Wat is Quishing? QR-code Phishing uitgelegd
Nu de grens tussen persoonlijke en zakelijke apparaten steeds vager wordt, is alert blijven op bedreigingen zoals Quishing belangrijker dan ooit.
Cybercriminelen ontwikkelen voortdurend nieuwe methoden om individuen te misleiden, waarbij “QR-code phishing” of “Quishing” relatief nieuw is.
Geschreven door: Jacco Wildeman
Hoewel QR-codes voor verschillende nuttige doeleinden worden gebruikt, maken cybercriminelen er in toenemende mate gebruik van bij phishingaanvallen. Zoals bij traditionele phishing, kunnen QR-code phishingaanvallen voorkomen in e-mails, sms’jes of op geprinte materialen. Door middel van slimme trucs en psychologische manipulatie worden mensen ertoe aangezet QR-codes te scannen zonder voldoende voorzichtigheid te betrachten.
Een belangrijk risico is dat men aan een QR-code niet kan afleiden waar deze naartoe leidt. Bij een phishingmail kan men de bestemming nog controleren door met de muis over de link te bewegen, maar bij een QR-code blijft het doel verborgen. Dit vergemakkelijkt het voor aanvallers om schadelijke websites te verbergen die malware installeren, valse inlogpagina’s tonen of gevoelige gegevens stelen.
Zodoende vormt Quishing een aanzienlijke bedreiging voor de beveiliging van gegevens en systemen.
Hoe werkt een QR-code phishingaanval?
Bij een reguliere phishingaanval sturen criminelen een schadelijke link in een e-mail of sms. Klikt de ontvanger op de link, dan wordt hij of zij naar een nepwebsite geleid die is ontworpen om gegevens te stelen of malware te installeren.
Bij Quishing gebruiken aanvallers QR-codes in plaats van klikbare links. Omdat beveiligingsfilters QR-codes niet gemakkelijk kunnen scannen, verwerken criminelen ze in e-mails. Deze websites bootsen vaak vertrouwde platforms na, zoals Microsoft Office 365, en verleiden gebruikers hun inloggegevens in te vullen.
Als zo’n aanval succesvol is bij iemand met hoge toegangsniveaus, kan dat ernstige gevolgen hebben voor een organisatie. Onderzoek toont aan dat cybercriminelen zich vaak richten op directieleden in plaats van willekeurige medewerkers.
Directieleden lopen een 42 keer hoger risico op een Quishing-aanval dan de gemiddelde medewerker. Wanneer een aanvaller toegang krijgt tot het account van een bestuurder, kunnen zij zich door het bedrijfsnetwerk bewegen en gevoelige systemen en databases betreden.
Daarnaast kunnen aanvallers via een overgenomen e-mailaccount van een directielid Business Email Compromise (BEC)-aanvallen uitvoeren. Hierbij worden medewerkers of externe partners misleid om geld over te maken of vertrouwelijke informatie te delen. De gevolgen van een dergelijke aanval kunnen aanzienlijk zijn.
Waarom is Quishing zo effectief?
QR-codes zijn overal te vinden: op restaurantmenu’s, concertkaartjes en in winkels. Omdat ze zo vaak worden gebruikt, scannen mensen ze vaak zonder erbij na te denken. Cybercriminelen kunnen hier misbruik van maken.
Daarnaast zijn traditionele e-mailbeveiligingssystemen niet goed in het detecteren van QR-codes, omdat deze simpelweg als gewone afbeeldingen zonder verdachte links of tekst worden gezien.
Een andere factor is dat mensen QR-codes vaak met hun persoonlijke apparaten scannen, die meestal buiten de beveiliging van het bedrijf vallen. Dit kan aanvallers helpen om beveiligingsmaatregelen te omzeilen en ongezien binnen te dringen.
Hoe verklein je de kans op een succesvolle Quishing aanval?
- Trainen van medewerkers: Informeer uw team over de risico’s van Quishing en adviseer hen om voorzichtig te zijn met het scannen van QR-codes die afkomstig zijn uit onbekende of verdachte e-mails.
- Gebruik betrouwbare apps: Moedig medewerkers aan om QR-code scanners te gebruiken met ingebouwde beveiligingsfuncties die verdachte links detecteren.
- Controleer de URL: Bekijk na het scannen zorgvuldig de URL voordat je ergens op klikt of informatie invoert.
- Gebruik Multi-Factor Authenticatie (MFA): Zorg ervoor dat MFA vereist is voor toegang tot belangrijke systemen. Dit biedt een extra beveiligingslaag als inloggegevens worden buitgemaakt.
- Regelmatige beveiligingsaudits: Controleer je systemen regelmatig op kwetsbaarheden en los deze op voordat aanvallers ze kunnen misbruiken.
- Beveilig e-mailsystemen: Gebruik e-mailbeveiligingsoplossingen die phishingmails met schadelijke QR-codes herkennen en blokkeren voordat ze inboxen bereiken.
- Maak melden eenvoudig: Zorg voor een duidelijke en eenvoudige procedure waarmee medewerkers verdachte e-mails en QR-codes kunnen rapporteren.
Conclusie
Nu de grens tussen persoonlijke en zakelijke apparaten steeds vager wordt, is alert blijven op bedreigingen zoals Quishing belangrijker dan ooit. Organisaties moeten hun medewerkers goed informeren en hun beveiligingsstrategieën aanpassen om zich te beschermen tegen deze groeiende dreiging.
