Wat is quishing?
QR-codes hebben de afgelopen jaren een grote opmars gemaakt en zijn doorgedrongen tot bijna elk aspect van ons leven. Van het bekijken van menu’s in restaurants en het online en offline betalen voor producten of diensten tot het eenvoudiger toegang krijgen tot websites. Hoewel de voordelen van QR-codes zowel vanuit zakelijk als gebruikersperspectief duidelijk zijn, heeft het gebruik ervan ook enkele valkuilen.
Tijdens de Super Bowl van 2022 ontwikkelde het crypto-bedrijf Coinbase een zeer innovatieve advertentie waarin een QR-code over het scherm stuiterde. Gebruikers die deze advertentie scanden, werden naar de app geleid en ontvingen vervolgens $15 aan Bitcoins. Hoewel de advertentie zeker goed werkte voor Coinbase, hun app-downloads nam met 309 procent toe, zorgde dit voor ophef in de cyberbeveiligingsgemeenschap. Experts uitten opnieuw bezorgdheid over het gemak waarmee onbekende QR-codes werden gescand. De bezorgdheid was zeker gerechtvaardigd, gezien het nieuws van Crypto QR-oplichting dat enkele weken daarvoor de ronde deed. Oplichters gebruikten hierbij codes om slachtoffers te dwingen geld op te nemen uit pensioen- of beleggingsrekeningen door fysieke cryptovaluta-ATM’s te gebruiken in combinatie met QR-codes.
Deze relatief nieuwe methode wordt quishing genoemd – afkomstig van het combineren van QR en phishing. Naar verwachting zal deze variant populairder worden onder cybercriminelen naarmate het gebruik van QR-codes toeneemt. Om beter te begrijpen wat quishing is, kijken we eerst naar de twee belangrijkste componenten waaruit het bestaat: QR-codes en phishing.
Wat zijn QR-codes?
QR-codes of Quick Response-codes zijn tweedimensionale barcodes die een smartphone of barcodescanner kunnen scannen. Deze verbeterde barcodes hebben vele voordelen ten opzichte van de traditionele eendimensionale versies die we gewend zijn te zien op supermarktproducten. Voordelen zoals de grote hoeveelheid gegevens die ze kunnen opslaan, de mogelijkheid om ze zelfs te lezen als ze gedeeltelijk beschadigd zijn en het gemak en de snelheid van gegevensoverdracht. Dit waren de belangrijkste drijfveren van de Japanse autofabrikant die de QR-codes in 1994 heeft uitgevonden. Het gebruik van QR-codes stelde hen in staat om de dreigende effecten van een recessie te bestrijden met het efficiënter maken van hun productieproces.
In de afgelopen jaren is er een enorme toename geweest in het gebruik van QR-codes. Tijdens de pandemie zijn dienstverleners steeds meer op deze codes gaan vertrouwen om op een veilige manier de bedrijfscontinuïteit te waarborgen, terwijl ze de regels voor sociale afstand in stand hielden. Hierdoor zijn gebruikers gewend geraakt aan het scannen van QR-codes en tonen ze een grotere bereidheid om dit te doen. Uit een recent onderzoek blijkt dat tegen 2025 99,5 miljoen gebruikers in de VS hun telefoons zullen gebruiken om QR-codes te scannen. Een ander onderzoek suggereert dat 59 procent denkt dat het scannen van QR-codes een permanent onderdeel zal zijn van het gebruik van hun telefoon in de toekomst.
De vele voordelen van QR-codes, waaronder de hoeveelheid gegevens die ze kunnen bevatten en de mogelijkheid om ze zowel vanaf schermen als op papier te scannen – wat niet mogelijk was met traditionele barcodes – heeft ertoe geleid dat meerdere industrieën onderzoek doen naar het gebruik ervan. Vooral de mogelijkheden voor betalingsverwerking, marketing en reclamedoeleinden. We vinden vandaag de dag QR-codes op openbare plaatsen, zoals billboards, restaurants, flyers en stickers en in onze telefoon en inbox via tekstberichten, social media en e-mails.
Dynamische versus statische QR-codes
Het is belangrijk om te beseffen dat er twee hoofdtypen QR-codes zijn, afhankelijk van de mogelijkheid om de gegevens die ze bevatten te wijzigen: statische en dynamische.
Statische QR-codes worden gebruikt wanneer het aannemelijk is dat de gecodeerde informatie niet verandert. Eenmaal gegenereerd, kan de informatie niet worden bijgewerkt of gewijzigd. Dit type QR-code wordt vaak gebruikt voor eenvoudige taken zoals het delen van een websiteadres, contactgegevens of een Wifi-wachtwoord.
Dynamische QR-codes daarentegen bieden meer flexibiliteit omdat de gegevens die ze opslaan kunnen worden bijgewerkt of gewijzigd zonder dat dit de verschijning van de code beïnvloedt. Deze codes bevatten een unieke URL die verwijst naar een server waar de informatie is opgeslagen. Op het moment dat een dynamische QR-code wordt gescand, leidt het de gebruiker om naar de URL, waardoor deze toegang krijgt tot de meest actuele informatie. Dit maakt dynamische QR-codes ideaal voor situaties waarin de inhoud regelmatig moet worden bijgewerkt. Bijvoorbeeld in het geval van evenementdetails, promotieaanbiedingen of realtime voorraadtracking. Maar het biedt oplichters ook een uitgelezen kans om legitieme QR-codes te manipuleren door hun bron te wijzigen naar een kwaadaardige.
Wat is phishing?
Phishing is een bijzonder populair middel voor cybercriminelen om toegang te krijgen tot waardevolle gegevens. Dit type social engineering wordt voornamelijk uitgevoerd via e-mails. Een phishing e-mail bevat meestal een link of bijlage, in de verwachting dat de gebruiker erop klikt of het downloadt, met als doel gevoelige gegevens te stelen, zoals bijvoorbeeld financiële informatie of inloggegevens van bedrijven. Echter, aanvallers zijn altijd op zoek naar nieuwe, effectievere manieren om hun aanvallen uit te voeren, wat resulteert in nieuwe phishing tactieken zoals vishing, smishing en quishing – ook wel QR-phishing genoemd.
Hoe werkt quishing?
Quishing is een type phishing aanval dat QR-codes gebruikt om mensen te verleiden om naar een kwaadaardige website te gaan of een document vol virussen te downloaden. Doordat het de mogelijkheid biedt om een verscheidenheid aan bronnen te hosten, zoals links, documenten en betalingsportalen, kunnen QR-codes worden gemanipuleerd zodat ze kwaadaardige links, documenten met virussen en valse betalingsportalen bevatten. Omdat de bron achter QR-codes niet te achterhalen is wanneer deze als afbeelding wordt gebruikt, bieden ze de perfecte mogelijkheid voor oplichters om beveiligingsfilters te omzeilen door ze op te nemen in e-mails.
Een quishing aanval begint met een cybercrimineel die QR-codes maakt die leiden naar ofwel een valse aanmeldingspagina waar ze gegevens van hun slachtoffers verzamelen, of naar een downloadbare virus of malware, die onmiddellijk begint te downloaden op het moment dat de code is gescand. Deze codes kunnen vervolgens worden opgenomen in e-mails als afbeeldingen of in bijlagen. Maar ze kunnen ook worden weergegeven op openbare plaatsen waar slachtoffers ze waarschijnlijk zullen scannen. Na het scannen van de QR-code wordt hen gevraagd gevoelige informatie zoals aanmeldingsgegevens of bankgegevens te verstrekken of kwaadaardige software of apps te downloaden. De download kan echter ook automatisch plaatsvinden zodra de code is gescand, waardoor het gebruikte apparaat verder wordt geïnfecteerd.
Een recent voorbeeld van quishing betrof het gebruik van legitieme werknemersaccounts die eerder waren gecompromitteerd, om toegang te krijgen tot Microsoft-inloggegevens. Aanvallers stuurden e-mails waarin werd beweerd dat ze een voicemail van de accounthouder bevatten, die alleen kon worden beluisterd door de QR-code te scannen. Na het scannen van deze code werden werknemers vervolgens doorgestuurd naar een realistisch ogende Microsoft-inlogpagina, waar ze onbewust hun inloggegevens aan de aanvallers verstrekten. In een soortgelijke aanval, waarin aanvallers zich voordeden als een bank, werden e-mails naar klanten gestuurd waarin hen werd gevraagd om in te stemmen met het nieuwe gegevensbeleid of de nieuwe beveiligingsprocessen te bekijken door de QR-code te scannen. Nadat de code was gescand, werden klanten doorgestuurd naar een landingspagina die leek op de inlogpagina van de bank.
Wat is QRLJacking?
Quick Response Login (QRL) is een gebruiksvriendelijke authenticatiemethode die QR-codes gebruikt om in te loggen op websites, applicaties of digitale diensten. In plaats van handmatig een gebruikersnaam en wachtwoord in te voeren, scannen gebruikers eenvoudigweg een QR-code die wordt weergegeven op het aanmeldscherm van de app of website met hun smartphone. Deze handeling logt hen direct in of vraagt hen hun identiteit te bevestigen met behulp van een secundaire authenticatiemethode als tweefactorauthenticatie actief is.
Hoewel QRL opkwam als een handige en veilige authenticatiemethode die het onthouden van lange wachtwoorden overbodig maakte, vonden hackers een manier om het in hun voordeel te gebruiken:
- Ze initiëren eerst een QR-sessie aan de clientzijde op de website of app waarop ze willen dat de gebruiker inlogt.
- Daarna klonen ze de legitieme QR-code en manipuleren deze door deze om te leiden naar de server van de aanvaller.
- Vervolgens integreren ze de QR-code in een nepaanmeldpagina die de originele imiteert.
- Zodra de QR-code gereed is, verspreiden ze de link naar de nepaanmeldpagina via e-mail of een ander kanaal en laten ze de gebruiker klikken op de link en de QR scannen om in te loggen.
- Als tweefactorauthenticatie niet is geactiveerd, krijgt de aanvaller zodra het slachtoffer de QR-code scant, toegang tot het account van het slachtoffer.
Dit is precies wat er gebeurde met ING Bank, waarvan de app klanten in staat stelt om op een tweede apparaat in te loggen door een QR-code te scannen die wordt weergegeven in hun mobiele app. Cybercriminelen identificeerden deze functie als een kans om accounts van ING-cliënten over te nemen door te knoeien met legitieme QR-codes binnen de app. Na slachtoffer te zijn geworden van de zwendel, ontdekten nietsvermoedende gebruikers snel dat duizenden euro’s waren verdwenen van hun rekeningen.
QR-phishing voorbeelden uit het echte leven
Vindingrijke cybercriminelen blijven nieuwe strategieën ontwikkelen om QR-codes te gebruiken in hun phishing zwendel. Of het nu gaat om het verkrijgen van inloggegevens of creditcardgegevens bij het betalen voor parkeren, ze gebruiken geavanceerde social engineering technieken om hun slachtoffers te misleiden en hun gevoelige gegevens te bemachtigen.
Oplichting met parkeerautomaten en parkeerboetes
Quishing vormt een nog grotere dreiging wanneer het gericht is op het verkrijgen van bank- en betalingsgegevens. In een voorval uit Texas bevestigden cybercriminelen valse QR-code stickers aan parkeerautomaten, waardoor bestuurders geloofden dat ze deze konden gebruiken om te betalen voor parkeren. Door de codes te scannen, werden bestuurders naar een website geleid waar ze hun creditcardgegevens konden invoeren, waardoor ze onbedoeld hun vertrouwelijke gegevens aan hackers verstrekten. Iets soortgelijks gebeurde in februari 2022 in Atlanta, toen bestuurders valse parkeerboetes met QR-codes op hun voertuigen ontdekten, zogenaamd om boetes te betalen. Nadat ze op de hoogte waren gebracht van de situatie, waarschuwden lokale autoriteiten dat Atlanta geen QR-codes gebruikt op hun parkeerkaartjes.
E-mail-quishing zwendel ontworpen om je bankrekening leeg te halen
Zoals eerder beschreven, vertegenwoordigen QR-phishing e-mails een andere vorm van oplichting die is gericht op het verkrijgen van gevoelige bankgegevens. In 2022 imiteerde een QR-phishing campagne in China het Chinese Ministerie van Financiën in een e-mail die gebruikers liet denken dat ze een nieuwe overheidsbeurs konden aanvragen. Om dit te doen, werden ze gevraagd om een QR-code te scannen die was ingebed in een bijgevoegd document met behulp van een mobiele berichten- en betalingsapp (WeChat). Hackers gebruiken vaak QR-codes, niet alleen omdat ze moeilijk te detecteren zijn door technische beveiligingsmaatregelen, maar ook omdat het de gebruiker ertoe aanzet deze te scannen vanaf een mobiel apparaat, die meestal minder goed beveiligd zijn dan computers. Na het scannen van de code werden gebruikers naar een pagina geleid waar ze hun aanvraag in konden vullen, inclusief zeer gedetailleerde informatie over hun creditcards en bankrekeningen.
Nep QR-codegeneratoren betrokken bij zwendel met cryptovaluta
Cryptovaluta adressen kunnen eenvoudig worden gedeeld via QR-codes, wat een handige methode is voor het overdragen van digitale activa. Crypto-portefeuilles hebben vaak ingebouwde functionaliteit om deze QR-codes te maken, maar er zijn ook tal van online QR-codegeneratoren beschikbaar. In een grote zwendel creëerden hackers minstens negen frauduleuze pagina’s die, wanneer gebruikers werden gevraagd om hun QR-codeadres te maken, een QR-code genereerden die leidde naar verschillende crypto-portefeuilles die eigendom zijn van hackers. Op deze manier werden telkens wanneer een gebruiker zijn QR-code deelde om een betaling te ontvangen, de fondsen overgemaakt naar de crypto-portefeuille van de hacker, waarbij gebruikers voor duizenden euro’s aan cryptovaluta werden opgelicht.
Hoe herken je een quishing-aanval
QR-phishing wordt vaak door hackers gebruikt wanneer reguliere phishing niet succesvol is. Dat betekent dat QR-phishing als een effectievere methode wordt beschouwd. Dit komt doordat malware-detectoren en e-mailfilters alleen een e-mail markeren als ze verdachte URL’s of bijlagen kunnen detecteren. Quishing e-mails bevatten QR-codes als gewone afbeeldingen die zijn opgenomen in de e-mail of in een bijgevoegd document met een niet-verdachte extensie. Op deze manier kunnen ze e-mailfilters omzeilen en komen ze niet in de spamfolder terecht. Slachtoffer zijn op die manier onbeschermd tegen dit soort social engineering technieken.
De mysterieuze aard van QR-codes maakt ze tot een aantrekkelijk instrument voor oplichters die nieuwsgierigheid willen opwekken, vooral omdat de inhoud ervan in eerste instantie verborgen blijft. Deze obscuriteit, in combinatie met het manipuleren van emoties zoals angst en urgentie, kan nietsvermoedende slachtoffers ertoe aanzetten om kwaadaardige QR-codes te scannen die zijn ontworpen voor frauduleuze doeleinden. Oplichters benutten deze emoties vaak om individuen te overtuigen nepfacturen of boetes te betalen, waarbij ze gebruikmaken van het gemak en de snelheid die QR-codes bieden. Maar emotionele manipulatie is niet de enige tactiek die wordt gebruikt. Let op deze tekenen van quishing voordat je een QR-code scant:
Manieren om jezelf te beschermen tegen quishing
QR-phishing aanvallen hebben veel gemeen met traditionele phishing aanvallen. Daarom zullen de meeste algemene aanbevelingen om phishing te vermijden je ook helpen om quishing te detecteren; van het zorgvuldig controleren van het afzenderadres en het opsporen van eventuele spelfouten of onpersoonlijke begroetingen tot het vooraf bekijken van links voordat je erop klikt en het vermijden van het downloaden van verdachte bijlagen. Echter, QR-phishing maakt gebruik van specifieke kwetsbaarheden waar je jezelf tegen kunt beschermen door deze aanbevelingen te volgen:
- Controleer de QR-bron: Vermijd het scannen van QR-codes van vreemden, vooral als ze onweerstaanbare aanbiedingen of kortingen bieden. Als het bericht of de e-mail afkomstig is van een officiële bron of een collega, controleer dan bij hen de authenticiteit van de e-mail of bezoek hun officiële website.
- Gebruik een betrouwbare QR-codelezer: De meeste smartphones stellen je in staat om QR-codes te scannen met hun ingebouwde scanfunctie in de camera of met Google Lens. Als je besluit om een app van derden te downloaden, zorg er dan voor dat deze betrouwbaar is. Cybercriminelen hebben in het verleden frauduleuze updates voor QR-scannerapps gebruikt om gebruikers met malware te infecteren.
- Voorbeeld van de bestemmings-URL: Als je scan-app deze functie heeft, controleer dan de link waar de QR-code je naartoe leidt voordat je deze opent. Dit beschermt je tegen QR-codes die automatisch malware op je apparaat downloaden op het moment dat je ze scant.
- Wees voorzichtig met de informatie die je verstrekt na het scannen van een QR-code: Wanneer je na het klikken op een link wordt gevraagd om persoonlijke informatie of gegevens, controleer dan het logo en de volledige URL van de pagina waarop je je bevindt voordat je iets invoert. Typ indien mogelijk de originele URL in je browser over in plaats van gevoelige informatie in te voeren via een link of QR-code.
- Schakel tweefactorauthenticatie in: Deze extra beveiligingslaag werkt precies zoals bij traditionele phishing. Als je informatie toevallig in handen van een cybercrimineel valt, zullen ze geen toegang kunnen krijgen tot je accounts tenzij je de tweede vorm van authenticatie accepteert. Dit betekent ook dat je meldingen op je telefoon moet vermijden als je niet hebt geprobeerd toegang te krijgen tot je account, zelfs als je er honderden van ontvangt. Dit is een duidelijk teken dat hackers je referenties hebben achterhaalt en proberen toegang te krijgen tot je account.
- Zorg dat je op de hoogte blijft met regelmatige bewustwordingstrainingen voor beveiliging: Een stap voorblijven op een cybercrimineel betekent leren hoe ze handelen en wat je moet doen wanneer je wordt geconfronteerd met een mogelijke aanvalssituatie.
De toenemende dreiging van QR-code phishing: Hoe kunnen bedrijven het beste reageren?
Terwijl cyberaanvallen blijven toenemen, komt QR-code phishing naar voren als een krachtige en relatief nieuwe tactiek. Dit fenomeen maakt gebruik van het feit dat veel mensen niet gewend zijn om QR-codes te gebruiken, terwijl degenen die dat wel doen ze vaak zonder nadenken scannen, zich niet bewust van de mogelijke risico’s. Bedrijven waarvan de werknemers niet goed bekend zijn met de nuances van QR-code phishing, kunnen het risico lopen om slachtoffer te worden van deze aanvallen, wat de noodzaak benadrukt van uitgebreide training op dit gebied.
Het trainingsprogramma van SoSafe biedt een optimale oplossing, met hapklare, effectieve en inhoud die specifiek gericht is op QR-code phishing. Door werknemers bewust te maken en te trainen op de vaardigheden die ze nodig hebben, kunnen zij dit soort aanvallen beter identificeren en vermijden, wat hun digitale zelfverdediging versterkt.