Wat is quishing?
QR phishing, ook bekend als 'quishing', is een vorm van cybercriminaliteit waarbij misbruik wordt gemaakt van de populariteit van QR-codes. Bij deze zwendel creëren cybercriminelen kwaadaardige QR-codes die, wanneer ze gescand worden, naar frauduleuze websites leiden of aanzetten tot het downloaden van schadelijke software. Omdat mensen QR-codes steeds vaker gebruiken voor verschillende doeleinden, zoals het openen van menu's of het doen van betalingen, kunnen ze onbewust deze misleidende codes scannen, waardoor hun persoonlijke gegevens in gevaar komen.
Dit gedrag kwam naar voren tijdens de Super Bowl van 2022 toen de innovatieve QR-code-reclame van Coinbase leidde tot een aanzienlijke toename van het aantal app-downloads. Het leidde echter ook tot bezorgdheid in de cyberbeveiligingsgemeenschap, vooral in het licht van recente Crypto QR scams waarbij oplichters QR-codes gebruikten om slachtoffers te manipuleren om geld van hun rekeningen af te halen.
De term "quishing" combineert QR-codes en phishing en duidt op een methode waarbij kwaadwillende actoren valse QR-codes creëren om gebruikers naar gespoofde sites te leiden, informatie te stelen of malware op hun apparaten te installeren. Het doel is om mensen te misleiden en hen te laten geloven dat ze een onschuldige of noodzakelijke QR-code gebruiken, terwijl het echte doel is om persoonlijke en financiële informatie te stelen.
Wat is een QR code?
QR codes, of Quick Response codes, zijn tweedimensionale barcodes die een grote hoeveelheid gegevens kunnen opslaan en snel gelezen kunnen worden door smartphones of barcodescanners. QR codes zijn oorspronkelijk uitgevonden door een Japanse autofabrikant in 1994 om de efficiëntie in de productie te verbeteren, maar worden de laatste jaren steeds meer gebruikt.
Ze werden vooral populair tijdens de pandemie als een manier om de bedrijfscontinuïteit te handhaven en tegelijkertijd de sociale afstand te bewaren. Als gevolg hiervan zijn consumenten meer gewend geraakt aan het scannen van QR codes, waarbij studies voorspellen dat meer dan 100 miljoen gebruikers in de VS hun telefoon zullen gebruiken om QR codes te scannen in 2025.
De veelzijdigheid van QR codes, die kunnen worden gescand vanaf zowel schermen als papier, heeft geleid tot hun wijdverspreide toepassing in verschillende industrieën, waaronder betalingsverwerking, marketing en reclame. Tegenwoordig zijn QR codes vaak te vinden in openbare ruimtes zoals billboards en restaurants, maar ook in digitale communicatie zoals tekstberichten, sociale media en e-mails.
Statische vs. dynamische QR codes
QR-codes kunnen worden onderverdeeld in twee hoofdtypen op basis van hun gegevensflexibiliteit: statisch en dynamisch.
Statische QR codes zijn vast en kunnen niet gewijzigd worden eens ze aangemaakt zijn. Ze worden vaak gebruikt voor het delen van statische informatie zoals een website URL, contactgegevens of een Wi-Fi wachtwoord.
Dynamische QR codes daarentegen zijn flexibeler omdat de informatie die ze coderen kan worden bijgewerkt of gewijzigd zonder het uiterlijk van de code te veranderen. Ze bevatten een unieke URL die gebruikers naar een server leidt waar de informatie is opgeslagen. Dit aanpassingsvermogen maakt ze ideaal voor situaties waarin de inhoud regelmatig moet worden bijgewerkt, zoals informatie over evenementen, promotieaanbiedingen of het bijhouden van voorraden in realtime. Dezelfde flexibiliteit vormt echter ook een beveiligingsrisico, omdat scammers dynamische QR-codes kunnen misbruiken door de bron te wijzigen en gebruikers om te leiden naar kwaadaardige sites.
Wat is phishing?
Phishing is een veelgebruikte methode door cybercriminelen om toegang te krijgen tot waardevolle gegevens via social engineering-aanvallen, voornamelijk via e-mails. Een typische phishing-e-mail bevat een link of bijlage die de gebruiker verleidt om erop te klikken of deze te downloaden, met als doel gevoelige informatie te stelen, zoals financiële gegevens of inloggegevens van het bedrijf.
Maar omdat aanvallers voortdurend op zoek zijn naar effectievere technieken, zijn er nieuwe phishingtactieken ontstaan, waaronder vishing (voice phishing), smishing (SMS phishing) en quishing (QR phishing). Deze varianten maken gebruik van verschillende communicatiekanalen om vergelijkbare misleidende praktijken uit te voeren, waarbij quishing specifiek gebruikmaakt van de populariteit en het gemak van QR-codes om gebruikers te verleiden tot het vrijgeven van hun persoonlijke gegevens.
Hoe werkt quishing?
Quishing is een soort phishingaanval waarbij QR-codes worden gebruikt om mensen te misleiden om schadelijke websites te bezoeken of bestanden met malware te downloaden. QR-codes kunnen verschillende bronnen hosten, zoals links, documenten en betalingsportalen, waardoor ze een veelzijdig hulpmiddel zijn voor cybercriminelen. Deze codes kunnen worden gemanipuleerd om kwaadaardige links, met virussen geladen documenten of valse betalingsportalen te bevatten. Omdat de inhoud achter een QR-code niet zichtbaar is wanneer deze als afbeelding wordt weergegeven, is het een ideaal middel voor oplichters om beveiligingsmaatregelen te omzeilen door ze in e-mails op te nemen.
Een quishing-aanval begint meestal met een cybercrimineel die QR-codes maakt die omleiden naar een frauduleuze inlogpagina om de gegevens van slachtoffers te verzamelen of naar een site die automatisch malware downloadt bij het scannen. Deze kwaadaardige QR-codes kunnen in e-mails worden ingevoegd als afbeeldingen of bijlagen, of ze kunnen op openbare plaatsen worden geplaatst waar mensen ze waarschijnlijk zullen scannen. Zodra de QR-code is gescand, kunnen slachtoffers worden gevraagd om gevoelige informatie in te voeren, zoals inloggegevens of bankgegevens, of ze kunnen onbewust schadelijke software of apps downloaden. In sommige gevallen wordt schadelijke inhoud automatisch gedownload direct nadat de code is gescand, waardoor het apparaat van het slachtoffer nog verder wordt aangetast.
QRLJacking begrijpen: Een casestudy in quishing
QRLJacking is een geavanceerde vorm van quishing die specifiek gericht is op Quick Response Login (QRL)-systemen. QRL is een gebruiksvriendelijke authenticatiemethode waarmee gebruikers kunnen inloggen op websites, applicaties of digitale diensten door een QR-code te scannen met hun smartphone. Deze methode maakt het onthouden van complexe wachtwoorden overbodig en biedt gebruikers een handig alternatief.
Dit gemak introduceert echter ook een kwetsbaarheid die cybercriminelen hebben leren uitbuiten. Bij een QRLJacking-aanval starten hackers een sessie op de beoogde website of app en klonen ze de legitieme QR-code. Vervolgens manipuleren ze de gekloonde code door deze om te leiden naar hun eigen server en in te sluiten in een valse inlogpagina die het origineel nabootst. De kwaadaardige QR-code wordt verspreid via e-mails of andere kanalen, waardoor gebruikers worden misleid om deze te scannen om in te loggen.
Het gevaar van QRLJacking wordt duidelijk als multi-factor authenticatie niet is geactiveerd. Zodra het slachtoffer de gemanipuleerde QR-code scant, krijgt de aanvaller onmiddellijk toegang tot de rekening van het slachtoffer. Een opmerkelijk voorbeeld van deze aanval vond plaats bij ING Bank, waarvan de app klanten toestond om in te loggen op een tweede apparaat door een QR-code te scannen. Cybercriminelen maakten misbruik van deze functie en knoeiden met legitieme QR-codes in de app. Onwetende gebruikers die het slachtoffer werden van deze zwendel ontdekten dat er aanzienlijke bedragen van hun rekeningen waren verdwenen.
Hoe kan u een quishing-aanval detecteren?
Het detecteren van een quishing aanval kan een uitdaging zijn vanwege de inherente aard van QR codes, die hun inhoud verbergen totdat ze gescand worden. In tegenstelling tot traditionele phishing-aanvallen bevatten quishing e-mails QR-codes als gewone afbeeldingen of in bijlagen met niet-schadelijke extensies, waardoor ze malwaredetectoren en e-mailfilters kunnen omzeilen. Dit betekent dat ze detectie kunnen omzeilen en niet in de spamfolder belanden, waardoor mensen kwetsbaar blijven voor social engineering-tactieken.
De aantrekkingskracht van QR-codes voor oplichters ligt in hun vermogen om nieuwsgierigheid op te wekken en emoties zoals angst en urgentie uit te buiten. Deze emotionele triggers kunnen nietsvermoedende slachtoffers ertoe aanzetten om kwaadaardige QR-codes te scannen die bedoeld zijn voor frauduleuze activiteiten, zoals het betalen van valse rekeningen of boetes. Het gemak en de snelheid van QR-codes worden misbruikt om deze zwendelpraktijken mogelijk te maken.
Om jezelf te beschermen tegen QR code fraude is het belangrijk om waakzaam te zijn en op bepaalde tekenen te letten voordat je een QR code scant:
- Onverwachte of ongevraagde QR-codes: Wees voorzichtig met QR-codes die verschijnen in ongevraagde e-mails of berichten, vooral als ze u vragen om onmiddellijk actie te ondernemen.
- Gebrek aan context of uitleg: Legitieme QR-codes gaan meestal vergezeld van een duidelijke uitleg over hun doel. Wees op je hoede voor codes zonder context of geloofwaardige bron.
- Verdachte afzender: Controleer het e-mailadres of de contactgegevens van de afzender op tekenen van illegaliteit, zoals spelfouten of ongebruikelijke domeinnamen.
- Urgentie of druk: Oplichters creëren vaak een gevoel van urgentie om snel actie te ondernemen. Wees sceptisch over berichten die u onder druk zetten om onmiddellijk een QR-code te scannen.
- Controleer de bron: Controleer indien mogelijk de legitimiteit van de QR code door contact op te nemen met de vermeende afzender via officiële kanalen.
- Gebruik een veilige QR code scanner: Sommige apps voor QR-codescanners bieden beveiligingsfuncties die de veiligheid van de link controleren voordat je hem opent. Overweeg het gebruik van zo'n app om een extra beschermingslaag toe te voegen.
Door op de hoogte te zijn van deze tekenen en voorzichtig te zijn, kan u het risico om slachtoffer te worden van een quishing-aanval verkleinen en gevoelige informatie van uw beschermen.
Dit is hoe u jezelf kan beschermen tegen quishing
Om bescherming te bieden tegen quishing-aanvallen is het belangrijk om algemene phishingpreventiestrategieën te combineren met maatregelen die specifiek zijn afgestemd op de unieke uitdagingen van QR-codes:
- Controleer de QR bron: Wees voorzichtig met het scannen van QR codes, vooral van onbekende bronnen of diegene die te mooie aanbiedingen beloven. Als de code afkomstig is van een schijnbaar officiële bron, een vriend of een collega, controleer de authenticiteit dan direct bij hen of bezoek hun officiële website.
- Gebruik een betrouwbare QR-codelezer: Hoewel de meeste smartphones ingebouwde mogelijkheden hebben om QR-codes te scannen, als u kiest voor een app van derden, zorg er dan voor dat deze betrouwbaar is. Wees op je hoede voor frauduleuze updates voor QR scanning apps, omdat deze in het verleden malware hebben verspreid.
- Bekijk een voorbeeld van de bestemmings-URL: Als uw scanning app het toelaat, bekijk dan eerst de link waar de QR code u naartoe leidt alvorens deze te openen. Deze voorzorgsmaatregel helpt beschermen tegen QR codes die automatisch malware downloaden bij het scannen.
- Wees voorzichtig met persoonlijke informatie: Wees na het scannen van een QR code op je hoede wanneer je gevraagd wordt om persoonlijke informatie in te voeren op een gelinkte pagina. Controleer het logo en de volledige URL van de site en typ indien mogelijk handmatig de originele URL in uw browser in plaats van de link van de QR code te gebruiken.
- Schakel authenticatie met twee factoren in: Het toevoegen van deze extra beveiligingslaag kan onbevoegde toegang tot uw accounts voorkomen, zelfs als een cybercrimineel uw referenties bemachtigt. Wees voorzichtig met het accepteren van verificatiemeldingen op uw telefoon, tenzij u'een poging tot toegang tot de account heeft geïnitieerd.
- Blijf op de hoogte met trainingen in beveiligingsbewustzijn: Door uw regelmatig bij te scholen over cybercriminele tactieken en hoe te reageren op potentiële aanvallen, kan u de bedreigingen voorblijven.
Door deze aanbevelingen op te volgen, kan u de uw verdediging tegen quishing-aanvallen verbeteren en uw gevoelige informatie beschermen tegen in verkeerde handen vallen.