Aanvallers omzeilen security met QR-code phishing
Cyberbeveiliger Barracuda waarschuwt voor een nieuwe generatie QR-code phishing-aanvallen die de traditionele securitytools weten te omzeilen. Het gaat daarbij onder meer om QR-codes die zijn opgebouwd uit ASCII/Unicode-teksttekens in plaats van de bekende statische blokjesafbeelding.
Bij een andere nieuwe Quishing-techniek (jargon voor QR-code phishing) worden zogenaamde Blob-URI’s (Binary Large Object, Universal Resource Identifiers) gebruikt om phishing-links te bouwen die moeilijk te detecteren zijn. De onderzoekers van Barracuda hebben evenwel (nog) geen gevallen gezien waarbij beide technieken tegelijkertijd werden gebruikt.
Niet herkend door detectiesystemen
De onlangs ontdekte QR-codes bestaan zoals gezegd uit ASCII/Unicode-tekens en zien er in een e-mailbericht hetzelfde uit als een traditionele QR-code. ‘Ze kunnen dus ook gewoon met een smartphone gescand worden om bijvoorbeeld een website te openen. Detectiesystemen die alleen de standaard QR-afbeeldingen scannen zullen deze ASCII QR-codes echter niet als zodanig herkennen. Ze zullen deze dus ook niet blokkeren, mocht er een kwaadaardige link achter schuilgaan’, aldus Barracuda.
Ook met Blob-URI’s proberen aanvallers detectie te omzeilen. Omdat zo’n Blob-URI geen gegevens van externe webpagina’s laadt, zullen traditionele URL-filter- en scantools de inhoud van deze URI’s in eerste instantie mogelijk niet als schadelijk herkennen. Blob URI’s zijn ook moeilijk op te sporen en te analyseren, omdat ze dynamisch worden aangemaakt en snel kunnen verlopen.
Moeilijker te blokkeren
‘Bij traditionele QR-code-aanvallen plaatsen aanvallers schadelijke links in een afbeelding van een QR-code. Securitytools scannen die afbeelding op bekende schadelijke links en blokkeren deze’, vertelt Ashitosh Deshnur, Threat Analyst bij Barracuda. ‘Maar de nieuwste Quishing-technieken proberen dit te omzeilen door het onmogelijk te maken om de QR-code juist te lezen, of door het lastiger te maken voor detectiesystemen om schadelijke inhoud te blokkeren.’
QR-code phishing-aanvallen vormen volgens de cyberbeveiliger een groeiende dreiging voor organisaties. ‘Het is daarom essentieel om meerlaagse verdedigingsstrategieën te implementeren, bij voorkeur op basis van AI, om nieuwe bedreigingen te detecteren, sterke toegangs- en verificatiecontroles in te stellen, medewerkers te trainen en een sterke securitycultuur te bevorderen’, luidt het advies van Barracuda.
In samenwerking met Data News