Ich greife mal ein Thema erneut auf, welches hier im Blog schon mal angesprochen wurde: E-Mails, die mit QR-Codes eintrudeln und auf Phishing angelegt sind. Die Tage bin ich auf einen Artikel gestoßen, in dem Frank Carius einen Phishing-/Angriffsversuch beschreibt, der über einen QR-Code in einer Mail auf sein Anmeldekonto bei Microsoft 365 gestartet wurde. Vielleicht sind die Ausführungen von Frank für den einen oder anderen Administrator ganz hilfreich.
Anzeige
QR-Code-Phishing als Problem
Ein wachsendes Problem ist das sogenannte Quishing, das heißt, ein Missbrauch von QR-Codes in E-Mails für Phishing. Neben dem klassischen E-Mail-Phishing, sowie SMS-Phishing auf Mobilfunkgeräte breitet sich auch das QR-Code-Phishing massiv aus. Über QR-Codes in Mails, die einen Link enthalten, sollen Nutzer auf obskure Seiten gelockt werden.
Kommen QR-Codes über E-Mails zum Opfer, spricht man von Quishing. Ich hatte das Thema im Oktober 2022 als eigenen Blog-Beitrag Quishing (QR-Code-Phishing), ein wachsendes Problem aufgegriffen. Obiges Bild mit einer solchen Quishing-Mail stammt aus dem Beitrag. Die SPAM-Mail enthält einen QR-Code und die Aufforderung, diesen QR-Code per Smartphone-Kamera zu fotografieren. Dabei wird der QR-Code gescannt und der enthaltene Link angezeigt. Dass sich hinter QR-Codes gefährliche Links verbergen können, dürfte einigen Webnutzern inzwischen bekannt sein. Die QR-Codes lassen sich nur schwer durch Filterung als SPAM-Erkennen.
Der Microsoft 365-QR-Phinging-Versuch
Ich bin über nachfolgenden Tweet auf das Thema aufmerksam geworden, welches Frank Carius im Artikel QR-Code Phishing mit Microsoft 365 beschreibt.
Anzeige
Frank erhielt eine E-Mail, die durch den Spam-Filter nicht als bösartig erkannt wurde, aber einen QR-Code mit integriertem Link enthielt. Frank beschreibt in seinem Artikel die Analyse der Mail. Im Endeffekt läuft es darauf hinaus, dass der QR-Code einen Link enthält, der in einem Desktop-Browser als unsicher angezeigt wird, auf dem Smartphone aber ggf. nicht geblockt wird.
Nutzer, die auf die im Link angegeben Zielseite gelangen, sehen dann eine Fake-Microsoft-Anmeldeseite, in der die Zugangsdaten abgefragt werden. Der Phisher überprüft die Eingaben in Echtzeit und weist ungültige Daten ab. Gibt der Nutzer gültige Daten ein, greift der Phisher diese ab. Frank Carius beschreibt in seinem Beitrag detailliert die Analyse des Phishing -Versuchs samt der Abwehr durch die Microsoft 365-Einstellungen. Aus Franks Beitrag können zwei Merksätze herausgezogen werden:
- Benutzer sollten niemals Links aus QR-Codes im Browser abrufen, wenn sie schon an einem Tenant angemeldet sind. Der Aufruf kann schon ausreichen, damit der Browser ein Access Token an den Angreifer schickt.
- Die Security Defaults von Microsoft 365 reichen nicht aus, um solche Angriffe zu blocken, weil damit kein MFA erzwungen wird. Schickt der Browser ein Access Token, kann das in einer produktiven Umgebung bereits schädlich sein.
Frank hat das Ganze neben seinem Artikel auch auf YouTube eingestellt. Wer also Kurzweil über die Feiertage sucht und Langeweile schiebt, kann sich ja am Stoff des Beitrags abarbeiten.
Ähnliche Artikel
Quishing (QR-Code-Phishing), ein wachsendes Problem
Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
Anzeige
Und wie bei jedem Phishing Versuch hilft auch hier: niemals sich irgendwo einlogen oder Daten angeben durch Klick auf solche Links (außer natürlich ich hab die explizit vorher angefordert)! Schützt zu 100%
Es gibt da draußen echt giftige Schweinereien von Malware die auch den erfahrensten Admin Kopfzerbrechen bereiten, jeglich Art von Phishing gehört jedoch nicht dazu!
In diesem Fall brauchst Du keine Daten mehr angeben, wenn Du bereits in Deinem M$-Konto angemeldet bist. Hoer dürfte es leidlich egal sein, ob Du nun wegen Azur, wegen 365 oder wegen Minecraft ein M$-Konto hast. Bist Du angemeldet, ist bereits der Klick auf den Link ohne weitere Interaktion der Tod Deiner Hoheit über Dein Konto.
Ist aber irrelevant, wer nicht klickt auch nicht gephisht wird ;-P
Mal in jüngster Zeit eine Internetbestellung per Kreditkarte gezahlt? Je nach Dienst öffnen sich ungekennzeichnete Popups, deren URL nicht ersichtlich sind, und die zur Eingabe der Zugangsdaten des mit der Kreditkarte verknüpften Girokontos auffordern! Nach dieser Autorisierung erfolgt dann die Auslösung der 2FA. Für mich ist unbegreiflich, wie die EU diesen Schwachsinn vorschreiben konnte. Die Phishing-Fälle Online-Bankkonten betreffend werden enorm ansteigen, denn dieses Vorgehen funktioniert wie klassisches Phishing.
Die meisten Security Mail Dienste erkennen dies aber schon.
Ich kann gar nicht genug betonen, dass Firmen das Geld in Hornet, Area 1, Defender für Exchange, etc. dringend investieren sollten. Ein absoluter Mehrwert und die GF lässt sich dabei relativ leicht überzeugen.
Um alle möglichen Missbrauchsfälle zu vermeiden, das "nur Text"-Format beim Lesen von Nachrichten ist die beste Methode, um gegen diese Attacke gewappnet zu sein.