Cisco Talos: bijna 60% van alle e-mails met een QR-code is spam

QR-codes, ooit een efficiënte en onschuldige manier om snel informatie te delen, vormen nu een toenemende cyberdreiging. Een analyse van Cisco Talos toont aan dat bijna 60% van alle e-mails met een QR-code spam betreft. Een deel ervan bevat kwaadaardige links waarmee cybercriminelen persoonlijke gegevens proberen te stelen. Door het toenemende gebruik van QR-codes in het dagelijks leven, zoals in de horeca, bij parkeermeters, laadpalen en op verpakkingen van winkels, zijn ze ook een belangrijke tool voor cybercriminelen geworden.

Kwaadaardige QR-codes omzeilen vaak te gemakkelijk traditionele antispamfilters. In tegenstelling tot URL’s zijn QR-codes moeilijker te herkennen, omdat ze ingebed zijn in afbeeldingen. Dit betekent dat veel spam- en phishing-e-mails met kwaadaardige QR-codes vaak door deze verdedigingen heen geraken.

Om deze toenemende dreiging tegen te gaan, raadt Cisco Talos aan kwaadaardige QR-codes onschadelijk te maken voordat ze worden gedeeld. De experts van Cisco Talos stellen dat twee methoden effectief zijn om QR-codes te neutraliseren. De eerste is het automatisch verbergen van de datamodules, de zwart-witte vierkantjes binnen de code. De tweede is het automatisch verwijderen van de patronen om de positionering te herkennen. Dat zijn de grote vierkante vakken in de hoeken van de QR-code, die scanners helpen de oriëntatie te detecteren. Door deze aanpassingen worden QR-codes onleesbaar voor de meeste scanners. Dit voorkomt dat gebruikers naar phishingpagina’s of andere schadelijke bestemmingen worden geleid.

Hoewel protocollen vaak zo worden ingesteld dat ze kwaadaardige URL’s automatisch onschadelijk maken, een proces dat bekend staat als ‘defanging’, blijft het een uitdaging om hetzelfde te doen voor QR-codes. Veel anti-spamfilters kunnen QR-codes in e-mails en afbeeldingen niet herkennen. Omdat cybercriminelen zich voortdurend aanpassen, evolueren ook kwaadaardige QR-codes. In sommige gevallen gebruiken aanvallers Unicode-tekens om QR-codes in PDF’s te verbergen, wat de detectie nog moeilijker maakt.

Bovendien worden QR-codes vaak gescand via smartphones die op mobiele netwerken werken, waardoor ze de securitysystemen van bedrijven omzeilen. Dit zorgt ervoor dat verdedigers beperkte zichtbaarheid hebben op deze dreigingen.

Om de situatie nog ingewikkelder te maken, maken cybercriminelen tegenwoordig ook gebruik van zogenaamde ‘QR code Art’. Hierbij worden de datapunten van een QR-code op ingenieuze wijze verweven in een artistieke afbeelding, waardoor het geheel nauwelijks als QR-code herkenbaar is. Het risico hiervan is dat gebruikers onbewust een dergelijke afbeelding scannen, waarna ze ongemerkt worden doorgestuurd naar de gekoppelde inhoud.

“Voorzichtigheid is aangewezen bij het scannen van onbekende QR-codes. Net zoals we gebruikers adviseren om niet op verdachte links te klikken, vermijden ze ook best onbekende QR-codes,” aldus Jan Heijdra, Field CTO bij Cisco. “Als dat niet mogelijk is, dan maak je best gebruik van een QR-code-decoder om de gecodeerde URL te inspecteren voordat deze wordt geopend. Zo identificeer je meteen een potentiële dreiging. Daarnaast kunnen oplossingen zoals Cisco Secure Email Threat Defense ervoor zorgen dat kwaadaardige QR-codes überhaupt de inbox niet bereiken. Het is belangrijk om altijd de bron van een QR-code te verifiëren, vooral in e-mails of op openbare plekken waar de cybersecurityrisico’s hoger kunnen zijn.”