Barracuda full logo

Threat Spotlight: Die zunehmende Verwendung von QR-Codes bei Phishing-Angriffen

Themen:
22. Okt.. 2024
|

DIE WICHTIGSTEN ERKENNTNISSE

  • Forscher von Barracuda Threat Intelligence haben mehr als eine halbe Million Phishing-E-Mails mit in PDF-Dokumenten eingebetteten Quick Response (QR)-Codes entdeckt.
  • QR-Codes, die zu Phishing-Websites führen, werden jetzt in PDF-Dokumente eingefügt und an E-Mails angehängt – anstatt in den E-Mails selbst.
  • Die Angriffe zielen darauf ab, Zugangsdaten zu erbeuten, um sie zu kompromittieren.

DIE BEDROHUNG VERSTEHEN

QR-Code-Phishing, auch Quishing genannt, ist eine Art von Social-Engineering-Angriff. Cyberkriminelle versuchen, ihre Opfer dazu zu verleiten, einen QR-Code mit der Kamera Ihres Handys zu scannen, der zu einer bösartigen Website führt, um vertrauliche Informationen wie Zugangsdaten oder Finanzdaten zu stehlen.

Cyberkriminelle entwickeln die Art und Weise, wie sie QR-Codes für ihre Angriffe nutzen, ständig weiter. Im dreimonatigen Zeitraum von Mitte Juni bis Mitte September identifizierten und analysierten die Forscher von Barracuda mehr als eine halbe Million Phishing-E-Mails mit in PDF-Dokumente eingebetteten QR-Codes. Die PDFs sind an Phishing-E-Mails angehängt, die mit Markenimitation und Dringlichkeit die potenziellen Opfer zur Reaktion bewegen sollen. Dies ist eine bemerkenswerte Änderung der Taktik: In der Vergangenheit wurden QR-Codes üblicherweise in den Text der Phishing-E-Mails eingefügt.

Quishing-Angriffe nach Zahlen

Anzahl der Phishing-E-Mails mit eingebetteten QR-Codes

In einem Zeitraum von drei Monaten haben Barracuda-Forscher mehr als eine halbe Million Phishing-E-Mails mit in PDF-Dokumente eingebetteten QR-Codes identifiziert und analysiert.

In den meisten der von den Barracuda-Forschern analysierten Angriffsbeispiele geben sich die Betrüger als bekannte Unternehmen aus. Microsoft, einschließlich SharePoint und OneDrive, wird bei mehr als der Hälfte (51 %) aller Angriffe imitiert, gefolgt von DocuSign (31 %) und Adobe (15 %). Bei einer kleinen Anzahl von Angriffen geben sich die Betrüger als Personalabteilung des Unternehmens des Opfers aus.

Bei diesen Angriffen versenden Cyberkriminelle Phishing-E-Mails und hängen ein einfaches ein- oder zweiseitiges PDF-Dokument an, das einen QR-Code enthält. Das PDF enthält keine weiteren externen Links oder eingebetteten Dateien. Die Empfänger werden angewiesen, den QR-Code mit der Kamera ihres Mobiltelefons zu scannen, damit sie eine Datei anzeigen, ein Dokument unterzeichnen oder eine Sprachnachricht anhören können. Wenn sie dies tun, gelangen sie auf eine Phishing-Website, deren Ziel darin besteht, ihre Zugangsdaten abzufangen.

Imitierte Marken

Imitierte Marken bei QR-Code-Angriffen

Betrüger geben sich als bekannte Unternehmensmarken aus und täuschen ihre Opfer mithilfe von Social-Engineering-Taktiken.

Quishing stellt Unternehmen vor einzigartige Sicherheitsherausforderungen. Herkömmliche E-Mail-Filter haben Schwierigkeiten, diese Angriffe zu erkennen, da es keine direkten Links oder verdächtigen Anhänge zu prüfen gibt. Darüber hinaus sind beim Quishing häufig mehrere Geräte beteiligt: Mitarbeiter erhalten die Phishing-E-Mail auf einem Gerät, scannen den QR-Code jedoch mit einem anderen Gerät, beispielsweise einem privaten Mobiltelefon, das möglicherweise nicht über das gleiche Sicherheitsniveau wie Unternehmenssysteme verfügt. Daher können diese Angriffe die Verteidigungsmaßnahmen von Unternehmen umgehen, sodass sie schwer zu verfolgen oder zu verhindern sind.

Bestimmte Branchen, darunter das Finanz-, Gesundheits- und Bildungswesen, werden aufgrund der vertraulichen Daten, mit denen sie umgehen, zunehmend zur Zielscheibe von Quishing-Angriffen. Kleine und mittlere Unternehmen (KMU) sind besonders gefährdet, da ihnen häufig die erforderlichen modernen Sicherheitstools zum Schutz vor diesen raffinierten Phishing-Taktiken fehlen. Die Verlagerung der Taktik vom Einbetten von QR-Codes in den Text einer E-Mail hin zum Anhängen an PDF-Dokumente macht es für herkömmliche Abwehrmechanismen schwieriger, diese Angriffe zu erkennen und zu blockieren, bevor sie die Mitarbeitenden erreichen.

BEISPIELE FÜR QUISHING-E-MAILS

Beispiel für einen QR-Code-Angriff mit DocuSign-Imitation
In dieser Phishing-E-Mail, die sich als DocuSign ausgibt, wird der Empfänger angewiesen, den QR-Code in einem angehängten PDF-Dokument zu scannen, um „gesicherte Dokumente“ zu überprüfen und elektronisch zu signieren. 
Beispiel für einen QR-Code-Angriff mit Microsoft-Imitation
Die Empfänger dieser Phishing-E-Mail, die sich als von Microsoft kommend ausgibt, werden aufgefordert, den QR-Code in einem angehängten PDF-Dokument zu scannen, um eine Sprachnachricht anzuhören.
Beispiel für einen QR-Code-Angriff mit Adobe-Imitation

Diese Phishing-E-Mail, die sich als Adobe ausgibt, fordert die Empfänger auf, den QR-Code in einem angehängten PDF-Dokument zu scannen, um ein Dokument mit dem Titel „Employee Benefits & Salary Adjustment Review“ zu überprüfen.

SCHÜTZEN SIE IHR UNTERNEHMEN VOR ANGRIFFEN

Es gibt mehrere Möglichkeiten, sich gegen Quishing zu wappnen:

Mehrschichtige E-Mail-Sicherheit bereitstellen
Setzen Sie robuste Spam- und Malware-Filter ein und sorgen Sie für eine richtige Konfiguration, um Phishing-Nachrichten effektiv zu blockieren. IT-Teams müssen außerdem regelmäßig eine Integritätsüberprüfung der E-Mail-Gateway-Einstellungen durchführen, um eine optimale Leistung sicherzustellen.

KI und andere fortschrittliche Technologien nutzen
Betrüger passen ihre Taktiken an, um Gateways und Spam-Filter zu umgehen. Daher ist eine Lösung wichtig, die gezielte Phishing-Angriffe erkennt und davor schützt. Ergänzen Sie Ihre Gateways mit KI-gestützter Cloud-E-Mail-Sicherheitstechnologie, die sich nicht nur auf die Suche nach bösartigen Links und Anhängen verlässt.

Nutzer schulen
Stellen Sie Schulungen zur Stärkung des Risikobewusstseins für Mitarbeitende bereit, damit sie etwas über Quishing und die Risiken des Scannens von QR-Codes aus unbekannten oder fragwürdigen Quellen lernen. Stellen Sie sicher, dass die Mitarbeitenden diese Angriffe erkennen, ihren betrügerischen Charakter verstehen und wissen, wie man sie meldet.

Multifaktor-Authentifizierung (MFA) aktivieren
Bieten Sie eine zusätzliche Sicherheitsebene, die über Benutzername und Kennwort hinausgeht, und reduzieren Sie die potenziellen Auswirkungen einer Kompromittierung von Zugangsdaten, indem Sie MFA verwenden, um den Zugriff auf Benutzerkonten zu schützen.

VERWANDTE RESSOURCEN

[Bericht] Die wichtigsten E-Mail-Bedrohungen und -Trends, ca. Juni 2024
https://www.barracuda.com/reports/email-threats-and-trends-1

[Blogbeitrag] Quishing: Was Sie über QR-Code-E-Mail-Angriffe wissen müssen
https://blog.barracuda.com/2023/10/05/quishing-what-you-need-to-know-about-QR-code-email-attacks

[Blogbeitrag] Neue Phishing-Techniken zur Umgehung der Erkennung: ASCII-basierte QR-Codes und „Blob“-URIs
https://blog.barracuda.com/2024/10/09/novel-phishing-techniques-ascii-based-qr-codes-blob-uri

Verwandte Beiträge:
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 Die SOC-Fallakten: Die Akira-Ransomware nutzt das Remote-Management-Tool des Opfers gegen sich selbst
Die SOC-Fallakten: Die Akira-Ransomware nutzt das Remote-Management-Tool des Opfers gegen sich selbst
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Vorteile für einen frühen Anwender
BarracudaONE: Vorteile für einen frühen Anwender
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.