Cyber­cri­mi­nelen gebruiken twee nieuwe technieken waarmee ze proberen de detectie van schade­lijke QR-codes te omzeilen bij phishing­aan­vallen. Hierbij worden schade­lijke QR-code in twee delen gesplitst om tradi­ti­o­nele scansys­temen te verwarren, of worden schade­lijke QR-code genest in of rond een tweede, legitieme QR-code.

Quishing is een vorm van phishing waarbij QR-codes worden gebruikt die zijn voorzien van schade­lijke links die, wanneer ze worden gescand, slacht­of­fers naar valse websites leiden die zijn ontworpen om hun inlog­ge­ge­vens of andere gevoe­lige infor­matie te stelen. Onder­zoe­kers van Barra­cuda ontdekten de nieuwe split­sings- en nesting­tech­nieken in aanvallen van de veelge­bruikte phishing-as-a-service (PhaaS)-kits Tycoon en Gabagool.

Gesplitste QR-codes

De Gabagool-aanval­lers hebben gesplitste QR-codes toege­past in nepmails van Micro­soft, waarin gebrui­kers werden gevraagd om hun wacht­woord te resetten. Bij deze techniek wordt de schade­lijke QR-code in twee afzon­der­lijke afbeel­dingen gesplitst, die vervol­gens naast elkaar in een phishing-e-mail worden gezet. Zo lijkt het dan één enkele QR-code. Wanneer tradi­ti­o­nele e‑mailsecurityoplossingen dit bericht scannen, zien ze twee afzon­der­lijke en onschuldig ogende afbeel­dingen in plaats van één complete QR-code. Als de ontvanger echter de afbeel­ding scant, wordt hij naar een phishing­web­site geleid die is ontworpen om Micro­soft inlog­ge­ge­vens te stelen. 

Geneste QR-codes

De Tycoon PhaaS maakt gebruik van de nesting­me­thode om een schade­lijke QR-code rond een legitieme QR-code te plaatsen. De schade­lijke buitenste QR-code verwees naar een schade­lijke URL, terwijl de binnenste QR-code naar Google leidde. Deze techniek is waarschijn­lijk ontworpen om het voor scanners moeilijker te maken deze dreiging te detec­teren, omdat de resul­taten niet eenduidig zijn.

“Schade­lijke QR-codes zijn populair bij aanval­lers omdat ze er legitiem uitzien en tradi­ti­o­nele securi­ty­maat­re­gelen zoals e‑mailfilters en links­can­ners kunnen omzeilen”, zegt Saravan Mohan­kumar, Manager Threat Analysis bij Barra­cuda. “Omdat ontvan­gers vaak moeten overscha­kelen naar een mobiel device om de code te scannen, zijn ze mogelijk niet langer beschermd door de securi­ty­maat­relen van het bedrijf. Aanval­lers zullen steeds weer nieuwe technieken blijven uitpro­beren om securi­ty­maat­re­gelen een stap voor te blijven. Dit is waar geïnte­greerde, AI-gestuurde bescher­ming echt het verschil kan maken.”

Bescherming tegen evoluerende QR-codes

Naast de essen­tiële basis­prin­cipes zoals bewust­wor­dings­trai­ning op het gebied van cyber­se­cu­rity, multi-factor authen­ti­catie en robuuste spam- en e‑mailfilters, moeten organi­sa­ties overwegen om meerlaagse e‑mailsecurity te imple­men­teren die multi­mo­dale AI-mogelijk­heden integreert om zo snel evolu­e­rende dreigingen te detec­teren. Multi­mo­dale AI verbe­tert de detectie door QR-codes te identi­fi­ceren, te decoderen en te inspec­teren, zonder dat de ingebedde inhoud hoeft te worden geëxtraheerd.

Kijk voor meer infor­matie op: https://​blog​.barra​cuda​.com/​2​0​2​5​/​0​8​/​2​0​/​t​h​r​e​a​t​-​s​p​o​t​l​i​g​h​t​-​s​p​l​i​t​-​n​e​s​t​e​d​-​q​r​-​c​o​d​e​s​-​q​u​i​s​h​i​n​g​-​a​t​t​acks