Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

QR-Code-Phishing-Kampagne klaut Anmeldedaten

Cybersicherheitsforscher machen auf eine neue QR-Code-Phishing-Kampagne (auch Quishing genannt) aufmerksam, welche die Microsoft-Sway-Infrastruktur nutzt, um gefälschte Seiten zu hosten. Dies unterstreicht erneut, wie legitime Cloud-Dienste für böswillige Zwecke missbraucht werden.

Bedrohungen
Lesezeit 2 Min.

„Angreifer nutzen echte Cloud-Anwendungen, um ihre Angriffe glaubwürdiger erscheinen zu lassen und Opfer den Inhalten eher vertrauen,“ erklärt Jan Michael Alcantara, Forscher bei Netskope Threat Labs. „Wenn das Opfer eine Sway-Seite öffnet, nutzt es sein bereits eingeloggtes Microsoft 365-Konto. Das lässt die Seite vertrauenswürdiger erscheinen. Sway-Seiten können auch über einen Link oder durch Einbettung in eine Webseite geteilt werden.“

Die Angriffe haben sich hauptsächlich auf Nutzer in Asien und Nordamerika konzentriert, wobei vor allem die Technologie-, Fertigungs- und Finanzsektoren im Visier standen.

Microsoft Sway ist ein cloudbasiertes Tool, das seit 2015 Teil der Microsoft 365-Produktfamilie ist. Es wird zum Erstellen von Newslettern, Präsentationen und Dokumentationen verwendet.

Netskope berichtete, dass es ab Juli 2024 einen 2.000-fachen Anstieg des Datenverkehrs zu einzigartigen Microsoft Sway-Phishing-Seiten beobachtet hat. Das Hauptziel dieser Angriffe ist es, die Microsoft 365-Anmeldeinformationen der Nutzer zu stehlen. Dies wird erreicht, indem gefälschte QR-Codes auf Sway gehostet werden, welche die Nutzer nach dem Scannen auf Phishing-Webseiten umleiten.

Um statische Analyseversuche zu umgehen, verwenden einige dieser sogenannten Quishing-Kampagnen Cloudflare Turnstile, um die Domains vor statischen URL-Scannern zu verbergen.

Besonders auffällig ist auch die Nutzung von Adversary-in-the-Middle (AitM)-Phishing-Taktiken, auch bekannt als transparentes Phishing. Dabei werden Anmeldeinformationen und Zwei-Faktor-Authentifizierungscodes (2FA) über gefälschte Anmeldeseiten abgegriffen, während das Opfer gleichzeitig in den echten Dienst eingeloggt wird.

„Der Einsatz von QR-Codes, um Opfer auf Phishing-Websites umzuleiten, stellt Verteidiger vor große Herausforderungen,“ so Michael Alcantara. „Da die URL in einem Bild eingebettet ist, können E-Mail-Scanner, die nur textbasierte Inhalte analysieren, leicht umgangen werden. Zudem nutzen Opfer oft ein anderes Gerät, wie ihr Mobiltelefon, um den QR-Code zu scannen. Da die Sicherheitsmaßnahmen auf mobilen Geräten, insbesondere auf privaten Handys, in der Regel weniger streng sind als auf Laptops und Desktops, sind die Opfer dann oft anfälliger für Missbrauch.“

Dies ist nicht das erste Mal, dass Phishing-Angriffe Microsoft Sway missbrauchen. Bereits im April 2020 beschrieb Group-IB eine Kampagne namens PerSwaysion, bei der mindestens 156 hochrangige Führungskräfte in Deutschland, Großbritannien, den Niederlanden, Hongkong und Singapur über Sway auf Seiten zur Erbeutung von Zugangsdaten umgeleitet wurden.

Die Entwicklung zeigt, dass Quishing-Kampagnen immer ausgefeilter werden, da Sicherheitsanbieter neue Maßnahmen entwickeln, um solche bildbasierten Bedrohungen zu erkennen und zu blockieren.

„In einem cleveren Schachzug haben Angreifer nun begonnen, QR-Codes aus Unicode-Zeichen anstelle von Bildern zu erstellen,“ erklärt J. Stephen Kowski, CTO von SlashNext. „Diese neue Technik, die wir ‚Unicode-QR-Code-Phishing‘ nennen, stellt eine erhebliche Herausforderung für herkömmliche Sicherheitsmaßnahmen dar.“

Was diesen Angriff besonders gefährlich macht, ist die Tatsache, dass er vollständig die Erkennungen umgeht, die auf verdächtige Bilder abzielen, da die QR-Codes ausschließlich aus Textzeichen bestehen. Zudem können die Unicode-QR-Codes ohne Probleme auf Bildschirmen dargestellt werden und sehen im reinen Textformat deutlich anders aus, was die Erkennung zusätzlich erschwert.

Diesen Beitrag teilen: