In unserem Leuchter IT Cyber Security Operations Center haben wir in den letzten Tagen vermehrt Spam-Mails mit einem QR-Code als Bild in der Nachricht festgestellt. In diesen Mails werden die Nutzer mit einer täuschend echt aussehenden Login-Seite dazu aufgefordert, ihr Passwort preiszugeben.
Wie funktioniert der Betrug?
Da das Mail bereits bei einigen Unternehmen im Umlauf ist, kommen die Mails meist von bekannten Absendern. Der Angreifer kann auf die Mailkonten zugreifen und die Mail an alle Kontakte versenden. In der Mail befindet sich nur ein kurzer Text mit einem Bild, das der Benutzer scannen soll. Nachfolgend eine Mail, wie sie tatsächlich aussieht:
Sobald der Nutzer den QR-Code mit seinem Handy einscannt, wird er auf eine täuschend echte fake Anmeldeseite weitergeleitet. Erstaunlicherweise überprüft die Seite auch die Echtheit der E-Mail-Adresse. Werden falsche (im Beispiel unten fake-account@fake.com) oder nicht existierende E-Mail-Adressen oder Logindaten eingegeben, wird dies dem Nutzer auch mitgeteilt. Man sieht nur an der URL, dass es sich um eine gefälschte E-Mail handelt. Nach Eingabe der E-Mail-Adresse wird der Benutzer aufgefordert, sein Passwort einzugeben. Unten finden Sie Beispielbilder, wie das auf einem IPhone und einem Android aussieht.
Ein Albtraum für jeden Cyber Security Analysten
Solche Mails sind ein Albtraum für jeden Sicherheitsanalysten. In der Mail befindet sich kein auffälliger Link, sondern nur ein Bild, das nicht als Malware erkannt wird. Die Mail stammt von vertrauenswürdigen Quellen, da diese Konten meist selbst durch diesen Trick kompromittiert wurden. Zusätzlich erschwert die Darstellung auf dem Handy das Erkennen des Spam. Der Link wird auf dem Handy nur kurz angezeigt und verschwindet dann aus Platzgründen.
Deshalb sollte die Security Awareness nie zu kurz kommen. Oft wird der Umgang mit dem Computer geschult, dass aber, wie in diesem Fall, ein Angriff auch über das Handy erfolgen kann, wird oft vergessen.
Was können Sie dagegen unternehmen?
Die Benutzerkonten Ihres Unternehmens sollten mindestens durch eine Zwei-Faktor-Authentifizierung geschützt sein. Dies gilt als Standard und sollte in jedem Unternehmen implementiert sein. Zusätzlich konnte der Angriff bei unseren Kunden durch die ausgefeilten Alarmmechanismen in unserem Leuchter IT Cyber Security Operations Center entdeckt werden. Bei einem verdächtigen Anmeldeversuch mit dem richtigen Passwort konnten wir sofort handeln und den Benutzer sperren. Durch den zweiten Verifikationsfaktor konnte der Angreifer nicht direkt auf das Benutzerkonto zugreifen. Häufig wird der Benutzer jedoch mit Push-Benachrichtigungen bombardiert, bis er eine bestätigt und der Angreifer im Account ist.
Um Ihre Mitarbeitenden zu schützen, empfiehlt es sich, ein Cyber Security Awareness Training für Ihre Mitarbeitenden durchzuführen, damit diese in solchen Situationen richtig reagieren können. Die Leuchter IT Solutions AG bietet genau solche Schulungen für Mitarbeitenden (Leuchter IT Cyber Security Awareness) an, dabei werden diese auch mit simulierten Phishing Test überprüft. Eins kann ich Ihnen sagen, in der nächsten Awareness Kampagne wird solch ein Bild mit QR-Code garantiert bei unseren Kunden getestet.
Sichern Sie Ihr Team vor Phishing-Angriffen: