In dem sich ständig weiterentwickelnden Umfeld der Cyberbedrohungen ist eine subtile, aber wirkungsvolle Form des Phishing entstanden: Quishing, kurz für QR-Phishing. Obwohl die Erfindung von QR-Codes bereits 30 Jahre zurückliegt, stellt Quishing ein erhebliches Risiko dar. Das gilt insbesondere seit der Covid-19-Pandemie, während der QR-Codes zur Überprüfung des Impf- und Infektionsstatus, für die Anmeldung bei Veranstaltungen und sogar für Essensbestellungen gang und gäbe waren.
Die Cloudflare-Lösung Cloud Email Security (vormals Area 1) steht seit 2020 im Kampf gegen Quishing-Angriffe an vorderster Front und nimmt es proaktiv mit ihnen auf, damit unsere Kunden besser geschützt sind. Wir wollen uns jetzt die Mechanismen hinter QR-Phishing näher anschauen und untersuchen, warum QR-Codes ein bevorzugtes Werkzeug für Angreifer sind und welchen Beitrag Cloudflare zur Bekämpfung dieser wandlungsfähigen Bedrohung leistet.
Wie Quishing funktioniert
Die Auswirkungen von Phishing und Quishing sind sehr ähnlich: Beides kann zur Kompromittierung von Geräten und Zugangsdaten von Nutzern führen und finanzielle Verluste verursachen. Bei diesen Methoden kann man sich auch mithilfe schädlicher Anhänge oder Websites Zugriff auf Dinge verschaffen, bei denen das normalerweise nie möglich wäre. Der Unterschied besteht darin, dass Quishing in der Regel sehr zielgerichtet ist und man dabei einen QR-Code verwendet, um sich vor der Erkennung zu schützen.
Engines zur Phishing-Erkennung benötigen Eingaben wie URL oder Anhänge in einer E-Mail, um Alarm schlagen zu können. Daher können sie überlistet werden, indem diese Erkennung behindert wird. Im unten aufgeführten Beispiel A wurde die URL des Phishing-Angriffs beim Crawling erfasst. Nach zwei Umleitungen landete man von dort aus auf einer schädlichen Website, die automatisch versucht, eine Keylogger-Malware zum Kopieren von Benutzernamen und Passwörtern auszuführen. In diesem Fall werden die Wächter eindeutig aufmerksam. Bei Beispiel B hingegen gibt es keinen Link zum Crawlen. Dadurch werden die Erkennungsmechanismen ausgehebelt, die bei Beispiel A funktioniert haben.
Nun könnten Sie einwenden: „Wenn mein Handy diesen QR-Code scannen kann, kann ihn dann nicht auch eine Erkennungs-Engine auspüren?“ Kurz gesagt: nein. Engines zur Phishing-Erkennung sind für das Abfangen von Phishing optimiert, aber um QR-Codes zu identifizieren und zu scannen, ist eine ganz andere Engine erforderlich – eine Computer Vision-Engine. Das bringt uns zu der Frage, warum Angreifer QR-Codes besonders schätzen.
Warum werden QR-Codes für Phishing benutzt?
QR-Codes sind vor allem aus drei Gründen so beliebt für Phishing-Angriffe: Erstens verfügen sie über starke Fehlerkorrekturfähigkeiten, sodass sie Größenänderungen, Pixelverschiebungen, unterschiedlichen Lichtverhältnissen, teilweisem Zuschneiden und anderen Verzerrungen standhalten. Computer Vision-Modelle können QR-Codes scannen. Für eine Maschine ist es aber ziemlich schwer zu erkennen, welcher Abschnitt einer E-Mail, eines Bildes oder einer in einer E-Mail verlinkten Webseite einen QR-Code enthält – umso mehr, wenn die QR-Codes verschleiert wurden, um sie vor einigen Computer Vision-Modellen zu verbergen. Wenn man beispielsweise eine Farbumkehr bei QR-Codes vornimmt, sie mit anderen Farben oder Bildern mischt oder sie extrem verkleinert, haben Computer Vision-Modelle Mühe, sie überhaupt zu erkennen, geschweige denn zu scannen. Jedes Bild kann unter anderem mit Filtern zusätzlich bearbeitet werden. Doch da man nicht weiß, auf was oder wo diese Verfahren anzuwenden sind, ist die Entschleierung eines QR-Codes ein extrem teures Rechenproblem. Das macht es grundsätzlich schwierig, Quishing zu erkennen. Außerdem führt es zur Verärgerung bei den Endnutzern, wenn diese eine E-Mail aufgrund eines darin enthaltenen, einem QR-Code ähnelnden Bilds oder Textabschnitts erst mit Verzögerung erhalten.
Die Entschleierung von QR-Codes kann Computer Vision-Modelle also vor Herausforderungen stellen. Die Erfahrung hat jedoch gezeigt, dass es Menschen in der Regel gelingt, diese verschleierten QR-Codes zu scannen, wenn sie genug Zeit und Mühe darauf verwenden. Sie stellen dafür alles Mögliche an, erhöhen also etwa die Bildschirmhelligkeit, drucken die E-Mail aus oder ändern die Größe des QR-Codes selbst.
Sie haben Zweifel? Dann probieren Sie es aus: Die folgenden QR-Codes wurden für Maschinen verschleiert und verlinken alle auf https://blog.cloudflare.com/
(Ziegelmauer-Bild von rawpixel.com auf Freepik)
Sie haben einen der angezeigten Beispiel-QR-Codes gescannt? Dann haben Sie damit gerade den nächsten Grund belegt, aus dem Cyberkriminelle Quishing besonders schätzen. In der Regel werden zum Scannen von QR-Codes Privatgeräte benutzt, die aufgrund eines begrenzten Sicherheitsniveaus anfällig für Missbrauch sind. Firmengeräte sind in der Regel besser geschützt und können Nutzer beim Zugriff auf Schadlinks warnen, diesen unterbinden oder nur in einer Sandbox erlauben. Demgegenüber sind diese Schutzmaßnahmen auf Privatgeräten nicht nativ verfügbar. Das ist insofern besonders bedenklich, als wir einen Trend zu individuell abgestimmten QR-Codes beobachtet haben, die auf Führungskräfte von Unternehmen abzielen.
QR-Codes lassen sich auch nahtlos mit anderen Verschleierungstechniken kombinieren, unter anderem mit verschlüsselten Anhängen, Imitationen bekannter Websites per Mirroring oder Validierungen, mit denen Sie beweisen, dass Sie ein Mensch sind, bevor schädliche Inhalte angezeigt werden. Diese Vielseitigkeit macht solche Methoden für Cyberkriminelle attraktiv. Letztere sind immer auf der Suche nach innovativen Wegen, um ahnungslose Nutzer zu täuschen. Dafür werden zuvor erfolgreiche Phishing-Vektoren, die jetzt von Sicherheitsprodukten blockiert werden, um QR-Codes erweitert.
Schutzstrategie von Cloudflare
Cloudflare steht bei der Abwehr von Quishing-Angriffen an vorderster Front. Wir verfolgen dabei einen vielseitigen Ansatz. Anstatt uns auf veraltete, mehrschichtige E-Mail-Konfigurationsregeln zu konzentrieren, haben wir unsere Machine Learning (ML)-Erkennungsmodelle mit Erkennungsdaten aus fast einem Jahrzehnt trainiert. Wir verfügen über eine Reihe proaktiver Computer Vision-Modelle, um zu gewährleisten, dass allen unseren Kunden von Anfang an eine schlüsselfertige Lösung zur Verfügung steht.
Die Quishing-Erkennung besteht aus zwei Teilen: erstens dem Identifizieren und Scannen von QR-Codes und zweitens der Analyse der entschlüsselten QR-Codes.
Den ersten Teil übernehmen unsere eigenen Heuristiken zur QR-Code-Erkennung. Diese geben darüber Aufschluss, wie, wann und wo unsere Computer Vision-Modelle ausgeführt werden sollen. Wir nutzen dann die neuesten Bibliotheken und Tools, um QR-Codes zu identifizieren, zu verarbeiten und vor allem zu entschlüsseln. Für einen Menschen ist es relativ leicht, einen QR-Code als solchen zu erkennen. Demgegenüber sind deren Verschleierung vor Maschinen technisch so gut wie keine Grenzen gesetzt. Die angeführten Beispiele zeigen nur einen kleinen Ausschnitt dessen, was uns in der Praxis begegnet. Cyberkriminelle ersinnen ständig neue Methoden, um das schnelle Aufspüren und das Erkennen von QR-Codes zu erschweren. Um bei diesem ständigen Katz- und Mausspiel mithalten zu können, müssen wir unsere Tools regelmäßig aktualisieren, damit sie die jeweils angesagte Verschleierungstechnik auch beherrschen.
Beim zweiten Teil, der Analyse der entschlüsselten QR-Codes, werden die gleichen Vorgehensweisen wie beim Phishing angewandt und noch einiges mehr. Wir verfügen über Engines, die komplexe URL dekonstruieren und die endgültige URL von Weiterleitung zu Weiterleitung herausschälen – unabhängig davon, ob sie automatisch erfolgen oder nicht. Bei dieser Gelegenheit suchen wir auch gleich nach schädlichen Anhängen und Websites und protokollieren die Ergebnisse zwecks Querverweis für zukünftige Suchen. Stoßen wir auf verschlüsselte oder passwortgeschützte Dateien oder Inhalte, nutzen wir eine andere Gruppe von Engines. Diese versuchen, die Dateien oder Inhalte zu dekodieren bzw. den Passwortschutz zu knacken, damit wir herausfinden können, ob sich dort etwas Bösartiges verbirgt. Am wichtigsten ist, dass wir unsere Datenbanken kontinuierlich mit all diesen neuen Informationen füttern, einschließlich der Methode zur Verschleierung des QR-Codes. Das hilft uns dabei, ähnliche Angriffe, bei denen die von uns dokumentierten Methoden benutzt werden, besser einzuschätzen.
Doch selbst mit gut trainierten Phishing-Erkennungstools befinden sich die schädlichen Inhalte häufig am Ende einer langen Kette von Umleitungen, die verhindert, dass automatisierte Webcrawler überhaupt etwas erkennen – von bösartigen Inhalten ganz zu schweigen. Zwischen den Weiterleitungen kann sich eine harte Blockierung befinden, die eine menschliche Validierung erfordert. Das kann ein CAPTCHA sein, das es einem automatisierten Prozess praktisch unmöglich macht, zu passieren und Inhalte zu klassifizieren. Es könnte aber auch eine bedingte Blockierung mit Anforderungen an die Identifizierung der Kampagne geben. Wenn sich jemand außerhalb der Region des ursprünglichen Ziels befindet oder über einen Webbrowser und eine Betriebssystemversion verfügt, die die Anforderungen der Kampagne nicht erfüllen, würde ihm in diesem Fall eine harmlose Website angezeigt, während das Ziel den schädlichen Inhalten ausgesetzt wäre. Im Lauf der Jahre haben wir Tools entwickelt, die solche Validierungen erkennen und bestehen. So können wir bösartige Inhalte aufdecken, die sich möglicherweise dahinter verbergen.
Doch trotz all der Technologien, die wir mit der Zeit entwickelt haben, gibt es Fälle, in denen wir nicht ohne Weiteres an die endgültigen Inhalte herankommen. In diesen Fällen haben sich unsere Machine Learning-Modelle für die Link-Reputation, die mit gescannten Links und deren Metadaten in einem Umfang von mehreren Jahren trainiert wurden, als sehr wertvoll erwiesen. Sie können auch nach der Dekodierung von QR-Codes problemlos angewendet werden. Durch die Ermittlung von Korrelationen zwischen Dingen wie Domain-Metadaten, URL-Struktur, URL-Abfragezeichenfolgen und unseren eigenen historischen Datensätzen können wir zum Schutz unserer Kunden Rückschlüsse ziehen. Wir verfolgen außerdem einen proaktiven Ansatz und lassen uns von unseren ML-Modellen sagen, wo wir nach QR-Codes suchen sollen, auch wenn diese nicht sofort offensichtlich sind. Cloudflare prüft eingehend Domains, Sentiment, Kontext, IP-Adressen, historische Nutzung und soziale Muster zwischen Absender und Empfänger. Dadurch können wir potenzielle Bedrohungen erkennen und neutralisieren, bevor sie Schaden anrichten.
Kreative Beispiele und Fälle aus der Praxis
Wir verarbeiten täglich Tausende von QR-Codes und verzeichnen dabei einige interessante Trends. Häufig geben sich die Angreifer bei ihren Quishing-Attacken als namhafte Unternehmen wie Microsoft und DocuSign aus. Was die Sache für die Nutzer noch verwirrender macht und die Wahrscheinlichkeit, dass sie getäuscht werden, noch erhöht, ist die Tatsache, dass diese Unternehmen in ihren legitimen Arbeitsabläufen tatsächlich QR-Codes verwenden. Dies macht deutlich, wie dringend Unternehmen ihre Verteidigungsmaßnahmen gegen diese sich wandelnde Bedrohung verstärken müssen.
Es folgen drei Beispiele für die interessantesten von uns beobachteten Formen von Quishing-Angriffen, denen wir echte Anwendungsfälle bei den jeweiligen Unternehmen gegenübergestellt haben. Die in diesen E-Mails verwendeten QR-Codes haben wir unkenntlich gemacht.
Microsoft Authenticator
Um die MFA schneller abzuschließen, verwendet Microsoft QR-Codes, anstatt sechsstellige, verzögerungsanfällige SMS-Codes an die Handys der Nutzer zu schicken. Diese Lösung gilt als sicherer, da bei einer MFA per SMS ein Abfangen durch SIM-Swapping möglich ist. Die Nutzer hätten ihre Geräte unabhängig registriert und zuvor den Registrierungsbildschirm auf der rechten Seite gesehen. Somit würde es ihnen nicht sonderlich seltsam erscheinen, per E-Mail zu einer erneuten Authentifizierung aufgefordert zu werden.
DocuSign
DocuSign verwendet QR-Codes, um den Nutzern das Herunterladen der Mobilgeräte-App der Firma zum Unterzeichnen von Dokumenten, die Identitätsüberprüfung über ein Mobilgerät zum Aufnehmen von Fotos und die Einbettung von DocuSign-Funktionen in Apps von Drittanbietern mit eigener Funktion zum Scannen von QR-Codes zu erleichtern. Die Verwendung von QR-Codes in der nativen DocuSign-Anwendung und nicht-nativen Anwendungen macht es für häufige DocuSign-Nutzer verwirrend und für Nutzer, die DocuSign nur selten verwenden, überhaupt nicht eigenartig. Der QR-Code zum Herunterladen der DocuSign-App wird zwar nicht in Signaturanfragen verwendet, aber für einen häufigen Nutzer könnte es nur eine schnelle Methode sein, um die Anfrage in der App zu öffnen, die er bereits auf sein Mobilgerät heruntergeladen hat.
Microsoft Teams
Microsoft verwendet QR-Codes für Teams, um Nutzern den schnellen Beitritt zu einem Team über ein Mobilgerät zu ermöglichen. Teams nutzt zwar keine QR-Codes für Voicemails, verfügt aber über eine Voicemail-Funktion. Die E-Mail auf der linken Seite scheint eine Erinnerung daran zu sein, die Voicemails in Teams zu überprüfen, und kombiniert die beiden realen Anwendungsfälle auf der rechten Seite.
Wie Sie Quishing verhindern können
Angesichts der ständigen Bedrohung durch Quishing müssen Privatpersonen und Unternehmen wachsam sein. Zwar kann keine Lösung 100%igen Schutz garantieren, aber gemeinsame Sorgfalt kann das Risiko erheblich verringern. Wir ermutigen zur Zusammenarbeit im Kampf gegen Quishing.
Wenn Sie bereits Kunde von Cloud Email Security sind, möchten wir Sie an die Möglichkeit erinnern, über unser Portal Quishing-Fälle zu melden. So tragen Sie dazu bei, aktuellen Bedrohungen Einhalt zu gebieten und die Fähigkeiten zukünftiger Machine-Learning-Modelle zu verbessern, was proaktivere Verteidigungsstrategien ermöglicht. Wenn Sie kein Kunde sind, können Sie trotzdem Original-Quishing-Proben als Anhang im EML-Format an quish@cloudflare.com senden. Denken Sie daran, den Einreichungsprozess Ihres E-Mail-Sicherheitsanbieters zu nutzen, um auch ihn auf diese Quishing-Vektoren aufmerksam zu machen.
Der Kampf gegen Quishing geht weiter und erfordert kontinuierliche Innovation und Zusammenarbeit. Um das Melden von Quishing-Fällen zu unterstützen, entwickeln wir neue Methoden, mit denen Kunden unseren Modellen gezieltes Feedback geben können. Außerdem schaffen wir größere Transparenz bei unseren Kennzahlen, um die Nachverfolgung einer Vielzahl von Vektoren, darunter auch Quishing, zu erleichtern.