Cofense, ein US-amerikanischer Anbieter für IT-Sicherheitslösungen, berichtet von einer Phishing-Kampagne mit QR-Codes, die auf Microsoft-Anmeldeinformationen von Benutzern abzielt. Zu den bekanntesten Zielen gehörte ein großes US-amerikanisches Energieunternehmen. Weitere Zielbranchen umfassen Versicherungen und Finanzdienstleister. Die Zahl der im Rahmen der Kampagne massenhaft versendeten Phishing-E-Mails nimmt von Monat zu Monat zu; sie ist seit dem Beginn im Mai 2023 um mehr als 2.400 Prozent gestiegen.
Die meisten Phishing-E-Mails enthalten PNG-Bildanhänge, die Phishing-Links oder Weiterleitungen über einen eingebetteten QR-Code bereitstellen. Am häufigsten handelt es sich dabei um Bing-Weiterleitungs-URLs, die ursprünglich für Marketingzwecke gedacht waren. E-Mail-Köder kommen dabei in Form einer Aktualisierung der Kontosicherheit rund um die Zwei-Faktor-Authentifizierung (2FA), die Multi-Faktor-Authentifizierung (MFA) oder die allgemeine Kontosicherheit vor.
Während Bing eine legitime Domäne im Besitz von Microsoft ist, können Bing-Weiterleitungs-URLs auch für böswillige Zwecke verwendet werden. Die Taktik, Phishing-Links in Weiterleitungen zu verschlüsseln, ist nicht neu. Dabei ist wichtig zu beachten, dass sich Bedrohungen in QR-Codes verstecken und gleichzeitig eine vertrauenswürdige Domäne für Angriffe missbrauchen. Der Missbrauch vertrauenswürdiger Domänen, der Einsatz von Verschleierungstaktiken und das Verstecken der URLs in QR-Codes, die in einen PNG- oder PDF-Anhang eingebettet sind, trägt dazu bei, dass E-Mails die IT-Sicherheit umgehen können und in die Posteingänge potenzieller Opfer gelangen.
Obwohl QR-Codes für Angreifer von Vorteil sind, wenn es darum geht, bösartige E-Mails in den Posteingang des Benutzers zu schleusen, sind sie möglicherweise nicht effizient genug, um den Benutzer zum eigentlichen Phishing-Angriff zu führen. Das ist auf die Natur von QR-Codes zurückzuführen, da diese von einem Bilderfassungsgerät gescannt werden müssen. Zwar gibt es Online-Scanner, die Ihnen zeigen wohin der QR-Code führt, jedoch wird der Benutzer zudem aufgefordert, den Code mit der Kamera seines Mobilgeräts zu scannen. Moderne Mobilgeräte zeigen auch das eingebettete Artefakt an und fordern den Benutzer auf, die URL eigens zu bestätigen. Erst nach der Bestätigung führt der Browser den Benutzer zur zuvor angezeigten URL.
Aktuell liegen der Cyberabwehr des Landesamts für Verfassungsschutz keine Hinweise auf mögliche Tätergruppierungen und
Ziele in Deutschland vor. Es ist jedoch nicht auszuschließen, dass Angreifer neue Wege ausprobieren, um Zugangsdaten zu
Unternehmensnetzwerken zu erbeuten. Die Cyberabwehr rät daher zum Einsatz von automatischen QR-Scannern; bei deren Download sollte man
auf eine vertrauenswürdige Quelle achten. Daneben ist es zwingend erforderlich, dass die Beschäftigten dafür sensibilisiert
werden, keine QR-Codes in eingehenden E-Mails zu scannen. So wird dazu beigetragen, dass die Sicherheit von Konten und Unternehmen
gewährleistet bleibt.