Du får ett mail med en brådskande varning. Istället för en länk finns en QR-kod som du uppmanas skanna för att läsa mer. Du tar upp telefonen, skannar koden och hamnar på vad som ser ut som en Microsoft-inloggningssida. Men det är en kopia. Dina uppgifter skickas rakt till en angripare.

Quishing — phishing via QR-koder

Säkerhetsforskare på Cofense har dokumenterat en ny våg av phishing-attacker som använder QR-koder istället för traditionella länkar. Metoden kallas quishing och utnyttjar det faktum att QR-koder kringgår de flesta e-postsäkerhetssystem. Filtren är byggda för att analysera URL:er i text — inte bilder av QR-koder.

Attackerna använder falska nödvarningar och brådskande meddelanden för att skapa panik. Mottagaren uppmanas skanna en QR-kod för att ta del av "officiella instruktioner" eller "säkerhetsuppdateringar". Koden leder till en falsk inloggningssida, oftast en kopia av Microsofts inloggning.

Varför QR-koder är effektiva som attackvektor

QR-koder har blivit en naturlig del av vardagen — restaurangmenyer, betalningar, evenemang. De flesta skannar utan att tänka efter. Till skillnad från en URL som du kan granska innan du klickar, avslöjar en QR-kod inte sin destination förrän du redan skannat den.

Dessutom flyttar attacken från datorn till telefonen. Mobiltelefoner har ofta sämre säkerhetsskydd än företagsdatorer och saknar de webbfilter och säkerhetslösningar som finns i företagsnätverket.

Angriparna utnyttjar oro och brådska

De senaste kampanjerna använder falska nödvarningar märkta som "SEVERE / ACTIVE" för att skapa en känsla av akut fara. När människor är rädda eller stressade sjunker den kritiska granskningen. Det är precis vad angriparna räknar med.

Cofense noterar att angriparna systematiskt utnyttjar pågående kriser och nyhetsflöden för att göra sina meddelanden trovärdiga. Ju mer realistiskt hotet känns, desto fler skannar koden utan att tänka.

Så skyddar du ditt företag

Utbilda anställda om quishing — det är inte bara länkar som kan vara farliga. Inför en policy att aldrig skanna QR-koder från oväntade mail. Använd mobilsäkerhetslösningar som kan granska URL:er innan de öppnas. Se till att tvåfaktorsautentisering är aktiverat på alla Microsoft-konton.

Testa era anställda med simulerade quishing-attacker. Många organisationer tränar på vanlig phishing men missar QR-kodsvarianten helt.

Vill ni stärka ert skydd mot quishing och andra phishing-metoder? Kontakta BlckIT så hjälper vi er med utbildning och tekniska åtgärder.