Hunter-Blue-Blog
  • Threat-Hunting Blog Posts - SOC Incidents
  • WH0 4M I
  • Cases
    • Hunter-Case-01 - SSH Proxy Command Lolbas
    • Hunter-Case-02 - Tangerine Turkey worm and DLL Hijacking
    • Hunter-Case-03 - QRCode Phishing - Quishing Attacks
Powered by GitBook
On this page
  • 1.) Information
  • 1.1) Aufbau eines QRCodes
  • 2.) Angriffe
  • 2.1) Angriffstaktiken
  • 2.2) Anzeichen für solche Angriffe
  • 2.3) Beispiele von historischen Angriffen mit Fake QRCodes
  • 3.) Wie analysiert man diese QRCodes
  • 3.1) Vorsicht beim Öffnen von QR-Codes
  • 3.2) Vorschau von QR-Codes
  • 3.3) Tools zum Analysieren von QR-Codes
  • 7.) Conclusion and Learning for a Hunter Blue
  1. Cases

Hunter-Case-03 - QRCode Phishing - Quishing Attacks

PreviousHunter-Case-02 - Tangerine Turkey worm and DLL Hijacking

Last updated 26 days ago

1.) Information

Hunter Blue's day started..... i will now switch to german as this Topic has caught my attention.

Im Jahr 2023 wurden täglich etwa 347,3 Milliarden E-Mails verschickt, und Phishing-E-Mails sind die häufigste Form der Cyberkriminalität. Diese Zahlen machen einem schon Angst wenn man bedenkt, dass Email der Hauptfaktor "auch im 2025" für Business Email Compromise Angriffe ist, um ein Unternehmen komplett zum erliegen bringen zu können.

Heute geht es aber um Privatpersonen, nicht mein Fokus in meiner beruflichen Umgebung, jedoch sind diese Personen auch besonders schützenswert, da es hier um Privatvermögen geht, die diese Personen von Unternehmen als Salär verdient haben oder Einfallstore sein könnten in ein Unternehmen, wenn z.b. das gleiche Device benutzt wird für den Zugriff in Unternehmensnetzwerke.

Nun Angreifer, Diebe, H(C)racker, versuchen schon seit Jahren mit neuen Methoden das Geld dieser Personen aus der Tasche zu ziehen, sozusagen die neumodische Art eines Taschendiebs, in dem Personen erst nach einer Zeit merken, dass ihr Hab und Gut nicht mehr in ihrem Besitz ist.

Daher gehen wir kurz auf diese neue Angriffsmethode ein.

Untersuchungen haben ergeben, dass seit 2021 ein deutlicher Anstieg von QR-Code-Phishing (oder „Quishing“) zu verzeichnen ist, da Cyberkriminelle weiterhin die verfügbare Technologie und ihre weite Verbreitung ausnutzen.

1.1) Aufbau eines QRCodes

QR-Codes können verwendet werden, um Informationen zu speichern, wie z. B.:

  • URLs: Leiten Sie Benutzer zu Websites oder Online-Ressourcen weiter.

  • Kontaktinformationen: Bieten Sie vCards zum einfachen Speichern von Kontakten an.

  • Text: Zeigen Sie einfache Textnachrichten an.

  • E-Mail-Adressen: Öffnen Sie E-Mail-Clients mit vorausgefüllten Empfängeradressen. Telefonnummern: Aufforderung an den Benutzer, einen Anruf zu tätigen.

  • Wi-Fi-Netzwerk-Details: Erlauben Sie dem Benutzer, sich durch Scannen mit Wi-Fi-Netzwerken zu verbinden.

  • Zahlungsinformationen: Erleichtern Sie mobile Zahlungen und Transaktionen. QR-Codes bieten zwar Komfort, bergen aber auch Sicherheitsrisiken.

-> Bösartige QR-Codes können Benutzer auf Phishing-Websites leiten oder Malware auf ihre Geräte herunterladen. <-

2.) Angriffe

2.1) Angriffstaktiken

  • Wie werden QR-Codes bei Phishing-Angriffen verwendet?

    • -> Betrüger verwenden QR-Codes, um herkömmliche E-Mail-Filter und Sicherheitsmaßnahmen zu umgehen.

    • -> Sie betten bösartige Codes an verschiedenen physischen und digitalen Orten ein, wie z. B. Code-Aufkleber auf Parkuhren oder Codes in unerwarteten E-Mails die Benutzer auf bösartige Websites leiten, um Informationen wie Anmeldeinformationen, Kreditkartennummern oder andere persönliche Daten zu stehlen.

    • -> Wenn diese Codes gescannt werden, können sie die Opfer auf gefälschte Websites umleiten, die darauf abzielen, Bankkontodaten und Kreditkarteninformationen zu stehlen oder Malware auf persönlichen Geräten zu installieren.

    • Gefälschte Zahlungsportale Betrüger können QR-Codes verwenden, um Opfer auf gefälschte Zahlungsportale umzuleiten, wo sie zur Eingabe ihrer Zahlungsdaten verleitet werden. Bösartige QR-Codes werden jetzt auch auf Parkuhren in der Schweiz gefunden.

    • Diese Malware kann dann verwendet werden, um Daten zu stehlen, Aktivitäten zu überwachen oder anderen Schaden anzurichten.

    • Taktiken des Social Engineering Einige Betrüger nutzen Social Engineering aus, indem sie QR-Codes in einem Kontext platzieren, der ein Gefühl der Dringlichkeit oder Neugierde erzeugt, so dass die Benutzer dazu verleitet werden, den Code ohne genaue Prüfung zu scannen.

2.2) Anzeichen für solche Angriffe

  • Was sind einige häufige Anzeichen für einen Quishing-Angriff?

    • -> Unerwartete E-Mails: Erhalt einer E-Mail mit einem QR-Code von einer unbekannten E-Mail-Adresse, insbesondere wenn sie einen unerwünschten Anhang oder Link enthält.

    • Unzuverlässige Quellen: QR-Codes, die an unerwarteten Orten oder aus unbekannten Quellen gefunden werden, z. B. in unaufgeforderten E-Mails oder an physischen Orten.

    • Werbeangebote: Angebote, die zu gut erscheinen, um wahr zu sein, und oft über einen QR-Code präsentiert werden, können eine Falle sein.

    • Verdächtige Nachrichten: Jede Nachricht, die über einen QR-Code zu einer sofortigen Handlung auffordert, z. B. zur Zahlungsabwicklung oder Kontoverifizierung.

  • Kann man QR-Codes von seriösen Unternehmen trauen?

    • -> Selbst QR-Codes von scheinbar seriösen Unternehmen können kompromittiert werden.

-> Überprüfen Sie vor dem Scannen immer den Kontext und die Quelle. <-

Wenn Sie beispielsweise einen QR-Code in einer E-Mail erhalten, der angeblich von einer Bank oder einer Regierungsbehörde stammt, sollten Sie die Organisation direkt über eine bekannte Telefonnummer oder Website kontaktieren, um die Echtheit des Codes zu überprüfen.

2.3) Beispiele von historischen Angriffen mit Fake QRCodes

  • DHL Paketseite wird am ende kein Paket geliefert sondern das Geld aus der Tasche gezogen!

  • Microsoft Authenticator (Office....), am Ende können Angreifer auch eure Mails lesen!

  • Banken Scam, am Ende könnt ihr nicht mal mehr eure Miete oder Essen kaufen, wenn Angreifer Zugriff auf das Konto gelangen!

3.) Wie analysiert man diese QRCodes

Wie können nun solche Angriffe von nicht technisch versierten Bewohner der Erde trotzdem analysiert und kontrolliert werden?

Hier gebe ich euch ein paar Tips wie man solche Quishing Angriffe feststellen kann, da leider die technischen Sicherheitswerkzeuge für die Sicherung der Kunden nicht schon lang nicht mehr ausreichen.

3.1) Vorsicht beim Öffnen von QR-Codes

  • Hierbei gibt es verschiedene Massnahmen, um solche QRCodes zu überprüfen

Bewährte Praktiken zum Öffnen von QR-Codes:

Im Grunde genommen sind QR-Codes dasselbe wie jeder andere Link zu einer Webseite. Daher ist es am besten, die gleiche Sorgfalt walten zu lassen, die Sie beim Anklicken eines Links anwenden würden. Fragen Sie sich selbst:

  • Erkennen Sie den Absender, und ist die E-Mail-Adresse korrekt?

  • Haben Sie schon einmal eine seriöse E-Mail wie diese erhalten?

  • Hatten Sie die E-Mail erwartet?

  • Vermeiden Sie das Scannen von Codes in unaufgeforderten E-Mails.

  • Kommt Ihnen der Ton oder der Wortlaut der E-Mail ungewöhnlich vor?

  • Werden Sie zu sofortigem Handeln gedrängt oder droht Ihnen der Verlust des Zugangs?

  • Sehen Sie sich den Link in der Vorschau an und achten Sie auf unbekannte Websites oder Rechtschreibfehler in der URL.

  • Ich empfehle Ihnen auch, keine öffentlich sichtbaren QR-Codes auf Plakaten usw. zu scannen.

3.2) Vorschau von QR-Codes

Vorschau eines QR-Code-Links Ihr Telefon kann Ihnen helfen, eine Vorschau des QR-Codes zu sehen, die jedoch manchmal abgeschnitten sein kann.

  • IPHONE: Auf einem iPhone wird die Linkvorschau nur angezeigt, wenn Ihr Standardbrowser auf Safari eingestellt ist.

  • ANDROID: Bei Android wird die Vorschau für jeden Browser angezeigt. Öffnen Sie Ihre Kamera-App und bewegen Sie den Mauszeiger über den QR-Code. Auf dem Bildschirm sollte eine Linkvorschau angezeigt werden, wie im Bild unten zu sehen.

3.3) Tools zum Analysieren von QR-Codes

Es gibt aber auch Tools die man verwenden kann, um solche QRCode Phishing Angriffe zu prüfen.

  • Tool: Cyberchef

    • ladet euch das Tool von dieser Seite herunter und entpackt dies auf eurer Workstation

    • https://github.com/gchq/CyberChef/releases

    • Die Online Version würde ich nie empfehlen für sensible Daten wie Bankdaten oder andere, da hier mit Vorsicht vorgegangen werden muss.

    • Rezept welches ihr für die Analyse benötigt: Parse QR Code

      • https://cyberchef.org/#recipe=Parse_QR_Code(false)

    • Sieht hier definitiv nicht nach einer Paketseite von DHL aus!!

  • Tool: URLscan

    • https://urlscan.io/

    • https://lookyloo.circl.lu/capture

    • Mit diesem Tool könnt ihr die vermeintlichen Phishinglinks, wenn nicht schon abgeschalten online prüfen auf Legitimität

    • Am besten ihr legt einen privaten Account ein und macht diese Scannings privat, somit werden die gescannten Seiten nicht public.

    • Sieht hier definitiv immer noch nicht nach einer Paketseite von DHL aus!!

  • Tool: Virustotal

    • https://www.virustotal.com/gui/home/url

    • Mit diesem Tool könnt ihr die vermeintlichen Phishinglinks, wenn nicht schon abgeschalten online prüfen auf Legitimität

    • Am besten ihr legt einen privaten Account ein und macht diese Scannings privat, somit werden die gescannten Seiten nicht public.

    • GRÃœN heisst ja bewehrt es ist nicht suspekt oder malicious -> ABER

      • Wie wir gesehen haben, leitet uns der QRCode auf keine DHL Seite um und die Seite gehört auch nicht DHL.

      • Solche URLs benötigen Zeit, um teilweise von solchen Analyseseiten als suspekt eingestuft zu werden, wenn diese "frisch" erstellt wurden von Angreifern.

7.) Conclusion and Learning for a Hunter Blue

  • Be safe und scannt nicht alles was nicht bis 3 auf dem Baum ist ;).

DO NOT SCAN ME