Thought Leadership
Die Olympischen und Paralympischen Spiele stehen für die höchsten Leistungen in der Welt des Sports und feiern die harte Arbeit und Ausdauer der Teilnehmer. Bei den Spielen 2022 in Peking steht jedoch eine andere Art von hartnäckigen Aktivitäten im Mittelpunkt: Cyberbedrohungen. Ein Kommentar von Hank Schless, Senior Manager Security Solutions bei Lookout.
Das Federal Bureau of Investigation (FBI) forderte die US-Athleten auf, ihre eigenen Smartphones zu Hause zu lassen und stattdessen temporäre Geräte zu verwenden, um sich gegen „bösartige Cyberaktivitäten“ zu wappnen. Solche „Burner Phones“ kommen häufiger zum Einsatz, als wir denken, und wir sprechen hier nicht nur über illegale Aktivitäten. Unternehmen bitten ihre Mitarbeiter oft, bei Reisen in Regionen mit hohem Risiko andere Geräte zu verwenden. Als Alternative zur Verwendung temporärer Geräte stellt ein weltweit tätiges Nachrichtenunternehmen seinen Reportern in China derzeit Lookout Mobile Endpoint Security zur Verfügung, um sie zu schützen.
Es gibt zwar unzählige Arten von Bedrohungen, aber eine der häufigsten ist Phishing. Angreifer haben herausgefunden, dass QR-Codes eine der effektivsten Methoden sind, um bösartige Links zu übermitteln. Ob ein Journalist über die Olympischen Spiele berichtet oder einfach nur in ein Restaurant in San Francisco geht: Er muss wissen, dass QR-Codes zwar eine nahtlose kontaktlose Interaktion ermöglichen, es Angreifern aber auch leichtmachen, bösartige Links zu senden. Sobald ein Berechtigungsnachweis gestohlen wurde, ist es für Angreifer ein Leichtes, sowohl persönliche als auch Unternehmensdaten zu stehlen.
QR-Codes werden zu einem Teil des täglichen Lebens
In der Vergangenheit haben sich Angreifer darauf verlassen, Phishing-URLs per E-Mail an Desktop-Benutzer zu senden, in der Hoffnung, Unternehmensdaten zu stehlen. Dies gelang entweder, indem sie Benutzer dazu verleiteten, Malware zu installieren oder unwissentlich Zugangsdaten weiterzugeben. Dies änderte sich jedoch mit der zunehmenden Verbreitung von Mobilgeräten. Nahezu alle mobilen Anwendungen mit Messaging-Funktionen, wie soziale Medien, Messaging-Apps von Drittanbietern, Spiele und Dating-Plattformen, lassen sich für Phishing-Angriffe nutzen.
In beliebten Apps wie Snapchat und WhatsApp werden QR-Codes verwendet, um sich bei Konten anzumelden, Kontaktinformationen auszutauschen und Geld zu überweisen. Da Unternehmen versuchen, inmitten der Pandemie ein kontaktloses Erlebnis zu schaffen, haben sich viele an QR-Codes orientiert. So ist es beispielsweise üblich, dass Restaurants QR-Codes verwenden, damit Besucher die Speisekarte abrufen können oder kontaktlos bezahlen können.
Bei den Olympischen Spielen in Peking sind QR-Codes ein wichtiger Bestandteil des täglichen Lebens. Die Chinesen nutzen sie schon seit Jahren. Aktuell verwenden die Organisatoren QR-Codes bei den Spielen für alles, vom Zugang zu Trainingszentren und Hotelanlagen bis hin zu Tests für COVID-19. Während die Codes die Navigation bei den Spielen einfach und berührungslos machen, bergen sie auch die Gefahr, für Phishing-Zwecke missbraucht zu werden.
Eine technisch einfache, aber hocheffektive Phishing-Methode
QR-Phishing-Angriffe sind auf dem Vormarsch, weil sie so wenig Aufwand erfordern, um erfolgreich zu sein. Zum einen handelt es sich bei den Codes um physische Anzeigen, was bedeutet, dass ein harmloser Code leicht mit einem bösartigen Code überdeckt werden kann, der die Nutzer auf eine bösartige Website führt. So ist es für Cyberkriminelle ein Leichtes, die legitime Website „anzuzeigen“, die Zugangsdaten stiehlt oder Malware installiert.
QR-Phishing ist nicht nur eine effektive Methode, um Einzelpersonen anzugreifen, sondern kann auch zum Diebstahl von Unternehmensdaten verwendet werden. Ein Mitarbeiter könnte zum Beispiel einen Code scannen, der zu einer gefälschten Anmeldeseite einer Bank führt. Sobald die Zugangsdaten eingegeben sind, kann ein Angreifer eine Software einsetzen, die das Internet nach anderen Websites mit dem Benutzernamen des Mitarbeiters durchsucht. Wenn der Mitarbeiter dieselben Zugangsdaten für mehrere Konten verwendet, auch für die Arbeit, könnte ein Angreifer Zugang zur Infrastruktur des Unternehmens erhalten.
Wie man sich vor QR-Code-Phishing schützt
Seit Beginn der Pandemie haben wir uns alle daran gewöhnt, QR-Codes als Teil unseres täglichen Lebens zu verwenden. Tatsächlich hat das FBI jedoch erst im Januar vor QR-Code-Phishing gewarnt. Um Privatnutzer und Unternehmen zu schützen, ist Sensibilisierung die erste Verteidigungslinie.
Für die Olympioniken und Journalisten in Peking kann die temporäre Verwendung eines anderen Handys und das Wissen um die Gefahren von QR-Codes das Risiko von Phishing-Angriffen verringern. Lookout empfiehlt, bei QR-Codes genauso vorzugehen wie bei anderen Phishing-Taktiken wie E-Mail-Betrug und Social Engineering. So gilt es immer die URL in der Benachrichtigung zu prüfen, bevor man auf die Weiterleitung klickt. Wenn die URL nicht wie eine vertrauenswürdige Quelle aussieht oder sich von der URL des bekannten Unternehmens unterscheidet, sollten Benutzer die Benachrichtigung verlassen.
Darüber hinaus müssen sich aber auch Unternehmen mit Lösungen befassen, die ihre Benutzer und Daten vor allen internetbasierten Angriffen schützen, unabhängig davon, wo sie sich gerade befinden. Lösungen für Endpoint Security mit einem Phishing and Content Protection-Modul schützen Daten vor Bedrohungen wie bösartigen Websites, Spyware, Adware, Ransomware, Phishing-Angriffen und Botnets. Solch eine Lösung lässt nur Websites zu, die für die Benutzer sicher sind, und blockiert Phishing und bösartige Inhalte.
