Neben dem klassischen E-Mail-Phishing, sowie SMS-Phishing auf Mobilfunkgeräte breitet sich auch der Missbrauch von QR-Codes, mit denen Nutzer auf obskure Seiten gelockt werden sollen aus. Kommen QR-Codes über E-Mails zum Opfer, spricht man von Quishing. Das ist eine zunehmendes Problem, wie ich feststellen konnte. Hier einige Informationen zu einem Sachverhalt, über den mich ein Leser die Woche aufmerksam gemacht hat.
Anzeige
Eine "komische" Spam-Mail
Tobias hat mich diese Woche auf Twitter über eine merkwürdige Spam-Mail, die er erhalten hat, informiert. Die SPAM-Mail enthielt einen QR-Code und die Aufforderung, diesen QR-Code per Smartphone-Kamera zu fotografieren. Dabei wird der QR-Code gescannt und der enthaltene Link angezeigt.
Über den angezeigten Link solle sich ein Dokument herunterladen lassen, wobei noch Anweisungen zum Download und zum Zugriff auf das Dokument gegeben werden. Dass sich hinter QR-Codes gefährliche Links verbergen können, dürfte einigen Webnutzern inzwischen bekannt sein. Da ein "Download eines Dokument" in der SPAM-Mail angekündigt wurde, sollten eigentlich bei jedem Empfänger die Warnlampen angehen.
Die Strategie der Spammer ist einfach. Durch den QR-Code lassen sich Links verstecken und die Absender hoffen, so durch die Filter zur Spam-Erkennung schlüpfen zu können.
Wie schaut es im aktuellen Fall aus? Tobias schrieb, dass der Link zur Webseite des spanischen Spezialisten für Seecontainer Luger führt und vermutet, dass diese Webseite gehackt worden ist.
Anzeige
Ich habe die Webseite kurz auf Virustotal gecheckt, zumindest die Domain dürfte sauber sein. Wie es mit Deep-Links ausschaut, kann ich nicht beurteilen, da mir die Phishing-Mail mit dem kompletten QR-Code nicht vorliegt.
Tobias hatte den Fall zuerst dann nicht sofort weiter verfolgt, sondern das Ganze nur auf Twitter gepostet. Ein Twitter-Nutzer schriebt dann als Antwort, dass sie diese Sorte E-Mails schon eine Weile sähen. Was hier versucht werde, sei kein Angriff auf das Smartphone, sondern das Abgreifen der Logins, sprich: Phishing.
In einem Nachgang schrieb mir Tobias, dass er nach Diskussion auf Twitter doch noch eine Test durchgeführt hat. Im konkreten Fall wurde dort kurz ein "Office 365"-Screen per Popup geöffnet. Er vermutet, dass dort dann die Credentials für Office 365-Konten abgefischt werden.
Finde ich zwar merkwürdig, da ich anhand des Screenshots ein mit DocuSign unterschriebenes Dokument zum Download erwartet hätte. Solche Spam-Mails mit QR-Code können m.E. also beides sein:
- Ein Phishing-Versuch, bei dem der QR-Code auf eine Phishing-Seite führt, wo dann Anmeldeinformationen abgegriffen werden sollen.
- Ein Versuch, den Nutzer über den QR-Code auf eine bösartige Webseite zu locken, wo dann Schadsoftware in Form eines Dokument- oder App-Downloads angeboten wird.
Ein weiterer Nutzer antwortete dann noch, dass bei deren Organisation solche E-Mails "im Stil einer Microsoft MFA-Registrierung" eintreffen und schreibt, dass Quishing ein wachsendes Problem sei. Er hat dann auf den Malwarebytes-Blog verlinkt, wo in einem Beitrag der Begriff Quishing erläutert wird. Quishing ist Phishing mit QR-Codes (Quick Response). Auf der Seite Polizei-dein-Partner.de findet sich dieser Artikel, in dem das Thema ebenfalls aufgegriffen wird.
Das bringt mich an dieser Stelle zur Frage an die Leserschaft, wie geht ihr mit diesem Thema um? Bergen die Sicherheitslösungen inzwischen Filter, um die QR-Codes auszulesen und so schädliche URLs zu erkennen? QR-Codes treffen ja immer häufiger in Rechnungen oder anderen Schriftstücken ein und es besteht die Gefahr, dass die Nutzer über eine URL auf schädliche Seiten gelockt werden.
Anzeige
Mir ist bislang noch kein Quishing Mail untergekommen aber ganz neu ist die QR Code Geschichte nicht, wurde vor 3 Jahren schon bei Sextortion Erpressermails verwendet um eine Link per QR Code für die BitCoin Bezahlung anzugeben ohne das die Sicherheitslösungen auf die URL anspringen.
Ohne Werbung machen zu wollen, wir verwenden aktuell die Sichertheitslösung ProofPoint welche Quishing Mails per OCR- und Bilderkennungstechnologie erkennen kann wie hier im Artikel vom 4.10.23 erklärt wird:
https://www.proofpoint.com/us/blog/email-and-cloud-threats/cybersecurity-stop-month-qr-code-phishing
Zum Thema Sicherheitslösungen aus eigener Erfahrung möchte ich noch anmerken, dass wir in den letzten 20 Jahren viermal den Anbieter gewechselt haben. Dies geschah entweder, weil die Anbieter sich auf ihrem guten Ruf ausgeruht haben und keine Weiterentwicklung mehr stattgefunden hat, oder weil sie Techniken verwendeten, die auf neue Bedrohungszenarien langsam, ressourcenfressend oder ineffektiv reagieren konnten. Außerdem kam es vor, dass das Preis-Leistungsverhältnis im Vergleich zu Mitbewerbern nicht mehr stimmte. Daher lohnt es sich, einen Blick auf die Mitbewerber zu werfen, wenn wieder einmal eine Abonnementperiode endet. Dabei sollte der Fokus auf Technologie, Erkennungsrate, Verwaltbarkeit und Ressourcenverbrauch liegen, und weniger auf den Kosten.
Hatten auch die Gegenseite QR per Cam normale URL, scan per Authenticator Malware.
Bisher können regulär Bilder nicht gefiltert werde ausser per Hashwerte, da greifen noch die klassischen Filter.
Denke solange überall smtp Server offen rumschwirren, wird es Spam geben. Dmarc und Co helfen nur begrenzt. Und nichtmal MS hat die Thematik wirklich unter Kontrolle.
Generell sensibilisieren wir die User auf die Thematik.
ja Email ist das üble.
Email muß weg!
Da rächt sich die Unsitte dass viele jeden QR-Code scannen. Vielen ist halt nicht klar dass dahinter nur eine URL steckt möglicherweise auch eine dubiose. Niemand würde sie so im Browser eingeben aber so machen sie es.
**********************
Niemand würde sie so im Browser eingeben aber so machen sie es.
**********************
Die Leute klicken auch auf normale Phishing Mails wo die Adresse sehr wohl beim hovern sichtbar ist… Die Masse ist einfach unfähig das Web sicher zu nutzen, da sie die Technik nicht mehr begreifen und auch nicht begreifen wollen!
der ursprünliche Slogan der CT brachte es sehr gut auf den Punkt: Von Profis für Profis. (und eben nicht für die Masse)
Die wollen regelrecht abgezockt werden.
Nicht nur das.
Der Mensch ist eine von Natur aus neugierige Spezies.
Und bei vielen Leuten siegt die Neugier über den Verstand.
Deine Aussage kann und will ich soo nicht unkommentiert stehen lassen!
Denn es stimmt soo m.M. nach nicht!
Das Internet war im ursprünglichen Sinn mal frei und ehrlich, ok nicht so ganz.
Dann kamen die "Geldgeier", sahen DAS Potenzial,
boten Dienste und Dienstleistungen
für die Massen an und lockten Hinz und Kunz ins Internet.
Niemand von denen verstand das Internet.
Ja selbst nach 2000 war es für viele "Neuland"!
Wird heute etwa in Schulen schon irgendetwas geleert, was mit dem Umgang des
Internet zu tun hat?
Und wo sich viele leichte Beute herumtummelt, gibt es wie immer auch jene,
die Beute greifen!
Da sind die Taschendiebe und Bettler und alle anderen Verbrecher,
aber auch jene, die Dir doch nur Gutes wollen, NSA, BND und viele mehr.
Und dann wäre da ja noch diese Grauzone, in der Facebook, Google, Microsoft
und viele andere, die zwar im rechtlichen Rahmen agieren,
aber gegen jede Moral handeln, nur um noch mehr Gewinn zu machen.
Ganz ehrlich, ich glauben nicht, dass heute noch jemand das Internet nutzen kann
ohne dass er in irgendeiner Weise ausgenutzt wird.
Und je unerfahrener er ist, desto leichter ist er Beute!
würdest du an deinem Auto den Motor zerlegen und selbst repaieren auch wenn du keine Ahnung von hast?
Nein! Da machst du dich erstmal schlau oder gehts in die Werkstatt. Also wieso dann im Web wenn man kein Ahnung hat? Schlau machen oder den Experten holen!
Sich Schlau machen war noch nie so einfach wie heute. Man muss es eben aber auch tun!
Sorry, aber ich behaupte jetzt mal, dass Du meinen Kommentar so ganz und gar nicht verstanden hast!
Wie soll denn jemand, der von Internet und der Gefahren, die dort lauern, sich informieren, wenn er besser erst gar nicht einen PC anfassen sollte, geschweige denn dieses Gerät ins Internet bringen soll?
Genau deshalb mein Einwand, was wird denn über dieses ganze Thema in den Schulen gelehrt?
Ich gebe mir mal selber die Antwort, NICHTS!
Und genau da fängt das Problem schon an!
Wenn man allen Menschen, für die das Internet "Neuland" ist, den Zugang eben zu diesem versperren würde.
Die Wirtschaft würde zusammenbrachen!
Kein "Handy" (Smartphone), kein PC.
Kein Onlineversand, ja selbst Unternehmen, die die Infrastruktur für alles ausbauen und zur Verfügung stellen, auch die würde es so nicht mehr geben.
Und jede Menge von Profis, eventuell auch Du, ihr währt auch betroffen und würdet als Bäcker, Elektriker oder was auch immer arbeiten, denn die IT wie wir sie heute kennen gab es nicht.
Aber die Zeit lässt sich nicht zurückdrehen und so wird am Internet ständig herumgedoktert und Sicherheit und Datenschutz und ständig gegeneinander abgewogen und ausgespielt.
Vollste Zustimmung!
Und was das Lehren diesbzgl., an den Schulen betrifft:
Was will man da erwarten?! Seit Jahren Lehrermangel, der sich ständig verstärkt. An manchen Schulen (ich habe selbst vier Lehrkräfte im familiären Umfeld, von daher weiß ich aus erster Hand was diesbzgl. abgeht …) unterrichten inzwischen weit über ein Drittel so gut wie fachfremde "Quereinsteiger", oder ehemalige Lehrer, die seit Jahren nicht mehr in dem Job gearbeitet haben. Die nehmen mittlerweile so gut wie alles, was sie kriegen können … Und viele von diesen Lehrkräften sollen "digitalen Unterricht" abhalten, können aber oft gerade nur einen PC einschalten … Den Admin an manchen Schulen "spielt" oft die Lehrkraft, die es IT-mäßig noch am ehesten blickt … Hinzu kommt, dass die ganze schulische Infrastruktur wie WLAN-Versorgung, Netzwerkausbau usw., grottenschlecht ist. Und niemand interessiert es so wirklich! Die Politik redet seit Jahren und will verbessern, aber … :-(((
Eine Nation, der Bildung nicht (mehr) wichtig ist, wird böse enden. Es spricht doch jetzt schon Bände, dass der Schweregrad des Abiturs aus den 1980er-Jahren, heute fast den Stand der damaligen Realschulabschlussprüfung erreicht hat … Die Messlatte wird also einfach immer tiefer gelegt, anstatt dafür Sorge zu tragen, dass das Niveau erhalten (und am besten noch erhöht) wird. Aber im Sozialismus – in den wir aktuell immer tiefer rein rennen – zählt Leistung eben nicht sehr viel, bis gar nix, da eben alle gleich sind, oder besser: gleich sein sollen …
Ich bin sehr froh darüber, dass ich in den 70er- und 80er-Jahren noch eine ordentliche (Aus)bildung genießen durfte! Wenn ich so unsere Azubis im Betrieb sehe, wie die aus der Schule so entlassen werden: Es hapert sehr oft schon bei den vier Grundrechenarten. Kopfrechnen ("gibt doch Handy …"), Überschlags-/Plausibilitätsrechnen ist gleich komplette Fehlanzeige. Einen fehlerfreien Geschäftsbrief schreiben lassen = unmöglich, obwohl Word doch eine (Auto)korrektur besitzt. Aber noch nicht mal die roten Ringellinien sehen manche und wenn, dann wissen sie oft nicht mal, welchen "Vorschlag" sie auswählen sollen, sofern es mehrere gibt … Und von Satzbau und Grammatik haben wir dann auch noch nicht gesprochen … Das ist alles sehr frustrierend inzwischen!
Ich war schon immer Befürworter des PC Führerscheins! Und stell dir vor man kann sich auch als Unwissender informieren, haben wir auch müssen, da war auch schon der Grund weil es niemanden gab der es dir beibringen konnte als wir mit PC / Modem loslegten. Als ich mir 1980 aus en USA den VC20 zulegte (in D kam der erst 1981 auf den Markt) da gab es im Umkreis keinen Zweiten, da war allerdings auch ein Handbuch dabei das 1000 Seiten hatte. DAs ist heute aber sowieso out.
Heute gibt es aber Sieten im Netz die dir das haarklein erklären, nur muss man die eben mal aufsuchen und nicht nur Katzenbilder gucken!
Autodidakt ist auch keine Erfindung der Neuzeit.
Ok, wir sind uns da mal in einigen wenigen Sachen einig!
Nur ich bin der Meinung, wer keine Ahnung hat, hat auch im Internet nichts zu suchen.
Somit fällt die Informationsbeschaffung eben im Internet für diese Gruppe raus.
Aber der Kommerz hat gesiegt und DAS wird niemals so kommen.
Im Gegenteil, das Wokefieber hat ja gerade erst begonnen und es wird eher schlimmer werden.
Und dann werden sie wie die Schmeißfliegen aus allen Löchern gekrochen kommen und alles Mögliche, gegen viel Cash natürlich, für die Sicherheit anbieten.
Alles in der Cloud natürlich.
Wo doch Cloud und Datenschutz & Sicherheit sich absolut widersprechen!
Nach dem QR-Scan wird zumindest bei mir immer die dahinterliegende URL angezeigt mit der Aufforderung, was zu tun sei (Öffnen/Kopieren).
Auf Rechnungen habe ich bisher immer nurGirocodes gesehen, die dann von der Bankingapp gescannt werden können. Die erwartet aber keine URL… Aber wenn man schon Rechnungen bezahlen möchte, die nicht valide sind, tippt man vermutlich auch so die Kontodaten und eine abstruse Summe einfach unreflektiert ein… :/
Bereit als ca. 2009/2010 die Unsitte aufkam, URLs in QR-Codes zu verpacken, erkannte ich damals schon das Missbrauchspotential. Jetzt stolpert man fast überall darüber. Die Leute sind konditioniert und wenn der Pawlow'sche Hund erst mal was gefressen hat, dann spuckt er es auch nicht mehr aus. Ich erwarte also, dass diese Welle erst gerade richtig losgeht.
Danke dafür, Günter, dass du dieses Thema zur Sprache bringst.
99,9 Prozent wissen nicht, dass QR Codes zu URLs führen. Für die ist das irgendeine technische Magie. Sie haben gelernt, dass man diese schwarz/weissen Kästchen vorzeigt wenn man geimpft ist und damit irgendwo reinkommt, fertig.
Es sei daran erinnert, dass QR Codes auch im RL auftreten können. Ja man kann sie mit Farbe und Formen so tarnen, dass sie einem Menschen gar nicht auffällt.
und dann öffnet die KI im Betrübtsystem …