Quishing-Angriffe: Wie QR-Codes Anmeldedaten stehlen

QR-Codes gibt es schon seit einiger Zeit, aber nach der COVID-19-Pandemie wurden sie im täglichen Leben viel weiter verbreitet. Was als kontaktlose Speisekarten begann, wurde zu Bordkarten, Zahlungssystemen und Authentifizierungsgateways. Aber diese Allgegenwärtigkeit hat ein perfekten Instrument für Cyberkriminelle kreiert, denn diese verpixelten Quadrate können in ausgeklügelte Tools zum Abfangen von Zugangsdaten verwandelt werden. 

Willkommen in der Welt von Quishing: QR-Code-Phishing-Angriffe, die die Art und Weise, wie Bedrohungsakteure die Benutzerauthentifizierung kompromittieren und Passwörter stehlen, neu definieren.

Der Anstieg von QR-Code-Phishing

Laut einer Studie von NordVPN scannen 73 % der Amerikaner QR-Codes ohne Überprüfung und mehr als 26 Millionen wurden bereits auf bösartige Websites geleitet. Dieser Mangel an Verifizierung schafft massive Möglichkeiten für Angreifer, die wissen, dass QR-Codes im Wesentlichen unsichtbare URLs sind, die Benutzer vor dem Klicken nicht überprüfen können.

Eine andere Studie aus diesem Jahr ergab, dass 26 % aller bösartigen Links inzwischen über QR-Codes versendet werden. Diese Entwicklung ist kein Zufall – sie ist strategisch. Da die E-Mail-Sicherheitsfilter immer raffinierter werden, um herkömmliche Phishing-Versuche abzufangen, weichen die Angreifer auf Methoden aus, die diese Schutzmechanismen vollständig umgehen.

Der Reiz für Cyberkriminelle liegt auf der Hand: Drucken Sie einen bösartigen QR-Code aus, kleben Sie ihn über einen legitimen Code und warten Sie darauf, dass Ihre Opfer ihn scannen. Im Gegensatz zu verdächtigen E-Mails, die Erinnerungen an Sicherheitsschulungen auslösen könnten, fühlen sich QR-Codes sicher und offiziell an, vor allem, wenn sie an erwarteten Orten wie Parkuhren, Restauranttischen oder Verzeichnissen von Bürogebäuden erscheinen.

Wie Quishing-Angriffe auf Authentifizierungssysteme abzielen

QR-Code-Phishing-Angriffe folgen in der Regel vorhersehbaren Mustern, die die Passwortsicherheit und Authentifizierungssysteme von Unternehmen direkt bedrohen:

• Credential Harvesting: Der häufigste Quishing-Angriff leitet die Benutzer auf überzeugende Nachbildungen von Anmeldeseiten um. Ein Angestellter scannt etwas, das wie ein QR-Code für den Zugang zum WiFi des Gebäudes aussieht und landet auf einer gefälschten Microsoft 365-Anmeldeseite. Sie geben ihre Anmeldedaten ein und geben sie unwissentlich direkt an Angreifer weiter, die dann auf die Unternehmenssysteme zugreifen können. 
• Umgehung der Multi-Faktor-Authentifizierung: Ausgeklügelte Quishing-Kampagnen sammeln nicht nur Passwörter, sondern auch MFA-Codes. Die Angreifer erstellen Echtzeit-Proxy-Websites, die Anmeldedaten abfangen und sie sofort verwenden, um legitime MFA-Aufforderungen auszulösen. Wenn die Opfer ihre Authentifizierungscodes eingeben und glauben, sie würden sich bei einem echten Dienst anmelden, fangen die Angreifer diese Codes ab und erhalten vollen Zugriff auf das Konto. 
• Nachahmung des Service Desks: QR-Codes auf gefälschten IT-Support-Flyern oder Mitteilungen über „dringende Systemaktualisierungen“ führen Mitarbeiter zu Formularen, in denen ihre aktuellen Passwörter „zur Überprüfung“ abgefragt werden. Diese Informationen werden dann für auf Anmeldeinformationen basierende Angriffe über mehrere Systeme hinweg verwendet. 
• Kompromittierung von Mobilgeräten: Da QR-Codes in erster Linie mit Mobilgeräten gescannt werden, installieren erfolgreiche Angriffe oft Malware, die SMS-basierte Authentifizierungscodes abfangen, gespeicherte Passwörter abfangen oder künftige Anmeldeversuche überwachen kann.

Warum Quishing erfolgreich ist, wo andere Angriffe scheitern

Herkömmliche Phishing-Kampagnen sind mit mehreren Sicherheitsebenen konfrontiert: E-Mail-Filter, Schulungen zum Sicherheitsbewusstsein und Benutzer, die gelernt haben, verdächtige Nachrichten genau zu prüfen. QR-Code-Phishing-Angriffe umgehen viele dieser Schutzmechanismen:

• Unsichtbarkeit: Benutzer können QR-Code-Ziele nicht so wie E-Mail-Links in der Vorschau anzeigen lassen. Dieses blinde Vertrauen schafft perfekte Bedingungen für erfolgreiches Social Engineering. 
• Physische Präsenz: Bösartige QR-Codes, die an legitimen Orten platziert sind, gewinnen durch ihre Umgebung an Glaubwürdigkeit. Ein QR-Code auf einem offiziell aussehenden Flyer in der Bürolobby wirkt vertrauenswürdiger als eine E-Mail von einem unbekannten Absender. 
• Mobile Anfälligkeit: QR-Codes werden in erster Linie mit persönlichen Mobilgeräten gescannt, die oft weniger Sicherheitskontrollen aufweisen als Firmen-Laptops. Viele Unternehmen, die einen robusten Endpunktschutz auf Computern einsetzen, lassen mobile Geräte weitgehend ungeschützt. 
• Ausnutzung von Dringlichkeit: Angreifer platzieren QR-Codes in Situationen, in denen sich Benutzer gezwungen fühlen, schnell zu handeln – abgelaufene Parkuhren, dringende Evakuierungen von Gebäuden oder „Systemwartungsmeldungen“, die mit der Sperrung des Kontos drohen. 

Szenarien für Quishing-Angriffe in der realen Welt

Wenn Sie verstehen, wie diese Angriffe in der Praxis ablaufen, wird deutlich, warum sie so effektiv gegen Authentifizierungssysteme sind:

• Der Parkuhren-Betrug: Angreifer platzieren betrügerische QR-Codes auf Parkuhren und leiten Autofahrer zu gefälschten Zahlungsseiten. Die Benutzer geben Kreditkarteninformationen ein und erstellen oft Konten mit Passwörtern, die sie bei anderen Diensten wiederverwenden, wodurch die Angreifer potenziell Zugang zu Unternehmenssystemen erhalten. 
• Gefälschter WiFi-Zugang: Bösartige QR-Codes erscheinen auf Schildern mit der Aufschrift „Guest Network Access“ in Cafés oder Konferenzzentren. Das Scannen führt zu Seiten, die wie legitime Portale aussehen und E-Mail-Adressen und Passwörter von Unternehmen sammeln. 
• Betrug bei der Bezahlung von Rechnungen: Finanzabteilungen erhalten physische Rechnungen mit QR-Codes für die „bequeme Online-Zahlung“. Diese Codes führen zu Websites, die Bankdaten abfragen und oft zusätzliche „Verifizierungsinformationen“ verlangen, die für weitere Angriffe genutzt werden können. 
• Betrug beim Gebäudezugang: Gefälschte QR-Codes auf Schildern von Bürogebäuden geben vor, eine „kontaktlose Besucherregistrierung“ zu ermöglichen, sammeln aber in Wirklichkeit die Anmeldedaten von Mitarbeitern, um sie später für Sim-Swap-Betrug oder andere gezielte Angriffe zu verwenden.

Abwehr von QR-Code-Phishing-Angriffen

Um Ihr Unternehmen vor Quishing zu schützen, ist ein vielschichtiger Ansatz erforderlich, der sowohl technische Schwachstellen als auch menschliches Verhalten berücksichtigt:

Aufklärung und Sensibilisierung der Benutzer

Schulen Sie Ihre Mitarbeiter darin, die Quellen von QR-Codes vor dem Scannen zu überprüfen. Seriöse QR-Codes sollten klare Informationen über ihr Ziel und ihren Zweck enthalten. Wenn ein QR-Code ohne Kontext oder an einer unerwarteten Stelle auftaucht, sollten die Mitarbeiter dies dem IT-Sicherheitsteam melden.

Legen Sie Richtlinien für die Verwendung von QR-Codes in Unternehmensumgebungen fest. Legen Sie fest, wann und wo QR-Codes für geschäftliche Zwecke zulässig sind, und schaffen Sie Meldeverfahren für verdächtige Codes.

Technische Kontrollen

Setzen Sie Lösungen für die Verwaltung mobiler Geräte (MDM) ein, die den Zugriff auf bekannte bösartige Domains erkennen und blockieren können, selbst wenn der Zugriff über QR-Codes erfolgt. Dies bietet ein Sicherheitsnetz, wenn Benutzer auf raffinierte Angriffe stoßen.

Implementieren Sie Filter auf Netzwerkebene, die den gesamten Datenverkehr überprüfen, unabhängig davon, wie Benutzer auf bösartige Websites zugreifen. Viele Unternehmen verfügen über starke Webfilter in den Unternehmensnetzwerken, lassen aber die Gastnetzwerke weitgehend unüberwacht.

Härtung der Authentifizierung

Die effektivste Verteidigung gegen erfolgreiche Quishing-Angriffe besteht darin, sicherzustellen, dass selbst kompromittierte Anmeldedaten Angreifern keinen sinnvollen Zugang verschaffen können. An dieser Stelle werden robuste Passwortrichtlinien und Authentifizierungssysteme entscheidend.

Starke Passwortrichtlinien, die die Wiederverwendung von Zugangsdaten in verschiedenen Systemen verhindern, begrenzen den Schaden, wenn die persönlichen Konten von Mitarbeitern durch QR-Code-Phishing kompromittiert werden. Wenn ein Mitarbeiter dasselbe Passwort für eine gefälschte Website zum Bezahlen von Parkgebühren und für sein Firmenkonto verwendet, erhalten Angreifer Zugang zu den Geschäftssystemen.

Moderne Authentifizierungssysteme, die sich weniger auf herkömmliche Passwörter stützen, verringern die Auswirkungen des Diebstahls von Zugangsdaten. Selbst wenn Angreifer Anmeldeinformationen durch Quishing-Kampagnen erbeuten, schafft eine richtig implementierte Multi-Faktor-Authentifizierung zusätzliche Barrieren für den Systemzugang.

Schutz des Service Desks

Helpdesk-Aktivitäten sind besonders durch Quishing-gestütztes Social Engineering gefährdet. Angreifer, die durch QR-Code-Phishing Informationen über Mitarbeiter gesammelt haben, können diese Daten verwenden, um sich als Benutzer auszugeben, wenn sie die Zurücksetzung von Passwörtern oder den Zugriff auf Konten verlangen.

Der Schutz von Service-Desk-Aktivitäten erfordert Authentifizierungsprozesse, die über die Informationen hinausgehen, die Angreifer möglicherweise durch Quishing-Kampagnen gesammelt haben. Die bloße Kenntnis des Namens, der Mitarbeiter-ID oder der letzten Anmeldevorgänge reicht nicht aus, um sensible Kontoänderungen zu verifizieren.

Lösungen wie Specops Secure Service Desk erzwingen die Verifizierung des Anrufers durch Methoden, die die Möglichkeit der Imitation ausschließen, indem sie die Verifizierung über phishing-resistente Faktoren verlangen und nicht nur über Informationen, die ein Angreifer durch Social Engineering gesammelt haben könnte.

Die Zukunft der QR-Code-Sicherheit

Da die Nutzung von QR-Codes immer weiter zunimmt, benötigen Unternehmen proaktive Sicherheitsansätze, anstatt reaktiv auf erfolgreiche Angriffe zu reagieren. Das bedeutet, dass QR-Codes bei der Sicherheitsplanung als potenzielle Angriffsvektoren behandelt werden müssen und dass sichergestellt werden muss, dass die Authentifizierungssysteme der Kompromittierung von Anmeldeinformationen aus jeder Quelle standhalten können.

Das Ziel ist nicht, QR-Codes aus dem Geschäftsbetrieb zu verbannen – sie bieten echte Vorteile in Bezug auf Komfort und Effizienz. Stattdessen sollten Unternehmen einen Sicherheitsrahmen schaffen, der davon ausgeht, dass eine Kompromittierung von Anmeldeinformationen stattfinden wird, und sich darauf konzentrieren, den Schaden zu begrenzen, wenn dies geschieht.

QR-Codes werden nicht verschwinden, aber die Angreifer, die sie ausnutzen, auch nicht. Die Unternehmen, die Quishing-Angriffen einen Schritt voraus sind, gehen davon aus, dass die Kompromittierung von Anmeldedaten unvermeidlich ist, und bauen ihre Sicherheit entsprechend aus. Unternehmen, die ihre gesamte Authentifizierungsstrategie gegen Social-Engineering-Angriffe wie Quishing verbessern möchten, erhalten durch die Überprüfung der aktuellen Passwortrichtlinien und Service-Desk-Verfahren eine solide Grundlage für die Verteidigung gegen die sich entwickelnden Bedrohungen.

Erwägen Sie die Implementierung von Specops Password Policy, um starke, eindeutige Passwörter durchzusetzen und Ihr Active Directory kontinuierlich auf über 4 Milliarden kompromittierte Passwörter zu überprüfen. Wenn Mitarbeiter mit ausgeklügelten Quishing-Angriffen konfrontiert werden, stellen robuste Passwortrichtlinien sicher, dass kompromittierte Anmeldedaten nicht über mehrere Systeme hinweg genutzt werden können. Buchen Sie noch heute eine Live-Demo von Specops Password Policy.