Im aktuellen Threat Spotlight beschreibt Barracuda zwei Methoden, mit denen Cyberkriminelle QR-Codes in Phishing-Kampagnen tarnen. Dabei kommen sowohl aufgeteilte als auch verschachtelte Codes zum Einsatz, die konventionelle Sicherheitssysteme umgehen sollen.
Foto: adi - stock.adobe.com
Die Bedrohungsanalysten von Barracuda haben in einer aktuellen Untersuchung neue Techniken dokumentiert, mit denen Angreifer QR-Codes in Phishing-Kampagnen einsetzen. Ziel der Angriffe ist es, Nutzer über präparierte Codes auf gefälschte Webseiten zu leiten und dort Anmeldedaten oder andere sensible Informationen abzugreifen.
Eine der beobachteten Methoden wird von Gruppen eingesetzt, die auf das Phishing-as-a-Service-Kit Gabagool zurückgreifen. Dabei teilen die Angreifer einen schädlichen QR-Code in zwei einzelne Bilddateien auf und platzieren diese dicht nebeneinander in einer E-Mail. Für den Empfänger wirkt die Darstellung wie ein vollständiger QR-Code, Sicherheitslösungen erkennen jedoch lediglich zwei separate, unauffällige Bilder. Das Scannen führt auf eine gefälschte Microsoft-Webseite zum Zurücksetzen von Passwörtern.
Bei Angriffen, die dem Kit Tycoon zugeordnet wurden, kam eine andere Technik zum Einsatz: Ein legitimer QR-Code wurde mit einem schädlichen Code umgeben. Während der innere Code auf eine Google-Seite verweist, leitet der äußere Code auf eine präparierte, bösartige URL. Diese Verschachtelung erschwert die automatische Erkennung, da Scanner mehrdeutige Ergebnisse erhalten können.
Laut Barracuda gewinnen QR-Codes als Angriffsvektor an Bedeutung, da sie von Anwendern oft als vertrauenswürdig wahrgenommen werden und E-Mail-Filter umgehen können. Zudem wechseln viele Empfänger beim Scannen auf mobile Geräte, die nicht durch Unternehmenssicherheitslösungen geschützt sind. Empfohlen werden Schulungen zur Sensibilisierung, Multi-Faktor-Authentifizierung sowie ein mehrschichtiger E-Mail-Schutz mit KI-gestützten Analysefunktionen, die auch komplex verschachtelte Codes zuverlässig erkennen können.
