Toename van phishingaanvallen met QR-codes

Analisten van SecurityHQ hebben onlangs een aanzienlijke toename waargenomen in Business Email Compromise (BEC), met betrekking tot phishing-aanvallen met QR-codes (Quishing) en captcha's voor het verzamelen van gegevens.

Wat is Quishing?
In het steeds veranderende landschap van cybercriminaliteit ontdekken bedreigingsactoren voortdurend nieuwe methoden en gebruiken deze om organisaties aan te vallen. Een van deze nieuwe bedreigingen staat bekend als 'quishing' of QR-code phishing. Quishing-aanvallen vinden meestal plaats via het scannen van een QR-code. Bij deze techniek worden gebruikers van organisaties misleid om een QR-code te scannen met een mobiele telefoon. De QR-code leidt de gebruiker vervolgens door naar een phishing- of nepwebsite die als doel heeft om hun gegevens te stelen.
 
Waarom worden QR-codes gebruikt?
In het verleden gebruikten aanvallers verschillende soorten URL's en bijlagen om phishing e-mails af te leveren. Maar door de geavanceerde beveiligingscontroles van e-mailgateways is het omzeilen van de e-mailgateway geen eenvoudige taak.

Een van de belangrijkste redenen waarom dreigers voor de QR-code kiezen, is omdat het de eenvoudigste manier is om een gebruiker te dwingen van een desktop of laptop naar een mobiel apparaat te gaan, dat meestal geen antiphishingbescherming heeft. Daarnaast hebben ze meerdere voordelen ten opzichte van een phishing link die direct in een e-mail staat.

Een andere reden is dat deze phishingmails gemakkelijk door de e-mailbeveiligingsgateways komen, omdat de sandbox van de
e-mailgateway momenteel niet in staat is om QR-codes te scannen en te beoordelen of het om phishing gaat of niet. Door het gebrek aan inspectie van e-mailbeveiligingsgateways profiteren aanvallers hiervan en richten ze zich steeds vaker op gebruikers met QR-code phishingtechnieken.
 
Hoe werken quishing-aanvallen?
De aanval begint met een e-mail waarin wordt beweerd dat de ontvanger actie moet ondernemen om de instellingen van zijn of haar organisatieaccount bij te werken/te bekijken. Deze e-mails bevatten PNG, JPEG, GIF of bijlagen met een QR-code. De ontvanger wordt gevraagd deze te scannen om hun account te verifiëren. Deze e-mails tonen ook een urgentie om binnen 2-3 dagen te handelen in het onderwerp van de e-mail, zoals 'Dringend', 'Belangrijk', '2FA' en misleiden de gebruiker door e-mails te sturen die te maken hebben met salarissen, verhogingen en beoordelingen, enz.

De QR-codes in deze campagne gebruiken ook omleidingen in bekende domeinen zoals Baidu, GoDaddy, IPFS, enz. URL's om de doelwitten naar een Microsoft 365 phishingpagina te sturen om de beveiliging te omzeilen.

Wil je meer weten dan kun je HIER  de volledige blog lezen om alle stappen van dit type aanval te bekijken, geleverd door SecurityHQ-analisten, met schermafbeeldingen met aantekeningen uit het veld en aanbevelingen om dergelijke bedreigingen tegen te gaan.