Quishing er et phishing-angreb, der bruger QR-koder til at narre folk til at besøge skadelige hjemmesider eller downloade malware. Cyberkriminelle udnytter QR-kodernes alsidighed, som kan indeholde links, dokumenter eller betalingsportaler, til at narre folk.
Under Covid-19-pandemien etablerede en lille, sort-hvid firkant sig solidt mellem vaccine-selfies og udgangsforbud: QR-koden. Kort forinden var den blevet anset for at være død og knap nok værd at række ud efter smartphonen, men nu blev den hurtigt til en slags universalværktøj. Hurtigtest, advarselsapps, vaccinationsattester, togbilletter, kontaktløse betalinger ... eller kort sagt: porten til det normale liv. Det er et velkendt faktum, at der ikke er noget lys uden skygge. Og derfor er det farepotentiale, der ligger i denne uanselige lille boks, skræmmende.
Quishing: QR-kodens katastrofale comeback
QR står for "quick response code" En todimensionel stregkode, der ser ud til at være det naturlige og organiske resultat af vores ønske om at få adgang til alting så hurtigt og nemt som muligt - med alting kun en scanning væk. Den giver mulighed for øjeblikkelig overførsel af store mængder information. Både dens brugervenlighed og pandemien virkede som katalysatorer for en ny form for phishing-angreb: såkaldt quishing, et udtryk, der kombinerer "QR" og "phishing".
I traditionelle phishing-angreb bruger cyberkriminelle tvivlsomme e-mails, chatbeskeder eller hjemmesider til at fiske efter adgangskoder og andre personlige data.
I tilfælde af quishing-angreb udnytter kriminelle de ovennævnte egenskaber ved QR-koder til at skjule vildledende oplysninger bag de sorte og hvide felter. Quishing-e-mails er som regel designet med stor omhu - man kunne endda sige kærligt. De er lavet til at se autentiske ud. Det er åbenbart ikke længere på mode blandt cyberkriminelle at forsøge at lokke potentielle ofre til med nyheden om en arv på flere millioner dollars. Selv om nogle af de potentielle modtagere sikkert ville nyde en imaginær rejse til en drømmesommerbolig i Saint-Tropez, især i de mørke vintermåneder.
Nutidens cyberkriminelle foretrækker en subtil tilgang. De går efter svaghederne i den menneskelige ånd. Følelsen af uudholdelig tortur, når du skal håndtere besværlige procedurer. Så de truer med at lukke en bankkonto eller brugerkontoen i en yndlingswebshop.
Kontaktløs undfangelse efterfulgt af fald
Konventionelle sikkerhedsmekanismer scanner kun standardvedhæftninger og URL'er. Disse foranstaltninger har dog en tendens til at mislykkes med QR-koder. Blandt de mest populære ordninger er anmodninger om at acceptere en opdateret datapolitik eller anmodninger om at oprette en ny sikkerhedsprocedure. Og alt dette kan naturligvis gøres nemt og bekvemt ved at scanne en QR-kode. Den kriminelle værktøjskasse indeholder endda vigtige dokumenter, som nemt kan downloades via en QR-kode.
Det er forståeligt, at modtagerne ønsker at slippe af med denne ubehagelige blanding af følelser så hurtigt som muligt: indtrykket af at være tvunget til handling, kombineret med ønsket om at vende sig mod sjovere ting lige nu. Men hvem kan ikke lide at nyde følelsen af produktivitet efter at have taget sig af det irriterende bankproblem? At scanne koden er kun et spørgsmål om sekunder - ofte med katastrofale konsekvenser. I modsætning til den hellige Maria kan denne kontaktløse undfangelse blive til synd.
Moræner på lur efter data
De, der efterkommer de vildledende anmodninger, havner på falske hjemmesider, der er lavet med stor omhu for detaljerne. Overskriften skal trods alt have nøjagtig samme kongeblå nuance som Volksbank-logoet, der blev stjålet fra den oprindelige hjemmeside. Der anvendes forskellige teknikker til at skjule ondsindede links og omgå advarsler. En almindelig metode består i at misbruge indholdsstyringssystemer som WordPress og deres plugins. Skjult bag falske landingssider lokker de potentielle ofre i deres fælde. Der har også været rapporter om cyberkriminelle, der bruger Googles feed-proxyserver "FeedBurner" til omdirigering. En anden almindelig praksis er brugen af et brugerdefineret domæne til omdirigeringsprocessen samt selve phishing-siden. Faren er overhængende - selv hvis malware-forsvarssystemerne ikke slår alarm.
Når den perfekte illusion er skabt, vil cyberkriminelle kun have én ting: personlige data. Som en muræne, der ligger på lur i sin hule og venter på at få fat i brugernavne og adgangskoder. Alt for mange modtagere glemmer alle forholdsregler, når arbejdsdagen er ved at være slut, og solnedgangen kalder på dem fra terrassen. De overser det ekstra bogstav i URL'en, og kun få sekunder senere er deres data blevet indtastet i den bedragerisk realistisk udseende registreringsgrænseflade. Phishing-URL'er rettet mod Sparkasse-kunder starter ofte med 'spk-', mens 'vr-' er et almindeligt præfiks for forfalskede Volksbank-sider.
I arbejdsmiljøer er der en særlig risiko, når private smartphones omgår en virksomheds interne sikkerhedsmekanismer. Quishing er ideelt til dette formål. Når den farlige kode er blevet scannet, trænger ondsindet indhold i al hemmelighed ind i den mobile enhed. Derfra når det hurtigt frem til e-mailindbakker, kontaktoplysninger eller dokumenter, der administreres via cloud-løsninger. Den perfekte gateway. Hvis et sådant angreb finder sted og påvirker kritiske data, vil ilden sandsynligvis sprede sig og inficere virksomhedens ressourcer. En type malware, der for nylig har tiltrukket sig særlig opmærksomhed, er ransomware. Dens trusselspotentiale er enormt. En uhyggelig nødvendighed, og ifølge BSI (det tyske forbundskontor for informationssikkerhed) mangedobles dens evne til at gøre skade, når den rammer virksomhedsnetværk.
Quishing af e-mails fra Volksbank & Sparkasse
Digital Reginheri
Formålet med ransomware er at kryptere brugerdata. Når denne proces er afsluttet, står offeret over for et krav om løsepenge. Antallet af berørte virksomheder er chokerende højt. Deres it- og forretningsprocesser forstyrres. Desuden truer de kriminelle ofte med at videregive eller sælge dataene. De går efter virksomheder i alle former og størrelser. Ifølge Cyber Readiness Report, som Hiscox udgav i 2022, betaler 48 % af de tyske virksomheder løsepenge efter et sådant angreb. Det afpressede beløb ligger ofte på et sekscifret eurobeløb. Ifølge BSI er der dog i nogle tilfælde blevet krævet ottecifrede beløb.
Mange ofre bliver chokerede over at opdage, at de kriminelle fortsætter med at stille krav, selv efter at de har betalt. Man skulle tro, at gerningsmændene kunne være sprunget ud af en nogenlunde spændende historisk dokumentarfilm. Disse scenarier minder om år 845, hvor vikingelederen Reginheri satte Paris under belejring. Karl den Skaldede, konge af Vestfrankrig, besluttede, at modstand var nytteløs, og betalte en sum på 7.000 pund sølv for at få de danske tropper til at trække sig tilbage. Ligesom deres kolleger i cyberspace 1.200 år senere kunne nordmændene og skjoldmøerne ikke modstå fristelsen til at afpresse yderligere betalinger. Så de fortsatte deres angreb.
Moderne forbrydere har måske ikke flettet skæg eller bærer stridsøkser på skuldrene, men de mener det alvorligt med deres krav, selv når løsesummen allerede er betalt. Uanset om de giver efter for afpresningsforsøg eller ej, er konsekvenserne som regel alvorlige for enkeltpersoner, virksomheder og offentlige institutioner. Quishing kan forårsage massiv skade: tab af data og omdømme, brud på GDPR eller økonomisk tab, for blot at nævne nogle få.
Hvordan kan jeg beskytte mig selv mod quishing?
Spørgsmålet har måske ikke det samme filmiske potentiale som vikingeangreb, men det rummer lige så meget spænding: Hvordan kan du beskytte dig mod quishing?
"Hvis du er i tvivl, så lad være med at scanne QR-koder" - det er et ret indlysende, men ikke desto mindre gyldigt svar. Men der opstår ofte problemer i tilfælde, hvor der ikke synes at være nogen tvivl. Cyberkriminelle er dygtige til at udnytte dybt indgroede menneskelige dispositioner og behov til at manipulere enkeltpersoner - såkaldt social engineering. Det kræver kun et stænk uvidenhed at fuldende katastrofecocktailen. Det er det, der gør det så svært at beskytte sig uden at fejle. Alligevel er der et par enkle regler, der hjælper med at minimere risikoen:
- Behandl QR-koder, som om de var links. Uanset om du finder dem på guerillakampagneplakater, på dokumenter eller i e-mails, er QR-koder i bund og grund links og udgør de samme risici.
- Indtast ikke følsomme data. Anerkendte serviceudbydere vil aldrig sende en e-mail, hvor de beder dig om at angive fortrolige loginoplysninger.
- Tjek altid e-mailadressen eller browserens adresselinje, hvis du allerede er inde på en tvivlsom hjemmeside.
- Tjek e-mails og hjemmesideindhold omhyggeligt. Sjove stavefejl er ikke længere et særkende ved cyberkriminalitet. De fleste tekster er velformulerede. Alligevel nævner BSI flere karakteristika, som bør vække mistanke, selv om kun ét af dem er gældende:
- Der er et presserende behov for handling
- Trusler om alvorlige konsekvenser i tilfælde af manglende overholdelse.
- Anmodning om at indtaste følsomme data
- E-mailen indeholder links, QR-koder eller formularer
- Usædvanlige anmodninger fra en kendt person eller organisation
- Hvis du er i tvivl, skal du dobbelttjekke via en officiel kommunikationskanal hos den pågældende tjenesteudbyder.
- Download eller åbn aldrig filer fra vedhæftede filer eller hjemmesider, medmindre du er helt sikker på, at de er ægte.
Brug to- eller flerfaktorgodkendelse. Selv hvis det lykkes kriminelle at få fat i dine data, vil de stadig mangle en ekstra faktor for at logge ind.
Ligesom billeder af rygerlunger på cigaretpakker, er skræmmekampagner og forenklede adfærdsregler kun en moderat succes - de er som regel glemt efter et par dage. Det betyder, at informationssikkerhed skal integreres i virksomhedens filosofi. Derfor er vores vigtigste tip at gennemføre løbende træning i sikkerhedsbevidsthed og fremme bevidstheden i din virksomhed. Når alt kommer til alt, er medarbejdernes uvidenhed om disse spørgsmål stadig det største problem, når det gælder de forskellige risici i forbindelse med tabnabbing eller andre cyberangreb. Udforsk, hvordan vores Cyber Training Awareness Program for medarbejdere kan styrke din organisations forsvar mod tabnabbing og forskellige andre onlinetrusler.