Witold Kepinski - 24 juni 2024

ASCII gebaseerde QR-codes nemen een vlucht

Quishing, QR-code phishing, is een snel evoluerende bedreiging. De onderzoekers van Check Point Research, de Threat Intelligence tak van cyberbeveiliger Check Point, merkten een enorme stijging in het aantal aanvallen met QR-codes op. Zo was er tussen januari en maart van dit jaar een stijging van 587 procent en tussen april en mei 2024 een stijging van 363 procent. Tevens merkten zij een verandering in het type QR-code aanvallen op, waarbij de QR-code niet in een afbeelding staat, maar in plaats daarvan is gemaakt via HTML en ASCII-tekens (American Standard Code for Information Interchange).

ASCII gebaseerde QR-codes nemen een vlucht image

QR-codes zijn makkelijk aan te maken en verwijzen doorgaans naar een link. Kwaadwillenden gebruiken de technologie om gebruikers naar malafide websites te lokken, bijvoorbeeld door middel van een email met de melding dat multi-factor authenticatie verloopt en dat de gebruiker zich opnieuw moet authenticeren.

Gemaakt via HTML en ASCII-tekens

Check Point Research ontdekte eind mei zo'n 600 voorbeelden van een nieuwe phishingcampagne, waarbij de QR-code niet in een afbeelding staat, maar in plaats daarvan is gemaakt via HTML en ASCII-tekens. ASCII (American Standard Code for Information Interchange) is het meest gebruikte tekencoderingsformaat voor tekstgegevens op computers en op internet.

Het voorbeeld hieronder toont het verschil tussen een klassieke QR-code en een QR-code gebaseerd op ASCII-tekens. Het onderscheid is subtiel, maar de ene is een afbeelding en de andere is gecreëerd via HTML. Dit vormt precies het probleem. Deze “QR-codes” worden gecreëerd met ASCII-tekens om zo OCR-engines, optische tekenherkenning (Optical Character Recognition), te omzeilen. De afbeelding wordt opgebouwd in kleine blokjes in de HTML. Meegestuurd in een e-mail ziet het eruit als een QR-code. Maar een beveiligingssysteem zal dit niet herkennen, waardoor het de mail behandelt alsof het een gewone e-mail is.

Links: QR-code uit de phishingcampagne. Rechts: standaard QR-code

Voorbeeld van e-mail met een herauthenticatie verzoek. Achter de QR-code zitten ASCII-tekens, die niet als afbeelding worden herkend door beveiligingssystemen.

Kat-en-muisspel

"Aanvalsvormen evolueren snel en QR-code phishing blijkt daarop geen uitzondering. Het is het nooit eindigende kat-en-muisspel van cyberbeveiliging. Hackers vinden iets om uit te buiten. Cyberbeveiligers vinden een oplossing. Hackers vinden weer iets om uit te buiten. En ga zo maar door. Wat begon met relatief eenvoudige aanvallen waarbij links naar malafide websites leidden om persoonlijke gegevens te stelen of malware te installeren, veranderde in aangepaste QR-code campagnes, waarbij hackers dynamisch het logo van het bedrijf en de juiste gebruikersnaam invulden. En nu vinden we manipulatiecampagnes, waarbij 'look-a-like' QR-codes worden ingezet: een op tekst gebaseerde weergave van een OR-code. Beveiligingssystemen hebben veel moeite om deze te zien en te detecteren", stelt Zahier Madhar, cybersecurity engineer expert bij Check Point.

“Quishing is moeilijk te herkennen en vaak zie je niet direct waar een QR-code naartoe leidt. Om je te beschermen tegen dergelijke aanvallen, kies je best voor beveiliging die de QR-codes in e-mails automatisch decodeert en de URL’s analyseert op schadelijke inhoud. Daarnaast zijn er programma's die de ingesloten QR-codes in een e-mail herschrijven en vervangen door een veilige link. Vertrouw daarbij niet alleen op beveiligingsoplossingen op computers. Dit biedt weinig bescherming wanneer je een QR-code scant met een mobiele telefoon. Beveiliging bestaat uit meerdere lagen en het is belangrijk om elk apparaat en elke toegang te beschermen. En omdat phishing steeds slimmer wordt, kun je tegenwoordig niet zonder geavanceerde AI om naar meerdere indicatoren van phishing te kijken.”

Axians 12/11/2024 t/m 26/11/2024 BN+BW