet, sollte man auf die Adressleiste sehen und prüfen, wohin man als Nutzer gelenkt wurde.“

Gefalle dieses Ziel nicht, sei es klug, die betroffene Anwendung zu beenden. Der sicherste Weg für den Konsumenten sei, den QR-Code eben nicht zu scannen. „Stattdessen lieber die Lieblingssuchmaschine nutzen!“ Es existierten jedoch auch Applikationen für mobile Geräte (wie z.B. „Sophos Intercept X“), welche QR-Codes Scanner beinhalteten, „die auf schadhafte Links aufmerksam machen“.

Im Idealfall sollten QR-Codes fest und ersichtlich eingebettet sein und nicht nur als aufgeklebter Sticker vorliegen

Wisniewski wirft zum Abschluss seiner Ausführungen einen Blick in die Zukunft – wie sich die Rolle von QR-Codes im Verkauf und in anderen Branchen weiterentwickeln wird: Ob diese nun mittels neuer Technologien sicherer werden oder ob die Sicherheit eine Herausforderung bleiben wird. „Ich sehe die Sicherheit von QR-Codes nicht besser werden. Sie sind ursprünglich für Maschinen entwickelt worden und nicht dafür, dass Menschen sie im Alltag nutzen.“

Eine QRC-Authentifizierung stelle ein Aufgabe dar, welche sich nicht so simpel lösen lasse. „Im Idealfall sollten QR-Codes in Plakate, Produktverpackung etc. fest und ersichtlich eingebettet sein und nicht nur ein Sticker, der irgendwo draufgepappt wurde.“ Die Verantwortung liege aber durchaus beim Konsumenten: „Wenn ein QR-Code komisch erscheint, lieber die Finger davon lassen und auf eine bewährte, sichere Informationsgewinnung oder Zahlung setzten!“

Weitere Informationen zum Thema:

SOPHIS NEWS, Jörg Schindler, 07.11.2024
Sophos X-Ops / Cybercrime-Trend im Aufwind: Phishing mit QR-Codes

SOPHOS
Chester Wisniewski / Director, Global Field CTO

datensicherheit.de, 06.12.2024
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch / HR- und IT-bezogene Phishing-E-Mails machen signifikanten Anteil von 48,6 Prozent der weltweit am häufigsten angeklickten Phishing-Typen aus

datensicherheit.de, 26.03.2024
Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr / Schutz gegen QR-Code-Phishing durch phishing-resistente MFA für die Konten

datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt

[datensicherheit.de, 06.12.2024] KnowBe4 hat die neuesten Phishing-Trends im dritten Quartal 2024 in seinem aktuellen Report veröffentlicht – u.a. zeigt sich demnach, dass QR-Code-Phishing (sogenanntes Quishing) auf dem Vormarsch ist. „Der ,KnowBe4 Q3 2024 Phishing Report’ enthüllt die betrügerischen E-Mail-Betreffe, auf die Benutzer klicken, und zeigt, dass HR- und IT-bezogene E-Mails fast die Hälfte, der am häufigsten angeklickten Phishing-E-Mails ausmachen.“

Abbildung: KnowBe4

„KnowBe4 Q3 2024 Phishing Report“ enthüllt betrügerische E-Mail-Betreffzeilen, auf welche Benutzer reinfallen und so Quishing-Opfer werden

Einer von drei Nutzern anfällig für Phishing-Interaktion mit bösartigen Links oder betrügerischen Anfragen

KnowBe4 hat nach eigenen Angaben am 3. Dezember 2924 den eigenen „Q3 2024 Phishing Report“ veröffentlicht. Die Ergebnisse dieses Quartals zeigten die „am häufigsten angeklickten E-Mail-Betreffe in simulierten Phishing-Tests“, was die anhaltende Wirksamkeit von Phishing-Versuchen im HR- und IT-Bereich belege.

Der vorliegende Report zeige, dass HR- und IT-bezogene Phishing-E-Mails einen signifikanten Anteil von 48,6 Prozent der weltweit am häufigsten angeklickten Phishing-Typen ausmachten. Trotz der sich weiterentwickelnden Techniken böser Akteure gehörten Phishing-E-Mails nach wie vor zu den am weitesten verbreiteten Instrumenten für die Durchführung von Cyber-Angriffen.

Zudem zeige der „KnowBe4 Phishing by Industry Benchmarking Report 2024“, dass etwa einer von drei Nutzern anfällig für die Interaktion mit bösartigen Links oder betrügerischen Anfragen sei. Cyber-Kriminelle nutzten diese Schwachstelle aus, indem sie täuschend echte Phishing-E-Mails erstellten, „die sich an aktuellen Trends orientieren und menschliche Emotionen ausnutzen, um Dringlichkeit hervorzurufen und die Empfänger dazu zu bringen, auf bösartige Links zu klicken oder schädliche Anhänge zu öffnen“.

Anhaltende Bedrohung durch in E-Mails eingebettete Phishing-Links

Der Bericht unterstreiche die anhaltende Bedrohung durch in E-Mails eingebettete Phishing-Links, welche nach wie vor der beliebteste Angriffsvektor seien. Diese bösartigen Links, PDF-Anhänge und gefälschten Domänen führten bei Aufruf häufig zu schwerwiegenden Cyber-Attacken, einschließlich Ransomware-Angriffen und Kompromittierung von Geschäfts-E-Mails.

Der Bericht zeige auch eine Zunahme von Phishing-Kampagnen, welche QR-Codes verwendeten. Zu den beliebten QR-Code-Phishing-Themen gehörten Erinnerungen der Personalabteilung an die Überprüfung von Richtlinien und DocuSign-E-Mails mit der Aufforderung, ein dringendes Dokument zu unterzeichnen, sowie Einladungen zu „zoom“-Meetings.

Solche Nachrichten – oft als Mitteilungen der Personalabteilung, von Kollegen oder externen Anbietern getarnt – stellten ein erhebliches Risiko dar, da sie von Angreifern leicht nachgeahmt werden könnten.

Phishing-Bericht zeigt, dass -Taktiken immer raffinierter werden

„Unser neuester Phishing-Bericht zeigt, dass die Phishing-Taktiken immer raffinierter werden und Cyber-Kriminelle zunehmend das Vertrauen der Mitarbeiter in die interne Kommunikation ausnutzen“, so Stu Sjouwerman, „CEO“ von KnowBe4.

Die Zunahme von Phishing-Versuchen mit HR- und IT-Themen in Verbindung mit neuen Techniken wie der Integration von QR-Codes schaffe eine komplexe Bedrohungslandschaft. Diese Taktiken seien besonders tückisch, da sie die vermeintliche Legitimität vertrauenswürdiger Quellen ausnutzten und oft zu voreiligen Handlungen verleiteten, „bevor sie überprüft wurden“.

Sjouwermans Fazit: „In diesem sich schnell verändernden Umfeld sind gut ausgebildete Mitarbeiter und eine solide Sicherheitskultur nicht nur von Vorteil, sondern unerlässlich. Indem ,Human Risk Management’ Priorität eingeräumt wird, können Unternehmen eine wirksame Verteidigung gegen vermeidbare Cyber-Bedrohungen aufbauen!“

Weitere Informationen zum Thema:

KnowBe4
TOP-CLICKED PHISHING TESTS

KnowBe4
PHISHING BY INDUSTRY BENCHMARKING REPORT / 2024 EDITION

datensicherheit.de, 26.03.2024
Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr / Schutz gegen QR-Code-Phishing durch phishing-resistente MFA für die Konten

datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt

datensicherheit.de, 24.10,2023
Quishing: Zunahme von QR-Code-Phishing / Sicherheitsforscher von Check Point warnen vor neuer Art von Phishing-Angriffen

[datensicherheit.de, 31.01.2024] Check Point liefert in einer aktuellen Meldung ein Update zum Thema „Quishing“: Demnach wurde eine neue Kampagne entdeckt, bei der QR-Codes so verwendet werden, dass die Phishing-Attacke sich dem Gerät des Nutzers anpasst, um glaubwürdiger zu erscheinen.

Bedrohliche Zunahme an QR-Code-Phishing

„Check Point Research“ (CPR), die „Threat Intelligence“-Abteilung bei der Check Point® Software Technologies Ltd., hatte nach eigenen Angaben bereits festgestellt, dass QR-Code-Phishing (sogenanntes Quishing) als Betrugsversuch zwischen August und September 2023 um 587 Prozent in der Häufigkeit gestiegen ist.

Bedrohung durch verseuchten QR-Code

Nun legten die Hacker nach: Die Attacken funktionierten nun als bedingtes Routing, wodurch sie sich automatisch an das Gerät des Nutzers, seinen Browser und die Bildschirmgröße anpassten. Zugrunde liege indes die alte Quishing-Technik, nämlich ein verseuchter Code. Im kürzlich entdeckten Fall sollten die Anwender eine Beitragsübersicht prüfen und dafür den QR-Code mit dem angeblichen Link einlesen.

QR-Codes nicht blind vertrauen!

Angesichts der Tatsache, dass seit Jahren die meisten Cyber-Attacken mit Phishing als Vorhut beginnen, sollten Privat-Anwender laut Check Point künftig sehr genau hinschauen, welchen QR-Code sie scannen, während Unternehmen auf jeden Fall eine Sicherheitsarchitektur benötigten, „die auch QR-Codes prüfen kann und dabei Maschinenlernen und Künstliche Intelligenz zur Analyse einsetzt“.

Weitere Informationen zum Thema:

CHECK POINT, Jeremy Fuchs, 23.01.2024
Conditional QR Code Routing Attacks

[datensicherheit.de, 24.10,2023] Die Check Point® Software Technologies Ltd. warnt in einer Stellungnahme vor einer neue Variante des Phishings – vor sogenanntem Quishing (QR-Code-Phishing). Eigentlich harmlose QR-Codes eignen sich demnach hervorragend, um bösartige Absichten zu verschleiern: „Hinter einem üblichen QR-Code-Bild kann sich ein schädlicher Link verbergen, was kaum ersichtlich ist.“ Da Anwender daran gewöhnt seien, QR-Codes zu scannen, werde ein solcher Code in einer E-Mail oft nicht als Bedrohung erkannt.

QR-Code-Phishing, um Zugangsdaten zu stehlen

Aus diesem Grund raten die Sicherheitsforscher, „sehr genau auf den Absender zu achten, wenn eine E-Mail einen QR-Code enthält“. Im Zweifelsfall sollte man lieber die jeweilige Website direkt aufrufen.

Bei einem entdeckten Angriff hätten die Hacker einen QR-Code erstellt, „der zu einer Seite führt, auf der Anmeldeinformationen gesammelt werden“. Der angebliche Grund sei, dass die Microsoft-Multi-Faktor-Authentifizierung ablaufe und man sich deshalb erneut authentifizieren solle.

Entgegen der Behauptung des Textes, von Microsoft Security zu stammen, gehöre die Absenderadresse einer anderen Quelle. „Sobald der Benutzer den QR-Code scannt, wird er auf eine Seite geleitet, die wie die Website von Microsoft aussieht, aber in Wirklichkeit nur dazu dient, seine Zugangsdaten zu stehlen.“

Bekämpfung von QR-Code-Phishing-Angriffen als Herausforderung

Der Angriff funktioniert laut Check Point folgendermaßen: „Ein Bild mit dem Text wird erstellt, um einige Sprachanalyse-Tools zu umgehen.“ Als Gegenmaßnahme komme oft eine optische Zeichenerkennung (OCR) zum Einsatz (OCR wandelt Bilder in Text um, um ihn lesbar zu machen).

Die Hacker hätten jedoch eine andere Möglichkeit gefunden, dies zu umgehen, nämlich einen QR-Code. Diese Angriffe zu bekämpfen, sei komplizierter. Die OCR müsse in eine Funktion zur QR-Code-Erkennung integriert, in die URL übersetzt und durch URL-Analysetools analysiert werden.

Man könne zwar nicht immer wissen, in welche Richtung die Hacker als nächstes gehen werden. Allerdings verfügten die Verteidiger über grundlegende Werkzeuge, um diese zu bekämpfen, wie die Befolgung des Inline-Verschlüsselungsverfahrens sowie das Umhüllen von URLs und Emulations-Tools oder die Öffnungsverschlüsselung.