Phishing is een techniek die hackers vaak inzetten, ondanks dat de aanval al jaren oud is. Kleine veranderingen aan de techniek blazen phishing telkens opnieuw leven in. Het gaat dan voornamelijk om een verandering van het medium. Waar phishing traditioneel via e-mail werd verspreid, smishing via sms, is er nu quishing, hiervoor worden QR-codes misbruikt.
Bij quishing misbruiken hackers het principe van QR-codes. Deze codes scannen mensen met hun smartphone, zodat ze worden doorgestuurd naar de website waar de QR-code voor werd gemaakt.
Recente opkomst Quishing
Hoewel QR-codes al langere tijd bestaan, zo zou de eerste code al in 1994 zijn bedacht, wonnen ze pas bijna 25 jaar later aan populariteit. Dat gebeurde onder impuls van de coronapandemie. Voornamelijk in horeca begonnen de fysieke menukaarten te verdwijnen en maakten ze plaats voor QR-codes. Op die manier diende het horecapersoneel niet telkend de menukaarten te desinfecteren alvorens ze aan de volgende klant te geven. De QR-code scande iedere klant natuurlijk met zijn eigen smartphone. Het nut van deze codes wat overduidelijk de verminderde kans op besmetting.
Door de pandemie zijn QR-codes als het ware genormaliseerd. Zowat iedereen met een smartphone zal ondertussen weten hoe een dergelijke code gescand moet worden. Bovendien is veel horeca niet van het principe afgestapt en duiken de codes ook op andere plaatsen steeds vaker op. Dat komt doordat er een grotere gewilligheid is om de codes te scannen, nu ze niet meer iets vreemd en onbekend zijn bij het grote publiek.
Hackers verspreiden ze eenvoudig
Hackers maken dankbaar van de evolutie gebruik. Dat komt enerzijds doordat ze eenvoudig te verspreiden zijn. Het is al mogelijk om een code ergens op een openbare plaats te laten rondslingeren en er zal vast wel iemand nieuwsgierig genoeg zijn om de code te scannen.
Bijkomend zijn ze ook eenvoudig te verspreiden via e-mail. Zelfs de nieuwste anti-phishing-systemen uit een mailbox weten doorgaans niet te filteren op dergelijke codes. E-mails tonen onmiddellijk de QR-code, omdat deze als afbeelding en niet als bijlage wordt meegestuurd. Al kan een vage of reeds bekende valse afzender wel de alarmbellen van het afweersysteem laten afgaan. Dat wil alsnog zeggen dat deze vorm van phishing-e-mails eenvoudiger in mailboxen terechtkomt. Nu mensen ook meer weet hebben van de wijze waarop dergelijke codes werken, is de bereidheid om de code te scannen meteen ook gestegen.
Bedrog via Quishing moeilijk te herkennen
Naast dat de filters in de inboxen niet optimaal werken, is het ook belangrijk te weten dat veel werknemers en individuen vatbaar zijn voor phishing. De kans dat een werknemer in een phising-bericht trapt neemt wel af bij het volgen van een training. Dergelijke trainingen volgen overigens de laatste trends in de cyberwereld altijd op. In security awareness trainingen zit dus al een luik om werknemers te waarschuwen voor qishing.
Met een QR-code neemt het risico dat het slachtoffer de phishing-link volgt nog eens toe. Er is geen bijgevoegde tekst in de e-mail die door spellingsfouten op bedrog kan duiden en ook de achterliggende URL is nog niet zichbaar. Slachtoffers gaan er daardoor sneller vanuit dat het veilig is de code te scannen.
Factoren om op te letten
Onderzoek van Inky, een aanbieder van e-mailbeveiligingsoplossingen, bewees eerder al dat quishing in opmars is. Hierdoor konden de onderzoekers ook enkele algemene patronen bij dit type aanval signaleren, wat goed is om in het achterhoofd te houden als er een QR-code in je eigen inbox belandt.
- De opmaak van de e-mail moet het laten lijken of Microsoft de afzender is.
- De afzender gebruikt in het e-mailadres het bedrijf waarin het slachtoffer werkt.
- Er zouden problemen zijn met het account, waardoor het slachtoffer moet inloggen met 2FA of een wachtwoord om de problemen op te lossen.
- Het verzoek is erg dwingend en tijdsgebonden.
- Als het verzoek niet wordt ingelost, zouden er gevolgen zijn zoals de vergrendeling van het account.
- Een duidelijk verzoek om de code te scannen met de smartphone.
De smartphone is overigens een bijkomende kwetsbaarheidsfactor van quishing. Hackers vragen specifiek om de code met de camera van dit toestel te scannen, omdat smartphones doorgaans geen afweermiddelen vanuit het bedrijf kregen geïnstalleerd. De niet-beveiligde, kwaadaardige website kan door de security-systemen op de computer anders alsnog worden geblokkeerd.
Meer gevaren aan QR-codes
QR-codes zijn door hackers geliefd en door cybersecurity-professionals gevreesd om nog om een andere reden. Het gaat hier om een ander type aanval, genaamd QRLJacking of Quick Response Code Login Jacking. Hier maken hackers misbruik van applicaties die gebruikers de mogelijkheid geven om in te loggen met QR-code. Sommige applicaties kiezen voor deze methode doordat het eenvoudig is voor gebruikers, maar dat komt niet zonder risico.
In QRLJacking kopiëren de hackers de originele en veilige code van een betrouwbare bron. Deze gekopieerde code plaatst de hacker vervolgens in een zelfontworpen, kwaadaardige website. Vervolgens verstuurt de hacker de link in een phising-e-mail naar het slachtoffer. Hier is er dus wel een grotere kans dat het beveiligingssysteem in de e-maildienst reeds ingrijpt en het bericht naar de spam sorteert. Mocht het slachtoffer toch de link openklikken en inloggen op de gekopieerde QR-code, dan krijgt de hacker de inloggegevens van het slachtoffer in handen.
Hoewel het scannen van een code met een smartphone dus een handig hulpmiddel is geweest voor de horeca tijdens de pandemie, komt de opmars van de QR-code niet zonder gevaar. Aangezien aanbieder van security-oplossingen al middelen bedachten om werknemers op de hoogte te brengen van de gevaren, is het duidelijk dat hackers deze methode steeds vaker gebruiken. Beveiligingssystemen in de mailbox hebben nog geen goede afweersystemen en laten deze vorm van phishing eenvoudig door. Dat verklaart de populariteit van de QR-code, maar maakt werknemers ook extra kwetsbaar voor quishing.