ASCII gebaseerde QR-codes nemen een vlucht

Quishing, QR-code phishing, is een snel evoluerende bedreiging. De onderzoekers van Check Point Research, de Threat Intelligence tak van cyberbeveiliger Check Point, merkten een enorme stijging in het aantal aanvallen met QR-codes op. Zo was er tussen januari en maart van dit jaar een stijging van 587 procent en tussen april en mei 2024 een stijging van 363 procent.

 Tevens merkten zij een verandering in het type QR-code aanvallen op, waarbij de QR-code niet in een afbeelding staat, maar in plaats daarvan is gemaakt via HTML en ASCII-tekens (American Standard Code for Information Interchange).

QR-codes zijn makkelijk aan te maken en verwijzen doorgaans naar een link. Kwaadwillenden gebruiken de technologie om gebruikers naar malafide websites te lokken, bijvoorbeeld door middel van een email met de melding dat multi-factor authenticatie verloopt en dat de gebruiker zich opnieuw moet authenticeren.

Check Point Research ontdekte eind mei zo'n 600 voorbeelden van een nieuwe phishingcampagne, waarbij de QR-code niet in een afbeelding staat, maar in plaats daarvan is gemaakt via HTML en ASCII-tekens. ASCII (American Standard Code for Information Interchange) is het meest gebruikte tekencoderingsformaat voor tekstgegevens op computers en op internet.

Het voorbeeld hieronder toont het verschil tussen een klassieke QR-code en een QR-code gebaseerd op ASCII-tekens. Het onderscheid is subtiel, maar de ene is een afbeelding en de andere is gecreëerd via HTML. Dit vormt precies het probleem. Deze “QR-codes” worden gecreëerd met ASCII-tekens om zo OCR-engines, optische tekenherkenning (Optical Character Recognition), te omzeilen. De afbeelding wordt opgebouwd in kleine blokjes in de HTML. Meegestuurd in een e-mail ziet het eruit als een QR-code. Maar een beveiligingssysteem zal dit niet herkennen, waardoor het de mail behandelt alsof het een gewone e-mail is.