Under Covid-19-pandemien etablerede en lille, sort-hvid firkant sig solidt mellem vaccine-selfies og udgangsforbud: QR-koden. Kort forinden var den blevet anset for at være død og knap nok værd at række ud efter smartphonen, men nu blev den hurtigt til en slags universalværktøj. Hurtigtest, advarselsapps, vaccinationsattester, togbilletter, kontaktløse betalinger ... eller kort sagt: porten til det normale liv. Det er et velkendt faktum, at der ikke er noget lys uden skygge. Og derfor er det farepotentiale, der ligger i denne uanselige lille boks, skræmmende.
QR-kodens katastrofale comeback
QR står for 'quick response code'. Det er en todimensionel stregkode, som synes at være det naturlige og organiske resultat af vores ønske om at få adgang til alting så hurtigt og nemt som muligt - med alting kun en scanning væk. Den muliggør øjeblikkelig overførsel af store mængder information. Både dens brugervenlighed og pandemien fungerede som katalysatorer for en ny form for phishing-angreb: såkaldt quishing, et udtryk, der kombinerer 'QR' og 'phishing'.
I traditionelle phishing-angreb bruger cyberkriminelle tvivlsomme e-mails, chatbeskeder eller hjemmesider til at fiske efter adgangskoder og andre personlige data.
I tilfælde af quishing-angreb udnytter kriminelle de ovennævnte egenskaber ved QR-koder til at skjule vildledende oplysninger bag de sorte og hvide felter. Quishing-e-mails er som regel designet med stor omhu - man kunne endda sige kærligt. De er lavet til at se autentiske ud. Det er åbenbart ikke længere på mode blandt cyberkriminelle at forsøge at lokke potentielle ofre til med nyheden om en arv på flere millioner dollars. Selv om nogle af de potentielle modtagere sikkert ville nyde en imaginær rejse til en drømmesommerbolig i Saint-Tropez, især i de mørke vintermåneder.
Nutidens cyberkriminelle foretrækker en subtil tilgang. De går efter svaghederne i den menneskelige ånd. Følelsen af uudholdelig tortur, når du skal håndtere besværlige procedurer. Så de truer med at lukke en bankkonto eller brugerkontoen i en yndlingswebshop.
Kontaktløs undfangelse efterfulgt af fald
Konventionelle sikkerhedsmekanismer scanner kun standardvedhæftninger og URL'er. Disse foranstaltninger har dog en tendens til at mislykkes med QR-koder. Blandt de mest populære ordninger er anmodninger om at acceptere en opdateret datapolitik eller anmodninger om at oprette en ny sikkerhedsprocedure. Og alt dette kan naturligvis gøres nemt og bekvemt ved at scanne en QR-kode. Den kriminelle værktøjskasse indeholder endda vigtige dokumenter, som nemt kan downloades via en QR-kode.
Det er forståeligt, at modtagerne ønsker at slippe af med denne ubehagelige blanding af følelser så hurtigt som muligt: indtrykket af at være tvunget til handling, kombineret med ønsket om at vende sig mod sjovere ting lige nu. Men hvem kan ikke lide at nyde følelsen af produktivitet efter at have taget sig af det irriterende bankproblem? At scanne koden er kun et spørgsmål om sekunder - ofte med katastrofale konsekvenser. I modsætning til den hellige Maria kan denne kontaktløse undfangelse blive til synd.
Moræner på lur efter data
De, der efterkommer de bedrageriske anmodninger, finder sig selv på forfalskede hjemmesider, der er sammensat med omhyggelig opmærksomhed på detaljer. Når alt kommer til alt, skal overskriften have nøjagtig samme nuance af kongeblå som Volksbank-logoet, der blev snuppet fra den originale hjemmeside. Der bruges forskellige teknikker til at skjule ondsindede links og omgå advarsler. En almindelig metode består i at misbruge content management-systemer som WordPress og deres plugins. Skjult bag falske landingssider lokker de potentielle ofre i deres fælde. Der har også været rapporter om cyberkriminelle, der har brugt Googles feed-proxyserver 'FeedBurner' til omdirigering. En anden almindelig praksis er brugen af et brugerdefineret domæne til omdirigeringsprocessen såvel som selve phishing-siden. Faren er overhængende - selv hvis malware-forsvarssystemer ikke slår alarm.
Når den perfekte illusion er skabt, vil cyberkriminelle kun have én ting: personlige data. Som en muræne, der ligger på lur i sin hule og venter på at få fat i brugernavne og adgangskoder. Alt for mange modtagere glemmer alle forholdsregler, når arbejdsdagen er ved at være slut, og solnedgangen kalder på dem fra terrassen. De overser det ekstra bogstav i URL'en, og kun få sekunder senere er deres data blevet indtastet i den bedragerisk realistisk udseende registreringsgrænseflade. Phishing-URL'er rettet mod Sparkasse-kunder starter ofte med 'spk-', mens 'vr-' er et almindeligt præfiks for forfalskede Volksbank-sider.
I arbejdsmiljøer er der en særlig risiko, når private smartphones omgår en virksomheds interne sikkerhedsmekanismer. Quishing er ideelt til dette formål. Når den farlige kode er blevet scannet, infiltrerer ondsindet indhold i al hemmelighed den mobile enhed. Derfra når det hurtigt frem til e-mailindbakker, kontaktoplysninger eller dokumenter, der administreres via cloud-løsninger. Den perfekte gateway. Hvis et sådant angreb finder sted og påvirker kritiske data, vil ilden sandsynligvis sprede sig og inficere virksomhedens ressourcer. En type malware, der for nylig har tiltrukket sig særlig opmærksomhed, er ransomware. Dens trusselspotentiale er enormt. Et uhyggeligt imperativ, og ifølge BSI (det tyske forbundskontor for informationssikkerhed) mangedobles dets kapacitet til at gøre skade, når det påvirker virksomhedens netværk.
Quishing af e-mails fra Volksbank & Sparkasse
Digital Reginheris
Formålet med ransomware er at kryptere brugerdata. Når denne proces er afsluttet, bliver offeret mødt med et krav om løsepenge. Antallet af ramte virksomheder er chokerende højt. Deres IT- og forretningsprocesser bliver forstyrret. Desuden truer de kriminelle ofte med at videregive eller sælge dataene. De går efter virksomheder af alle former og størrelser. Ifølge Cyber Readiness Report, som Hiscox udgav i 2022, betaler 48% af tyske virksomheder løsepenge efter et sådant angreb. Det afpressede beløb ligger ofte på et sekscifret eurobeløb. Ifølge BSI er der dog også blevet krævet ottecifrede beløb i nogle tilfælde.
Mange ofre bliver chokerede over at opdage, at kriminelle fortsætter med at stille krav, selv efter at de har betalt. Man skulle tro, at gerningsmændene kunne være sprunget ud af en nogenlunde spændende historiedokumentar. De scenarier minder om år 845, hvor vikingelederen Reginheri satte Paris under belejring. Karl den Skaldede, konge af Vestfrankrig, besluttede, at modstand var nyttesløs og betalte 7.000 pund sølv for at få de danske tropper til at trække sig tilbage. Ligesom deres kolleger i cyberspace 1.200 år senere kunne nordmændene og skjoldmøerne ikke modstå fristelsen til at afpresse yderligere betalinger. Så de fortsatte deres angreb.
Moderne forbrydere har måske ikke flettet skæg eller bærer stridsøkser på skuldrene, men de mener det alvorligt med deres krav, selv når løsesummen allerede er betalt. Uanset om de giver efter for afpresningsforsøg eller ej, er konsekvenserne som regel alvorlige for enkeltpersoner, virksomheder og offentlige institutioner. Quishing kan forårsage massiv skade: tab af data og omdømme, brud på GDPR eller økonomisk tab, for blot at nævne nogle få.
Hvordan kan jeg beskytte mig selv mod quishing?
Spørgsmålet har måske ikke det samme filmiske potentiale som vikingeangreb, men det rummer lige så meget spænding: Hvordan kan du beskytte dig mod quishing?
"Hvis du er i tvivl, så lad være med at scanne QR-koder" - det er et ret indlysende, men ikke desto mindre gyldigt svar. Men der opstår ofte problemer i tilfælde, hvor der ikke synes at være nogen tvivl. Cyberkriminelle er dygtige til at udnytte dybt indgroede menneskelige dispositioner og behov til at manipulere enkeltpersoner - såkaldt social engineering. Det kræver kun et stænk uvidenhed at fuldende katastrofecocktailen. Det er det, der gør det så svært at beskytte sig uden at fejle. Alligevel er der et par enkle regler, der hjælper med at minimere risikoen:
- Behandl QR-koder, som om de var links. Uanset om du finder dem på guerillakampagneplakater, på dokumenter eller i e-mails, er QR-koder i bund og grund links og udgør de samme risici.
- Indtast ikke følsomme data. Anerkendte serviceudbydere vil aldrig sende en e-mail, hvor de beder dig om at angive fortrolige loginoplysninger.
- Tjek altid e-mailadressen eller browserens adresselinje, hvis du allerede er inde på en tvivlsom hjemmeside.
- Tjek e-mails og hjemmesideindhold omhyggeligt. Sjove stavefejl er ikke længere et særkende ved cyberkriminalitet. De fleste tekster er velformulerede. Alligevel nævner BSI flere karakteristika, som bør vække mistanke, selv om kun ét af dem er gældende:
- Der er et presserende behov for handling
- Trusler om alvorlige konsekvenser i tilfælde af manglende overholdelse.
- Anmodning om at indtaste følsomme data
- E-mailen indeholder links, QR-koder eller formularer
- Usædvanlige anmodninger fra en kendt person eller organisation
- Hvis du er i tvivl, skal du dobbelttjekke via en officiel kommunikationskanal hos den pågældende tjenesteudbyder.
- Download eller åbn aldrig filer fra vedhæftede filer eller hjemmesider, medmindre du er helt sikker på, at de er ægte.
Brug to- eller flerfaktorgodkendelse. Selv hvis det lykkes kriminelle at få fat i dine data, vil de stadig mangle en ekstra faktor for at logge ind.
Ligesom billeder af rygerlunger på cigaretpakker er skræmmekampagner og forenklede adfærdsregler kun en moderat succes - de er som regel glemt efter blot et par dage. Det betyder, at informationssikkerhed skal integreres i virksomhedens filosofi. Derfor er vores vigtigste tip at sørge for løbende uddannelse og øge bevidsthedsniveauet i din virksomhed. Med dette i tankerne tilbyder vi vores informationssikkerhedskursus med omfattende information om de forskellige risici ved kriminelle cyberangreb. Det er et faktum, at uvidende medarbejdere stadig er det største mål for alle former for cyberangreb.