Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Phishing met QR-codes

12-05-2021, 15:06 door Anoniem, 8 reacties
Nogmaals, een gewaarschuwd man telt voor twee! Criminelen hebben al sinds enige tijd ontdekt dat je iemand zijn bankrekening kunt plunderen door brieven of mails met QR-codes te sturen. Als iemand deze QR-code scant met een phone, dan wordt hij geleid naar de website van de oplichters. Hoewel de banken aangeven deze QR-codes nooit aan hun klanten te vragen om in te loggen (zoals de ING), is het nog steeds goed oppassen geblazen. Wie de QR-code in een phishingsmail of brief scant met zijn Android telefoon bijvoorbeeld, wordt geleid naar een phishingsite, alwaar je gevraagd wordt een ING-app te installeren. Dit is dan de eigenlijke Android malware. Volgens de website van RTL4 is de malware is te verwijderen door de Android telefoon naar fabrieksinstellingen terug te zetten.

Wie naar de link kijkt waar deze QR-code naar verwijst, dan wordt er altijd door oplichters de URL-verkorting toegepast, waardoor je geen eindbestemming-URL kunt zien. Dan krijg je zoiets als: hxxp://tiny.cc/kwaadaardige-bank.app bijvoorbeeld. Je eindigt dan op een phishingsite.

Het hele verhaal staat op de site van RTL4:
https://www.rtlnieuws.nl/tech/artikel/5229272/qr-codes-phishing-nieuwe-truc-cybercriminelen

Ik raad dringend aan om de genoemde QR-code in de brief die op de website van RTL4 staat (foto) NIET te scannen. Er is maar 1 vendor die deze link als kwaadaardig bestempelt via VirusTotal. Totaal onbegrijpelijk vind ik het dat een QR-code scanner app van Kaspersky je meteen naar die link doorstuurt en in de browser doodleuk opent. Ik had het graag gezien dat een QR-code scanner eerst de link doortrekt op de website van VirusTotal, waardoor mensen makkelijker gewaarschuwd worden. Ik hoop dat er ontwikkelaars zijn die een dergelijke QR-code scanner willen bouwen met de security in gedachten voor de eindgebruikers.

Omdat ik (nog) niet een dergelijke QR-code scanner ben tegengekomen die deze links in VirusTotal automatisch doortrekt, heb ik daarom een veiligere methode om de QR-code te scannen. Het gaat om je camera van je Android telefoon. Die laat je in Android 9 de URL zien waar je naar toe wordt geleid, zonder dat je naar die link wordt doorgestuurd. In mijn geval moet ik daarvoor eerst de camera opstarten en met de vinger vegen over het scherm naar rechts om een menu te krijgen waar het pictogram van de QR-code scanner staat. Die tik je aan, waardoor je gewone camera nu op een veiligere manier de QR-code kan scannen.

Ik beweer niet dat ik in mijn bijdrage het ei van Columbus heb gevonden. Wel dat het voor criminelen op deze manier nu een stuk lastiger wordt om mensen op te lichten. Dat is mijn bedoeling van mijn bijdrage.
Reacties (8)
12-05-2021, 15:28 door Anoniem
12-05-2021, 15:48 door Anoniem
RTL4 heeft het gemeld op 7 mei en bijgewerkt op 8 mei van dit jaar. Ik vind daarentegen dat mijn methode een betere beveiliging oplevert dan de standaard QR-code apps die je in de Play-store van Google vindt.

Dat is de reden voor mijn bijdrage.
12-05-2021, 16:43 door Anoniem
Door Anoniem: Omdat ik (nog) niet een dergelijke QR-code scanner ben tegengekomen die deze links in VirusTotal automatisch doortrekt, heb ik daarom een veiligere methode om de QR-code te scannen.

Dank je voor je waarschuwing en de tip. Als ik een QR-code scan dan gebruik ik daar de G-Data QR Scanner app voor om te zien of de URL wel zuivere koffie is.

Die G-Data app stuurt de link niet meteen door naar de webbrowser, maar laat deze eerst alleen zien, zodat je wel tijdig kunt ingrijpen. Dan heb je de keuze om de URL te openen, te delen of bij twijfel deze ter analyse via HTTPS te melden aan G-Data. Er zijn vast betere AV-scanners of scam detectors te vinden (?), maar dit werkt voorlopig voor mij.

Als ik een brief met QR-code van mijn bank zou ontvangen dan zou ik de bank daarover eerst opbellen en vervolgens persoonlijk bij een bankfiliaal langs gaan, om dat gegeven dubbel te verifiëren. Bij mijn weten is er geen enkele Nederlandse bank die dergelijke brieven verstuurd. Zo'n "overtuigend" lijkende brief is altijd een teken van bedrog.
12-05-2021, 17:28 door Anoniem
Politie waarschuwt voor phishingaanvallen via qr-codes
woensdag 12 mei 2021, 17:14 door Redactie

https://www.security.nl/posting/703237/Politie+waarschuwt+voor+phishingaanvallen+via+qr-codes
12-05-2021, 17:39 door Erik van Straten
Door Anoniem: Dat is de reden voor mijn bijdrage.
En die is prima! Op mijn OnePlus 6 smartphone (Android 10 met de laatste OneOplus updates) moest ik in de standaard camera-app wel eerst "Smart Content Detection" aanzetten om QR-codes te kunnen scannen (na deze test heb ik dat weer uitgezet).

Inderdaad wordt niet meteen een browser gestart, maar het veldje met de getoonde URL is wel erg kort. Bij langere URL's (zoals https://transaction.accepteasy.com/... zie je waarschijnlijk niet eens dat de domeinnaam op .com eindigt.

Ik heb maar weinig extra apps geïnstalleerd, maar wel de "privacy friendly QR scanner" van de SECUSO onderzoeksgroep van het "Karlsruhe Institute of Technology" (https://secuso.aifb.kit.edu/english/index.php). Deze app is open source (https://github.com/SecUSo/privacy-friendly-qr-scanner) en te vinden in https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner. Deze app laat de volledige URL zien die je (na bevestiging) in de default browser kunt openen, of naar het klembord kunt kopiëren. Daarbij hoeft het niet om URL-bevattende QR-codes te gaan, en deze app kan ook barcodes scannen.
12-05-2021, 17:55 door Anoniem
Door Anoniem: Als ik een brief met QR-code van mijn bank zou ontvangen dan zou ik de bank daarover eerst opbellen en vervolgens persoonlijk bij een bankfiliaal langs gaan, om dat gegeven dubbel te verifiëren.

Waarschuwing

Hierbij is het belangrijk om niet het telefoonnummer in de ontvangen brief of e-mail te bellen, maar dat van de officiële website van uw bank of dat van uw papieren bankafschriften te gebruiken. De fraudeurs hebben een zogenaamde "helpdesk" van de "bank", met een vertrouwelijke, professioneel klinkende stem om de twijfelaars die bellen te misleiden.
13-05-2021, 09:40 door not me
Door Erik van Straten:
Door Anoniem: Dat is de reden voor mijn bijdrage.
En die is prima! Op mijn OnePlus 6 smartphone (Android 10 met de laatste OneOplus updates) moest ik in de standaard camera-app wel eerst "Smart Content Detection" aanzetten om QR-codes te kunnen scannen (na deze test heb ik dat weer uitgezet).

Inderdaad wordt niet meteen een browser gestart, maar het veldje met de getoonde URL is wel erg kort. Bij langere URL's (zoals https://transaction.accepteasy.com/... zie je waarschijnlijk niet eens dat de domeinnaam op .com eindigt.

Ik heb maar weinig extra apps geïnstalleerd, maar wel de "privacy friendly QR scanner" van de SECUSO onderzoeksgroep van het "Karlsruhe Institute of Technology" (https://secuso.aifb.kit.edu/english/index.php). Deze app is open source (https://github.com/SecUSo/privacy-friendly-qr-scanner) en te vinden in https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner. Deze app laat de volledige URL zien die je (na bevestiging) in de default browser kunt openen, of naar het klembord kunt kopiëren. Daarbij hoeft het niet om URL-bevattende QR-codes te gaan, en deze app kan ook barcodes scannen.

Kans dat een eventuele hierop volgende reactie een bepaalde kant op gaat met bijvoorbeeld het woord "trol" erin is groot; ik plaats hem alsnog.

Je linkt nu naar de Play Store, terwijl de app ook gewoon op F-Droid te vinden is: https://f-droid.org/en/packages/com.secuso.privacyFriendlyCodeScanner/

Als ik de Github issues bekijk zie ik wel wat "aandachtspuntjes": https://github.com/SecUSo/privacy-friendly-qr-scanner/issues

Tevens zijn zowel de laatste commit als release gedaan op 21 oktober 2020 - dat is alweer een halfjaartje.
13-05-2021, 11:35 door Erik van Straten
Door not me: Kans dat een eventuele hierop volgende reactie een bepaalde kant op gaat met bijvoorbeeld het woord "trol" erin is groot; ik plaats hem alsnog.
Niet door mij als je zinvolle aanvullingen hebt of mij corrigeert op basis van steekhoudende argumenten (ook al kan ik die weerleggen: ook ik maak fouten en weet heel veel niet - dus je kan zomaar gelijk hebben; goed onderbouwde reacties stel ik altijd op prijs). Ik noem mensen geen troll alleen omdat ik het niet met hen eens ben, maar wel als ze mij aanvallen zonder fatsoenlijke onderbouwing en/of overduidelijke crap-argumenten gebruiken, vooral als ik diezelfde argumenten in dezelfde thread eerder al heb gepareerd maar men dat niet eerst leest (ik heb er toen geen woorden aan vuil gemaakt, maar dit vind ik bijv. een troll: https://security.nl/posting/702971; ook in https://security.nl/posting/687474 was ik bloedserieus en ben van mening dat juist niet ik last heb van tunnelvisie).

Door not me: Je linkt nu naar de Play Store, terwijl de app ook gewoon op F-Droid te vinden is: https://f-droid.org/en/packages/com.secuso.privacyFriendlyCodeScanner/
Prima als je liever daar downloadt, maar persoonlijk denk ik dat je er met een Android smartphone niet aan ontkomt om Google en de fabrikant enigszins te vertrouwen. De Play Store services kun je uitschakelen om privacy-redenen, maar daarmee schakel je ook een stuk beveiliging uit. Van de meeste default meuk op deze smartphone (t.o.v. andere merken weinig bij deze OnePlus 6, vandaar mijn keuze daarvoor - naast mijn iPhone) heb ik de beveiling aangescherpt; zo mogen bijvoorbeeld zeer weinig apps via WiFi en/of via de telefoonverbinding communiceren.

Door not me: Als ik de Github issues bekijk zie ik wel wat "aandachtspuntjes": https://github.com/SecUSo/privacy-friendly-qr-scanner/issues
Dat je kunt zien dat er sprake is van bugs, is zowel een nadeel als een voordeel van open source. Wat ik niet wil is dat codes die ik scan met bijv. een antivirusfabrikant worden gedeeld. Dat soort issues zie ik er niet tussen.

Door not me: Tevens zijn zowel de laatste commit als release gedaan op 21 oktober 2020 - dat is alweer een halfjaartje.
Dat baart mij bij dit soort apps niet meteen zorgen, maar dat zou zomaar onterecht kunnen zijn. Elke app die je installeert en geïnstalleerd houdt, blijft een gok.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.