Quishing – een nieuwe dreiging in de wereld van oplichting

Quishing – een nieuwe dreiging in de wereld van oplichting

In een tijdperk waarin technologie en communicatie naadloos zijn geïntegreerd in ons dagelijks leven, evolueren ook de tactieken van oplichters.

Een van de nieuwste en meest verontrustende vormen van oplichting is “quishing,” een term die is afgeleid van de woorden “quick” en “phishing.”

Wat is quishing?

Met quishing worden legitiem ogende (of zelfs legitieme) e-mails met daarin alleen een QR-code massaal naar een groot aantal adressen gestuurd. Deze berichten bevatten verder geen tekst, komen vaak van een gecompromitteerd valide e-mailadres (een account wat is overgenomen) en zijn dus enorm lastig te detecteren voor beveiligingsoplossingen.

In sommige gevallen worden in deze e-mails zelfs notificaties van beveiligingsoplossingen nagemaakt en wordt de gebruiker wijs gemaakt dat er een nieuwe “multi-factor app” geïnstalleerd moet worden, het enige wat ze nog even moeten doen is de code scannen om het proces af te ronden – aangezien vrij veel MFA oplossingen deze methodiek hanteren is dit voor gebruikers soms een bekend proces.

Hoe gaat het te werk?

Zodra de gebruiker de QR-code scant wordt er een browser geopend die navigeert naar een phishing-pagina met een niet van echt te onderscheiden login-pagina van bijvoorbeeld Microsoft 365.
Wanneer de gebruiker hier zijn of haar e-mailadres & wachtwoord invult komen deze gegevens in de handen van de aanvaller en worden ze vaak opgeslagen.

In sommige gevallen hebben we gezien dat het gecompromitteerde account wordt gebruikt om de QR-code verder te verspreiden naar de gehele contactenlijst – met alle gevolgen van dien.

Hoe een quishing-aanval te werk gaat

Wat is er tegen te doen?

Voor traditionele(re) e-mailbeveiliging is dit technisch een lastig probleem om op te lossen, er zit vrijwel geen tekst in de e-mail en de link waarnaar de QR-code verwijst is, zonder de juiste technische oplossingen, zeer lastig te herhalen.

De belangrijkste maatregel die genomen kan worden is het opleiden van gebruikers door middel van awareness training(en), hierin wordt men geleerd deze aanvallen te herkennen en de code niet te scannen en/of niet in te loggen wanneer daarom gevraagd wordt.

Meer artikelen

  • De verborgen bedreigingen van slimme apparaten in jouw netwerk
    Tegenwoordig zijn ze bijna niet meer weg te denken: slimme apparaten die één of meerdere taken kunnen uitvoeren en worden aangestuurd met een app of andere online dienst. De voordelen daarvan zijn dan ook duidelijk, voordat je naar kantoor gaat vast de warmtepomp de boel laten opwarmen of zelfs alvast de koffie klaar hebben staan.
  • Wat zijn Browser-in-the-Browser (BitB) aanvallen?
    Cybercriminelen hebben een nieuwe manier gevonden om je om de tuin te leiden. Hiervoor gebruiken ze een zogenaamde *browser-in-the-browser* (BitB) aanval, waarin ze een browservenster van jouw browser nabootsen op een phishing site. Op deze manier kunnen ze steeds succesvollere phishing-aanvallen opzetten. Er zijn gelukkig ook manieren om je hiertegen te wapenen!
  • Hoe hou je de supply chain veilig?
    Ieder bedrijf werkt samen met andere bedrijven om samen een doel te bewerkstelligen of een (eind)klant een dienst of product te leveren. Door deze samenwerking ontstaat een vaak sterke keten maar in het kader van cybersecurity levert dit ook de nodige risico’s op. Door het onderlinge vertrouwen kan het zijn dat bijvoorbeeld e-mails of andere digitale gegevens uit deze keten minder goed gecontroleerd worden waardoor er een risico ontstaat.
  • Uw bedrijf beter beschermen tegen ransomware?
    Ransomware is helaas een veel voorkomende maar vaak ook verwoestende vorm van cybercriminaliteit, doordat het laagdrempelig is om te gebruiken voor criminelen. Door bestanden of systemen te gijzelen voor losgeld (ransom) proberen criminelen bedrijven geld afhandig te maken – vaak met vergaande gevolgen. Gelukkig zijn er ook manieren om je hiertegen te wapenen.
  • De kracht van gelaagde beveiliging: defense in depth
    Een cybersecurity strategie is net als een goede lasagne, opgebouwd in laagjes. Net zoals de verschillende lagen pasta, saus en kaas elkaar aanvullen, bestaat een defense in depth-strategie uit meerdere beveiligingslagen die elkaar versterken om een robuuste bescherming te bieden tegen verschillende aanvallen.