Phishingbendes gebruiken gesplitste en geneste QR-codes om detectie te omzeilen

Venlo, 21 augustus 2025 – Cyberaanvallers gebruiken twee nieuwe technieken waarmee ze proberen de detectie van schadelijke QR-codes te omzeilen bij phishingaanvallen. Hierbij worden schadelijke QR-code in twee delen gesplitst om traditionele scansystemen te verwarren, of worden schadelijke QR-code genest in of rond een tweede, legitieme QR-code.

Quishing is een vorm van phishing waarbij QR-codes worden gebruikt die zijn voorzien van schadelijke links die, wanneer ze worden gescand, slachtoffers naar valse websites leiden die zijn ontworpen om hun inloggegevens of andere gevoelige informatie te stelen. Dat dit een concrete dreiging is, blijkt ook uit een onderzoek door ABN AMRO maar QR-code fraude, dat op 20 augustus is gepubliceerd. Daaruit blijkt dat 1 op de 10 Nederlanders wel eens ongewenste situaties heeft meegemaakt door frauduleuze QR-codes, terwijl 7 op de 10 niet voldoende kennis heeft over het veilig gebruiken van QR-codes. Deze vorm van phishing blijft zich ontwikkelen en onderzoekers van Barracuda ontdekten nieuwe splitsings- en nestingtechnieken in aanvallen van de veelgebruikte phishing-as-a-service (PhaaS)-kits Tycoon en Gabagool.

Gesplitste QR-codes

De Gabagool-aanvallers hebben gesplitste QR-codes toegepast in nepmails van Microsoft, waarin gebruikers werden gevraagd om hun wachtwoord te resetten. Bij deze techniek wordt de schadelijke QR-code in twee afzonderlijke afbeeldingen gesplitst, die vervolgens naast elkaar in een phishing-e-mail worden gezet. Zo lijkt het dan één enkele QR-code. Wanneer traditionele e-mailsecurityoplossingen dit bericht scannen, zien ze twee afzonderlijke en onschuldig ogende afbeeldingen in plaats van één complete QR-code. Als de ontvanger echter de afbeelding scant, wordt hij naar een phishingwebsite geleid die is ontworpen om Microsoft inloggegevens te stelen.

Geneste QR-codes

De Tycoon PhaaS maakt gebruik van de nestingmethode om een schadelijke QR-code rond een legitieme QR-code te plaatsen. De schadelijke buitenste QR-code verwees naar een schadelijke URL, terwijl de binnenste QR-code naar Google leidde. Deze techniek is waarschijnlijk ontworpen om het voor scanners moeilijker te maken deze dreiging te detecteren, omdat de resultaten niet eenduidig zijn.

“Schadelijke QR-codes zijn populair bij aanvallers omdat ze er legitiem uitzien en traditionele securitymaatregelen zoals e-mailfilters en linkscanners kunnen omzeilen”, zegt Saravan Mohankumar, Manager Threat Analysis bij Barracuda. “Omdat ontvangers vaak moeten overschakelen naar een mobiel device om de code te scannen, zijn ze mogelijk niet langer beschermd door de securitymaatrelen van het bedrijf. Aanvallers zullen steeds weer nieuwe technieken blijven uitproberen om securitymaatregelen een stap voor te blijven. Dit is waar geïntegreerde, AI-gestuurde bescherming echt het verschil kan maken.”

Bescherming tegen evoluerende QR-codes

Naast de essentiële basisprincipes zoals bewustwordingstraining op het gebied van cybersecurity, multi-factor authenticatie en robuuste spam- en e-mailfilters, moeten organisaties overwegen om meerlaagse e-mailsecurity te implementeren die multimodale AI-mogelijkheden integreert om zo snel evoluerende dreigingen te detecteren. Multimodale AI verbetert de detectie door QR-codes te identificeren, te decoderen en te inspecteren, zonder dat de ingebedde inhoud hoeft te worden geëxtraheerd.

Kijk voor meer informatie op: https://blog.barracuda.com/2025/08/20/threat-spotlight-split-nested-qr-codes-quishing-attacks