Quishing er det nye phishing. En taktik, der kombinerer QR-koder med phishing. Denne form for phishing, også kendt som QR-kode phishing, udnytter den store brug af QR-koder. I dette blogindlæg dykker vi ned i, hvad quishing er, hvordan det fungerer, og vigtigst af alt, hvordan du kan gøre dine kolleger opmærksomme på denne praksis og forsvare din organisation.
QR-koder bruges overalt
QR-koder er en del af det moderne liv, de bruges på tværs af forskellige brancher og applikationer på grund af deres ligetil format og effektivitet. Fra kontaktløse betalinger til marketingkampagner, billetter til arrangementer til restaurantmenuer - QR-koder giver en nem måde at få adgang til information eller udføre transaktioner på med en simpel scanning ved hjælp af din smartphones kamera.
Men de mange QR-koder giver også cyberkriminelle mulighed for at udnytte den iboende tillid til QR-koder til ondsindede formål.
Hvad er Quishing?
Quishing, kommer fra en sammentrækning af "QR" (Quick Response) og "phishing." Dermed refererer navnet til phishing-angreb igennem QR-koder. Da mange stoler på QR-koder, så er det en effektiv måde for kriminelle at få os til at "klikke"(scanne) et link, og enten lokke data fra os eller installere malware, ransomware eller lignende.
QR-koder kan være svære at gennemskue, og der er mange ofre for det. Sidste år steg antallet af ondsindede QR-koder med over 400% på en måned ifølge Perception point.
Det er altså en ny metode, der ses oftere og oftere.
Hvordan virker quishing?
Quishing forsøger oftest at stjæle din data eller få dig til at downloade malicious malware. En typis quishing-sekvens kan se sådan her ud:
- Kriminelle skaber en skadelig QR-kode: De cyberkriminelle designer og laver en QR-kode, der ligner alle andre QR-koder, og måske giver sig ud fra at være fra en virksomhed.
- Social Engineering Tactics: De kriminelle bruger forskellige social engineering teknikker for at få QR-koden foran potentielle ofre. Her bruges tidspres, tilbud osv., som man også ser fra almindelige phishing-angreb. Men med QR-koder, kan de også bare hænge dem ud i offentligeheden, de behøver ikke nødvendigvis ramme en email-indbakke.
- Redirect til Malicious Content: Når QR-koden bliver scannet, så directer de kriminelle ofret til en ondsindet hjemmeside, som formentlig giver sig ud for at være legitim. Her vil der enten blive downloaded noget malware, eller de vil forsøge at få en til at logge ind på en falsk login-formular for at stjæle ens password og brugernavn.
- Data Harvesting: Herfra, afhængig af angrebet vil de IT-kriminelle stjæle ens data, måske sågar låse ens systemer, hvis vi snakker ransomware. Det afhænger i høj grad af hvilken angrebstype, der er snak om.
Forskellige typer for Quishing-angreb
Her er nogle af de typiske typer af quishing-angreb, vi har set.
- Credential Harvesting Quishing: Her prøver de kriminelle at få fat i ens logininformationer til en side. De prøver at få fat i ens brugernavn og password, så de kan logge ind og udnytte ens bruger.
- Malware Quishing: Her vil QR-koden starte et download a noget malware på ofrets device. Malwaren kan skade ens sikkerhed på mange måder.
- Information Quishing: Her forsøger de kriminelle at få adgang til flest mulige informationer. Den minder meget om credential harvesting, da det ofte kan være vejen ind i et system, men målet er ofte dataen i systemet og ikke blot login-informationerne.
Hvad kan du gøre imod QR-phishing?
Det bedste du kan gøre, er at sikre dig at du og dine kollega ikke scanner QR-koder, medmindre I er helt sikre på, hvorfor og hvem I har modtaget en QR-kode af. Du skal skabe en kultur og vane for dig selv og din virksomhed om, at I ikke må scanne random QR-koder.
Opfordre alle om at være opmærksom på QR-koder, så i proaktivt er opmærksomme på dem.
Her er noget, du kan gøre for at træne dine kollegaer:
Træn dine medarbejdere i quishing: Lav awareness training for dine medarbejdere, hvor de bliver opmærksomme på truslen fra QR-koder. Forklar, hvordan cyberkriminelle kan udnytte QR-koder til at angribe jeres virksomhed.
Vis eksempler: Vis nogle eksempler fra virkeligheden på QR-koder, der var ondsindede. Ved at fortælle historier om Quishing-tilfælde og konsekvenserne fra det, kan dine kollegaer se, hvordan det foregår og belyse vigtigheden af at være på vagt. I eksemplerne kan du også highlighte de red-flags, der er.
Frem QR Code Awareness: Skab generel opmærksomhed om QR-koder. Fortæl folk om dem i hverdagen, hæng plakater op, eller snak om, hvordan man skal verificere afsenderen inden man scanner. Alt kommunikation hjælper. Desto flere gange du hører om quishing, desto større er chancen for, at du spotter et angreb.
Reminders og updates: Fortæl ikke blot om quishing en gang og tænk, at så er den ged barberet. Bliv ved med at give updates og reminders om vigtigheden i at være opmærksom. Igen det kan gøres på mange måder. Plakater, emails, all-hands møder eller lignende.
Ved at bruge disse strategier får du quishing på agendaen og begynder at skabe en kultur for awareness, hvor alle er opmærksomme på quishing. Det mindsker risikoen for at folk scanner tilfældige koder og bliver ofre for angreb.
Quishing kræver awareness
At undgå quishing i din virksomhed kræver samarbejde. IT-afdelingen kan ikke klare den alene, da de ikke kan sikre, at ondsindede QR-koder når frem til medarbejdere. Derfor skal i træne jeres medarbejdere i at spotte quishing eller ihvertfald undgå at scanne QR-koder uden først at være sikker på, hvorfor de har modtaget den og fra hvem.
