Het aantal phishingpogingen met behulp van QR-codes (quishing) neemt toe, stelt Check Point Research, de onderzoeksafdeling van cyberbeveiliger Check Point. Ook zijn de gebruikte malafide QR-codes steeds vaker opgebouwd uit ASCII-tekens die ongezien langs systemen voor optische tekenherkenning weten te komen omdat het strikt genomen geen afbeeldingen zijn, maar tekst.
Dit jaar is het aantal aanvallen met QR-codes aanzienlijk toegenomen, meldt Check Point Research. Tussen januari en maart van dit jaar namen de onderzoekers een stijging waar van 587 procent, tussen april en mei nog eens een stijging van 363 procent. De QR-codes duiken bijvoorbeeld op in e-mails die cybercriminelen naar hun slachtoffers sturen, met daarbij de instructie de code te scannen om multifactor-authenticatie opnieuw in te stellen omdat deze zou verlopen.
In werkelijkheid leidt de QR-code het slachtoffer naar een malafide website, waar bijvoorbeeld de website van de bank van het slachtoffer is nagemaakt. Laat die zijn of haar gegevens daar achter, dan kan het leed niet te overzien zijn.
QR-codes gemaakt van ASCII-tekens in opkomst
De onderzoekers kwamen in mei zo’n 600 voorbeelden tegen van een nieuw soort quishingcampagne, waarbij de QR-code niet in een afbeelding staat, maar is gemaakt met ASCII-tekens en via HTML wordt weergegeven. ASCII (American Standard Code for Information Interchange) is het meest gebruikte tekencoderingsformaat voor tekstgegevens op computers en op internet.
Het voorbeeld hieronder toont het verschil tussen een klassieke QR-code (rechts) en een QR-code gebaseerd op ASCII-tekens. Het onderscheid is subtiel, maar de ene is een afbeelding en de andere is oorspronkelijk gecreëerd via HTML. In een e-mail ziet deze er op het eerste gezicht uit als een ‘gewone’ QR-code. Voor de duidelijkheid: de weergave hieronder betreft dus een afbeelding van de QR-code op basis van ASCII.
OCR-tools omzeilen
De QR-codes gebaseerd op ASCII-tekens weten securitytools die gebruik maken van OCR (Optical Character Recognition) te omzeilen, omdat die het niet herkennen als afbeelding en daarmee doorlaten alsof het ‘gewone tekst’ betreft. “Beveiligingssystemen hebben veel moeite om deze te zien en te detecteren”, stelt Zahier Madhar, cybersecurity engineer expert bij Check Point.
“Quishing is moeilijk te herkennen en vaak zie je niet direct waar een QR-code naartoe leidt. Om je te beschermen tegen dergelijke aanvallen, kies je best voor beveiliging die de QR-codes in e-mails automatisch decodeert en de URL’s analyseert op schadelijke inhoud”, adviseert Madhar verder. “Daarnaast zijn er programma’s die de ingesloten QR-codes in een e-mail herschrijven en vervangen door een veilige link.”
Hij zegt erbij dat het niet genoeg is om enkel te vertrouwen op security-oplossingen op computers, omdat de meeste QR-codes worden gescand met een mobiele telefoon. “Beveiliging bestaat uit meerdere lagen en het is belangrijk om elk apparaat en elke toegang te beschermen. En omdat phishing steeds slimmer wordt, kun je tegenwoordig niet zonder geavanceerde AI om naar meerdere indicatoren van phishing te kijken.” Niet toevallig biedt Check Point dergelijke oplossingen, zoals via het eigen Infinity Platform.
Lees ook: Check Point Infinity AI Copilot helpt met security