
Selbst die ausgefeiltesten Phishing-Kampagnen scheitern, wenn sie die Sicherheitsmechanismen nicht überwinden können. Es überrascht daher nicht, dass Cyberkriminelle weiterhin neue Techniken ausprobieren, um einer Entdeckung zu entgehen.
In diesem Blog stellen wir zwei neue Ausweichtechniken vor, die kürzlich von den Bedrohungsanalysten von Barracuda entdeckt wurden.
Beim ersten handelt es sich um einen QR-Code, der nicht aus einem statischen Bild besteht, sondern aus Kombinationen von ASCII/Unicode-Zeichen vom Typ „Block“ ( █ ). Diese Taktik soll verhindern, dass Sicherheitssoftware die bösartige URL aus dem QR-Code extrahiert.
Die zweite Technik beinhaltet die Verwendung von Blob URIs (binary large object uniform resource identifiers), die auf lokal generierte Daten im Browser zugreifen, anstatt auf bekannte bösartige Domains zurückzugreifen. Diese Blob-URIs werden dynamisch erstellt und können schnell ablaufen, was ihre Verfolgung und Analyse erschwert. Da einige Sicherheitskontrollen Blob-URIs nicht so gründlich prüfen wie herkömmliche HTTP- oder HTTPS-Links, können Phishing-Versuche unter Verwendung solcher URIs erste Erkennungsmechanismen umgehen.
Eine neue Generation bösartiger QR-Codes
Vor einem Jahr stieg das Volumen der QR-Code-basierten Phishing-Angriffe schlagartig an. Die Daten von Barracuda zeigen, dass im letzten Quartal 2023 etwa 1 von 20 Postfächern Ziel von QR-Code-Angriffen war.
Bei diesen Angriffen handelte es sich im Allgemeinen um statische, bildbasierte QR-Codes. Angreifer betteten bösartige Links in den QR-Code ein und forderten die Benutzer auf, den Code zu scannen. Dadurch wurden sie auf eine gefälschte Seite weitergeleitet, bei der es sich scheinbar um einen vertrauenswürdigen Dienst oder eine vertrauenswürdige Anwendung handelte.
Die Sicherheitsmaßnahmen wurden schnell angepasst. Tools wie das Scannen mit optischer Zeichenerkennung (OCR) können bösartige URLs in QR-Codes extrahieren, prüfen und blockieren.
Die Bedrohungsanalysten von Barracuda haben eine neue Generation von QR-Code-Phishing identifiziert, die darauf ausgelegt ist, OCR-basierte Abwehrmaßnahmen zu umgehen. Bei diesen Angriffen wird das QR-Code-'Bild' aus ASCII/Unicode-Zeichen erstellt.
In einer E-Mail sieht er wie ein herkömmlicher QR-Code aus, und für ein typisches OCR-Erkennungssystem erscheint es bedeutungslos.
Beispiel 1
Bei dem Phishing-Angriff scheint es sich um eine vom Admin geteilte Datei mit dem Titel „Payroll and Benefits Enrolment“ zu handeln. Wenn ein ahnungsloser Empfänger den QR-Code scannt und auf den Link klickt, wird er zu einer gefälschten Microsoft-Anmeldeseite weitergeleitet.
Bei genauerem Hinsehen zeigt der QR-Code eine Linie zwischen jedem Block, da der QR-Code nicht als Bild, sondern mit den Zeichen „Full Block“ (█) erstellt wurde:.


Beispiel 2
In diesem Fall versucht der Angreifer, sich als das Kurierunternehmen DHL auszugeben und fordert den Empfänger auf, ein Formular auszufüllen, indem er den QR-Code scannt. Wenn der QR-Code gescannt wird, leitet er das Opfer auf eine Phishing-Website weiter.

Der QR-Code besteht aus einer Kombination der Unicode-Zeichen: „Lower Half Block“ (0x2584) für die horizontalen Linien und „Full Block“ (0x2588) für die vertikalen Linien. In diesem Fall wird der „Non-Breaking Space“ (nbsp) verwendet, um die weißen Flecken im QR-Code zu erstellen.
Eine Vielzahl von Kombinationen
Wie die obigen Beispiele zeigen, gibt es mehrere Möglichkeiten, einen „Block“ mit dem ASCII- oder Unicode-Zeichensatz darzustellen.
Tatsächlich gibt es 32 verschiedene „Block“-Zeichen, die in drei Hauptkategorien unterteilt sind:
- Full Blocks - 3
- Partial Blocks - 17
- Quadrants - 12
Diese können jeweils in Phishing-E-Mails mit HTML-Entität, UTF-8-Kodierung oder UTF-16-Kodierung codiert werden. Mit anderen Worten, es gibt 96 mögliche Kombinationen.
In der folgenden Tabelle sind die verschiedenen Möglichkeiten aufgeführt, wie „Block“-Zeichen auf Phishing-Seiten verwendet werden können:

Darüber hinaus kann im Fall von HTML-Entitäten jeder „Block“ mehrere Repräsentationen haben, und Angreifer können einzelne Blöcke oder Blockkombinationen verwenden, um ihre ASCII-/Unicode-basierten QR-Codes zu generieren. Dies alles erhöht die Gesamtzahl der möglichen Kombinationen und macht die Erkennung von ASCII-basierten QR-Codes schwierig.
Barracuda empfiehlt, dass, wenn Sicherheitstechnologien die mögliche Verwendung eines ASCII-QR-Codes bei einem Phishing-Angriff erkennen, die einfachste Lösung darin besteht, einen Screenshot der Phishing-E-Mail zu erstellen und diesen an eine OCR-Engine weiterzuleiten, um die URL hinter dem QR-Code auszulesen.
Das Ausweichpotenzial von Blob-URIs
Eine Blob-URI (auch bekannt als Blob-URL oder Objekt-URL) wird von Browsern verwendet, um Binärdaten oder dateiähnliche Objekte (sogenannte Blobs) darzustellen, die vorübergehend im Speicher des Browsers gespeichert werden.
Blob-URIs ermöglichen es Webentwicklern, mit Binärdaten wie Bildern, Videos oder Dateien direkt im Browser zu arbeiten, ohne diese von einem externen Server senden oder abrufen zu müssen.
Da Blob-URIs keine Daten von externen URLs laden, können herkömmliche URL-Filter- und Scan-Tools den Inhalt möglicherweise nicht sofort als bösartig erkennen.
Angreifer erstellen Phishing-Seiten mit Blob-URIs in der Hoffnung, dass es für Erkennungssysteme schwieriger wird, bösartige Inhalte zu identifizieren und zu blockieren.
Der erste von Barracuda-Bedrohungsanalysten entdeckte Phishing-Angriff, der Blob-URIs nutzte, versuchte, Capital One zu imitieren und den Benutzer mit „Review Your Account“ zur Interaktion zu bewegen. Dabei wurde der Benutzer auf eine zwischengeschaltete Phishing-Seite weitergeleitet, die eine Blob-URI erzeugte und den Browser schnell zur neu erstellten Linkadresse umleitete.


Bedrohungsanalysten haben auch bemerkt, dass die Blob-URI-Technik in Phishing-Angriffen verwendet wird, bei denen sich Angreifer als Chase und Air Canada ausgeben.
Fazit
Ausweichende Phishing-Techniken haben sich erheblich weiterentwickelt und stellen eine wachsende Bedrohung für Unternehmen dar. Cyberangreifer verfeinern ständig ihre Methoden, um herkömmliche Sicherheitsmaßnahmen zu umgehen. Da Phishing-Angriffe immer ausgefeilter werden, ist es unerlässlich, mehrschichtige Verteidigungsstrategien umzusetzen und eine starke Sicherheitskultur zu fördern.
Megharaj Balaraddi, Associate Threat Analyst bei Barracuda, hat ebenfalls zu den Recherchen für diesen Blogpost beigetragen.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.