Quishing: wat is dat?

Quishing is een vorm van oplichting met behulp van ‘QR-codes’. Het woord ‘quishing is een samenvoeging van “QR” en “phishing”. Deze relatief nieuwe vorm van oplichting richt zich op het misleiden van gebruikers via QR-codes. Deze aanvalsmethode is ontworpen om gevoelige informatie te stelen door gebruikers te lokken naar valse websites of apps door middel van gemanipuleerde QR-codes.

Het doel van quishing (of qishing) is om persoonlijke gegevens, zoals inloggegevens, creditcardinformatie en andere vertrouwelijke gegevens, te verkrijgen voor illegale doeleinden.

Iedereen kent wel het gebruik van qr-codes (kort voor ‘quick response’). Toch weten weinig mensen wat de QR-code allemaal kan. Uit onderzoek is gebleken dat slechts 47% van de mensen bekend is met de functie om een url te openen en 37% weet dat het mogelijk is om via een QR-code een applicatie te downloaden.

Quishing-aanvallen maken gebruik van de vertrouwdheid en het gemak van QR-codes om gebruikers te misleiden. Vaak worden QR-codes gepresenteerd als onderdeel van een legitieme advertentie, promotie of productverpakking. Wanneer gebruikers de QR-code scannen met hun smartphone, worden ze omgeleid naar een valse website of app die is ontworpen om eruit te zien als een legitieme bron, maar in werkelijkheid is gemaakt door kwaadwillende actoren.

QR-codes zijn gebruikelijker sinds de pandemie

Deze valse websites en apps kunnen gebruikers vragen om persoonlijke informatie in te voeren, zoals inloggegevens, creditcardnummers of andere vertrouwelijke gegevens, onder het voorwendsel van het claimen van een prijs, het deelnemen aan een enquête of het ontvangen van exclusieve aanbiedingen. Zodra de gebruiker deze gegevens invoert, worden ze naar de aanvallers gestuurd, die ze vervolgens kunnen misbruiken voor identiteitsdiefstal, financiële fraude en andere vormen van cybercriminaliteit.

Wat is het verschil tussen quishing en phishing?

Quishing en phishing zijn beide vormen van cyberaanvallen, maar ze richten zich op verschillende kanalen en gebruiken verschillende technieken.

Phishing is een bekende vorm van cyberaanval waarbij aanvallers proberen om via e-mail, telefoon of tekstberichten gevoelige informatie te stelen, zoals wachtwoorden, creditcardgegevens en persoonlijke gegevens.

Quishing, daarentegen, is een meer gespecialiseerde vorm van phishing die specifiek gericht is op QR-codes. Bij quishing proberen aanvallers slachtoffers te lokken naar kwaadaardige websites of apps door ze te verleiden tot het scannen van QR-codes die linken naar deze schadelijke locaties.

Het belangrijkste verschil tussen quishing en phishing is dus het kanaal dat wordt gebruikt om de aanval uit te voeren: phishing richt zich op e-mail, telefoon en tekstberichten, terwijl quishing zich richt op QR-codes. Het is echter belangrijk op te merken dat beide vormen van aanvallen tot doel hebben om gebruikers te misleiden en hun persoonlijke informatie te stelen, en daarom moeten beide serieus worden genomen en moeten gebruikers zich bewust zijn van de risico’s.

Welke technieken gebruiken cybercriminelen bij quishing-aanvallen?

Cybercriminelen passen diverse geavanceerde technieken toe bij quishing-aanvallen om gebruikers te misleiden en persoonlijke informatie te stelen. Een veelvoorkomende techniek is het creëren van nepwebsites die sterk lijken op legitieme sites van bijvoorbeeld banken of online winkels. Deze nepwebsites worden vervolgens gepromoot via QR-codes die linken naar kwaadaardige URL’s.

Eenmaal op de nepwebsite worden gebruikers gevraagd om vertrouwelijke informatie in te voeren, zoals inloggegevens, creditcardgegevens of persoonlijke identificatiegegevens. Deze informatie wordt vervolgens door de aanvallers verzameld en misbruikt voor frauduleuze doeleinden. Daarnaast kunnen cybercriminelen ook gebruikmaken van social engineering-tactieken, zoals het verzenden van misleidende e-mails of sms-berichten, om gebruikers te verleiden tot het scannen van kwaadaardige QR-codes.

Hoe kunnen QR-codes worden misbruikt voor quishing-aanvallen?

QR-codes kunnen op verschillende manieren worden misbruikt door kwaadwillende partijen om quishing-aanvallen uit te voeren. Een veelvoorkomende methode is het maken van QR-codes die linken naar valse websites die zijn ontworpen om persoonlijke informatie te stelen. Hier zijn enkele voorbeelden:

1. Een frauduleuze QR-code die naar een nep-betaalpagina leidt, waar gebruikers worden gevraagd hun bankgegevens in te voeren om een ​​aankoop te voltooien. Deze gegevens worden vervolgens gestolen door de aanvaller.
2. Een QR-code op een nep-e-mail die beweert een kortingsbon te bevatten voor een bekend merk. Wanneer de QR-code wordt gescand, worden gebruikers omgeleid naar een phishing-site waar hen wordt gevraagd persoonlijke gegevens in te voeren.
3. Een QR-code op een nep-flyer die beweert een gratis proefabonnement aan te bieden voor een populair streamingplatform. Na het scannen van de code worden gebruikers omgeleid naar een valse website waar ze worden gevraagd hun inloggegevens in te voeren.
4. Een QR-code op een nep-evenementenposter die beweert gratis toegang te bieden tot een exclusief feest. Na het scannen worden gebruikers gevraagd om een ​​registratieformulier in te vullen met gevoelige informatie, zoals hun adres en telefoonnummer.
5. Een QR-code op een nep-productverpakking die beweert een gratis cadeaubon te bieden voor een populaire winkel. Nadat de code is gescand, worden gebruikers omgeleid naar een valse website waar ze worden gevraagd persoonlijke informatie in te voeren om hun “prijs” te claimen.

Wat zijn de mogelijke gevolgen van het scannen van een kwaadaardige QR-code?

Het scannen van een kwaadaardige QR-code kan ernstige gevolgen hebben voor de gebruiker, waaronder het blootstellen van persoonlijke gegevens, financiële verliezen, identiteitsdiefstal en malware-infecties. Hier zijn enkele voorbeelden van mogelijke gevolgen:

1. Identiteitsdiefstal: Door het scannen van een kwaadaardige QR-code kunnen aanvallers toegang krijgen tot persoonlijke informatie, zoals naam, adres en geboortedatum, die ze kunnen gebruiken voor identiteitsdiefstal.
2. Financiële fraude: Kwaadaardige QR-codes kunnen leiden tot phishing-sites waar gebruikers worden misleid om hun bankgegevens in te voeren, wat resulteert in financiële verliezen door frauduleuze transacties.
3. Malware-infecties: Sommige kwaadaardige QR-codes kunnen leiden tot het downloaden en installeren van malware op het apparaat van de gebruiker, waardoor hackers toegang krijgen tot gevoelige informatie of het apparaat kunnen controleren.
4. Spam en phishing-e-mails: Na het scannen van een kwaadaardige QR-code kunnen gebruikers worden blootgesteld aan spam-e-mails en phishing-pogingen, die gericht zijn op het verzamelen van nog meer persoonlijke gegevens of het infecteren van andere apparaten.
5. Verlies van vertrouwen en reputatieschade: Het slachtoffer worden van een quishing-aanval door het scannen van een kwaadaardige QR-code kan leiden tot verlies van vertrouwen in digitale betalingen en andere online interacties, evenals reputatieschade voor bedrijven die mogelijk betrokken zijn bij de verspreiding van de kwaadaardige QR-code.

Hoe herken je een kwaadaardige QR-code

Het herkennen van een kwaadaardige QR-code voordat je deze scant, kan uitdagend zijn, omdat QR-codes zelf geen visuele aanwijzingen bieden over hun inhoud. Echter, er zijn enkele voorzorgsmaatregelen en tips die je kunt volgen om jezelf te beschermen tegen mogelijke dreigingen:

1. Wees voorzichtig met de bron: Een QR-code afkomstig van een betrouwbare bron, zoals een officieel document of een bekende organisatie, is doorgaans veilig. Wees echter voorzichtig met QR-codes die je vindt op openbare plaatsen, zoals stickers, posters, of flyers, vooral als deze niet officieel lijken.
2. Controleer de context: Als een QR-code wordt aangeboden in een context die zinvol is, bijvoorbeeld een menukaart in een restaurant, is het waarschijnlijker dat deze veilig is. Wees sceptisch als een QR-code verschijnt in een onverwachte of onlogische context.
3. Gebruik een beveiligde QR-scanner: Sommige QR-scanners hebben ingebouwde beveiligingsfuncties die de URL controleren voordat deze in de browser wordt geopend. Deze apps kunnen waarschuwen voor verdachte of kwaadaardige links.
4. Let op omleidingen: Na het scannen van een QR-code, let op of je browser je doorverwijst naar meerdere pagina’s voordat je op de uiteindelijke bestemming aankomt. Dit kan een teken zijn van kwaadaardige activiteiten.
5. Wees voorzichtig met inloggegevens: Wees zeer terughoudend met het invoeren van persoonlijke informatie of inloggegevens na het scannen van een QR-code. Legitieme bedrijven vragen zelden om gevoelige informatie via een directe QR-code link.
6. Kijk naar de URL: Als je scanner de URL toont voordat je deze opent, controleer dan of het domein legitiem lijkt en of de URL een beveiligde verbinding gebruikt (https://).
7. Vermijd het downloaden van bestanden: Wees voorzichtig met QR-codes die je direct naar een download leiden. Dit kan een poging zijn om malware op je apparaat te installeren.
8. Gebruik gezond verstand: Als iets te mooi lijkt om waar te zijn, bijvoorbeeld een QR-code die belooft een grote prijs of geld te winnen, is het waarschijnlijk een scam.

Welke soorten informatie proberen aanvallers te stelen via quishing?

Bij quishing, een vorm van phishing die gebruikmaakt van QR-codes, richten aanvallers zich op diverse gevoelige informatie. Dit kan variëren van persoonlijke identificatiegegevens tot financiële informatie en inloggegevens. Het doel is vaak om toegang te krijgen tot accounts, financiële middelen te stelen of identiteitsdiefstal te plegen. Hier zijn vijf specifieke voorbeelden van informatie die aanvallers vaak proberen te verkrijgen via quishing:

1. Persoonlijke identificatiegegevens: Dit omvat volledige namen, adressen, geboortedata, en socialezekerheidsnummers. Met deze informatie kunnen aanvallers identiteitsdiefstal plegen of frauduleuze accounts openen.
2. Financiële informatie: Bankrekeningnummers, creditcardgegevens, en PIN-codes zijn bijzonder waardevol voor aanvallers. Deze informatie stelt hen in staat om ongeautoriseerde transacties uit te voeren of geld van rekeningen te stelen.
3. Inloggegevens: Gebruikersnamen en wachtwoorden voor online accounts, zoals e-mail, sociale media, en bankdiensten, zijn een primair doel. Eenmaal verkregen, kunnen aanvallers toegang krijgen tot persoonlijke of bedrijfsgevoelige informatie.
4. Bedrijfsgegevens: Informatie over bedrijfsoperaties, financiën, of klantgegevens kan worden gebruikt voor corporate espionage of ransomware-aanvallen.
5. Gezondheidsinformatie: Medische dossiers en verzekeringsgegevens zijn ook een doelwit, vooral vanwege de hoge waarde van deze gegevens op de zwarte markt. Deze informatie kan worden gebruikt voor verzekeringsfraude of om slachtoffers te chanteren.

Hoe kunnen bedrijven en organisaties zich beschermen tegen quishing-aanvallen?

Om zich effectief te beschermen tegen quishing-aanvallen, is het cruciaal voor bedrijven en organisaties om een meerlagige beveiligingsstrategie te implementeren die zowel technologische oplossingen als werknemersbewustzijn omvat. Quishing, een samentrekking van “QR-code” en “phishing”, betreft aanvallen waarbij kwaadaardige QR-codes worden gebruikt om slachtoffers naar phishing-sites te leiden, malware te verspreiden, of om persoonlijke en financiële informatie te stelen.

Hieronder volgt een uiteenzetting van maatregelen die bedrijven en organisaties kunnen nemen:

1. Train werknemers regelmatig: Het is essentieel om werknemers op de hoogte te brengen van de nieuwste cyberdreigingen, waaronder quishing. Regelmatige trainingssessies kunnen helpen om werknemers te leren hoe ze verdachte QR-codes kunnen herkennen en hoe ze moeten reageren als ze met dergelijke aanvallen worden geconfronteerd.
2. Implementeer beveiligde QR-scanners: Moedig het gebruik aan van QR-scanners die automatisch de URL scannen op bekende dreigingen voordat deze wordt geopend. Sommige scanners bieden de mogelijkheid om de URL te bekijken en te beoordelen voordat je doorgaat naar de website.
3. Gebruik webfilters: Webfilters kunnen helpen bij het blokkeren van toegang tot bekende kwaadaardige websites. Door deze filters in te stellen, kunnen organisaties voorkomen dat werknemers per ongeluk toegang krijgen tot phishing-websites via gescande QR-codes.
4. Pas twee-factor authenticatie toe: Voor extra beveiliging moeten bedrijven twee-factor authenticatie (2FA) implementeren voor toegang tot interne systemen. Zelfs als een werknemer onverhoopt zijn inloggegevens via een quishing-aanval prijsgeeft, biedt 2FA een extra beveiligingslaag.
5. Voer regelmatig beveiligingsaudits en -tests uit: Het regelmatig uitvoeren van beveiligingsaudits en penetratietests kan helpen bij het identificeren van kwetsbaarheden in de organisatie voordat aanvallers deze kunnen uitbuiten. Dit omvat ook het testen van de effectiviteit van de huidige beveiligingsmaatregelen tegen quishing-aanvallen.

Door deze maatregelen te implementeren, kunnen bedrijven en organisaties hun verdediging versterken tegen quishing-aanvallen en de veiligheid van hun gegevens en systemen waarborgen. Het is een voortdurende inspanning die aanpassing en aandacht vereist naarmate nieuwe dreigingen zich ontwikkelen.