Barracuda full logo

Threat Spotlight: Geteilte und verschachtelte QR-Codes befeuern eine neue Generation von „Quishing“-Angriffen

Themen:
20. Aug.. 2025
|
Rohit Suresh Kanase

Quishing ist eine Form des Phishings, bei der QR-Codes mit bösartigen Links eingebettet werden. Beim Scannen dieser QR-Codes werden die Opfer auf gefälschte Websites umgeleitet, die darauf ausgelegt sind, ihre Zugangsdaten oder andere sensible Informationen zu stehlen.

Bösartige QR-Codes sind aus mehreren Gründen bei Angreifern beliebt. Sie können von Menschen nicht gelesen werden, lösen daher keine Alarmsignale aus und können oft traditionelle Sicherheitsmaßnahmen wie E-Mail-Filter und Link-Scanner umgehen. Darüber hinaus müssen die Empfänger häufig auf ein mobiles Gerät wechseln, um den Code zu scannen, was die Nutzer aus dem Sicherheitsperimeter des Unternehmens und damit aus dem Schutzbereich herausführt.

Während sich Security-Tools an die Bedrohung des Quishings anpassen, haben Angreifer ihre Ansätze bereits weiterentwickelt. Barracuda hat bereits zuvor über die Entwicklung von QR-Code-Phishing-Angriffen und den Auftritt von ausgefeilteren ASCII-QR-Code-Angriffen berichtet.

In diesem Artikel untersuchen wir die neuesten Fortschritte bei QR-Code-Angriffstechniken, einschließlich geteilter QR-Codes und verschachtelter (QR-in-QR-)Codes.

QR-Codes aufteilen

Das Gabagool Phishing-as-a-Service (PhaaS)-Kit hat kürzlich eine neue Technik eingeführt, um bösartige QR-Codes der Entdeckung zu entziehen. Die Technik besteht darin, den QR-Code in zwei separate Bilder aufzuteilen und in eine Phishing-E-Mail einzubetten. Wenn herkömmliche E-Mail-Sicherheitslösungen die Nachricht scannen, sehen sie zwei unterschiedliche und harmlos aussehende Bilder anstelle eines vollständigen QR-Codes.

Die Bedrohungsanalytiker von Barracuda haben kürzlich festgestellt, dass Gabagool-Angreifer geteilte QR-Codes in einem Angriff eingesetzt haben, der als standardmäßiger Betrug mit einer Fake-E-Mail von Microsoft zum Thema „Passwort zurücksetzen“ begann. Die Verwendung von hochgradig maßgeschneiderten Nachrichten durch die Angreifer deutet darauf hin, dass sie zuvor einen erfolgreichen Angriff von Conversation-Hijacking gegen die Zielperson durchgeführt haben.

Beispiel dafür, wie ein geteilter QR-Code bei einem Phishing-Angriff aussieht
Der QR-Code in der Nachricht sieht vollständig aus, aber wenn Sie das Bild in HTML betrachten, können Sie erkennen, dass er aus zwei verschiedenen Bildern besteht. 
Beispiel für einen geteilten QR-Code

Wenn der Empfänger den Code scannt, wird er auf eine Phishing-Seite weitergeleitet, die darauf ausgelegt ist, seine Microsoft-Zugangsdaten zu stehlen.

Verschachtelte QR-Codes

Analysten haben gesehen, dass Tycoon 2FA PhaaS eine weitere neuartige Technik einsetzt, um bösartige QR-Codes vor der Entdeckung zu schützen. In diesem Fall ist der bösartige QR-Code in oder rund um einen legitimen QR-Code eingebettet.

Beispiel eines verschachtelten QR-Codes, der in einem Phishing-Angriff verwendet wird

Die obenstehende E-Mail zeigt, wie die beiden QR-Codes ineinander verschachtelt sind. Der äußere QR-Code verweist auf eine bösartige URL, während der innere QR-Code zu Google führt. Diese Technik macht es Scannern schwerer, die Bedrohung zu erkennen, weil die Ergebnisse mehrdeutig sind.

Verteidigung gegen sich entwickelnde QR-Codes

Neben den grundlegenden Elementen wie Schulung zur Stärkung des Risikobewusstseins, Multifaktor-Authentifizierung und robuste Spam- und Malware-Filter sollten Unternehmen eine mehrschichtige E-Mail-Schutzlösung in Betracht ziehen, die multimodale KI-Fähigkeiten integriert, um solchen sich schnell entwickelnden Bedrohungen zu begegnen.

Multimodale KI verbessert die Erkennung, indem sie Anhangsbilder rendert, um QR-Codes visuell zu lokalisieren, QR-Inhalte zu dekodieren und die Ziel-URL oder die Nutzlast zu analysieren, verdächtige Links in Sandbox-Umgebungen ausführt, um bösartiges Verhalten in Echtzeit zu erkennen, und maschinelles Lernen verwendet, um die Struktur und Pixelmuster von QR-Codes zu analysieren, ohne den eingebetteten Inhalt extrahieren zu müssen.

Die multimodale KI von Barracuda kombiniert OCR, Deep-Image-Processing und natürliche Sprachmodelle, um bildbasierte Phishing-E-Mails zu erkennen – auch solche, die nur einen QR-Code enthalten.

Die Bedrohungsanalysten von Barracuda berichten regelmäßig über sich entwickelnde E-Mail-Bedrohungen und Angriffstaktiken. Abonnieren Sie unseren Blog für Updates.

Abonnieren Sie den Barracuda-Blog
Rohit Suresh Kanase

Rohit Kanase ist Associate Threat Analyst im Threat Analysis-Team bei Barracuda Networks und konzentriert sich auf E-Mail-Sicherheit. Er ist leidenschaftlich daran interessiert, sich entwickelnde Angriffsmuster zu identifizieren, und überwacht neue Bereiche der Cybersecurity, um ein umfassendes Verständnis über verschiedene Bereiche hinweg aufrechtzuerhalten.

Verwandte Beiträge:
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 Die SOC-Fallakten: Die Akira-Ransomware nutzt das Remote-Management-Tool des Opfers gegen sich selbst
Die SOC-Fallakten: Die Akira-Ransomware nutzt das Remote-Management-Tool des Opfers gegen sich selbst
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Vorteile für einen frühen Anwender
BarracudaONE: Vorteile für einen frühen Anwender
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.