Cybercriminelen zetten twee nieuwe methoden in om de detectie van schadelijke QR-codes bij phishingaanvallen te ontwijken. Onderzoekers van Barracuda constateren dat in recente aanvallen zogeheten splitting- en nesting-technieken zijn toegepast binnen phishing-as-a-service (PhaaS)-kits zoals Tycoon en Gabagool.
Quishing – phishing via QR-codes – vormt al langer een toenemende dreiging. Via frauduleuze QR-codes worden slachtoffers doorgestuurd naar valse websites die zijn ontworpen om inloggegevens of gevoelige informatie te ontfutselen. Uit een op 20 augustus gepubliceerd onderzoek van ABN AMRO blijkt dat 1 op de 10 Nederlanders ongewenste situaties heeft meegemaakt met frauduleuze QR-codes. Daarnaast geeft 70 procent van de respondenten aan onvoldoende kennis te hebben over het veilig gebruik van QR-codes.
De Gabagool-kit maakt gebruik van gesplitste QR-codes in phishingmails die zogenaamd afkomstig zijn van Microsoft. De schadelijke QR-code wordt hierbij in twee losse afbeeldingen opgedeeld, die in de e-mail naast elkaar worden geplaatst. Voor beveiligingssystemen lijken dit onschuldige losse afbeeldingen, maar bij het scannen door een gebruiker vormen zij samen een complete QR-code die naar een phishingwebsite leidt.
De Tycoon-kit hanteert een geneste opzet waarbij een schadelijke QR-code om een legitieme QR-code heen wordt geplaatst. De binnenste QR-code leidt naar een betrouwbare bron (zoals Google), terwijl de buitenste QR-code naar een schadelijke URL verwijst. Deze aanpak maakt het lastiger voor detectiesystemen om een eenduidig resultaat te geven.
De bevindingen onderstrepen dat quishing-aanvallen zich blijven ontwikkelen en steeds moeilijker te detecteren zijn. Naast basismaatregelen zoals security awareness-training, multi-factor authenticatie en geavanceerde spamfilters, adviseren experts om meerdere beveiligingslagen te implementeren. Het gebruik van multimodale AI kan hierbij helpen door QR-codes direct te identificeren, decoderen en analyseren, zonder de inhoud eerst te hoeven extraheren.
