Was ist Qrljacking und wie kann man es verhindern?
QR-Codes oder Quick Response-Codes sind ziemlich cool. Sie können verwendet werden, um im Wesentlichen alle alphanumerischen und digitalen Dinge zu kodieren. Außerdem sehen sie irgendwie futuristisch aus. QR-Codes sind eine technische Weiterentwicklung von Barcodes (X-Achse – von links nach rechts). Während Barcodes als eindimensional gelten, sind QR-Codes zweidimensional (X- und Y-Achse – von links nach rechts und von oben nach unten). QR-Codes können bis zu 7089 Ziffern oder 4296 Zeichen speichern. Dazu gehören Satzzeichen und Sonderzeichen. Daher können QR-Codes auch zum Verschlüsseln von Wörtern, Phrasen, Internet-URLs und Anmeldeinformationen verwendet werden.
Aber bei aller Bequemlichkeit sind QRL-Codes auch ein Online-Angriffsvektor. Geben Sie QRLjacking ein.
QR-Code-Verlauf
QR-Codes wurden von einem japanischen Hersteller namens erstellt dichte Welle . Das Unternehmen benötigte ein besseres Kodierungssystem, das mehr Daten verarbeiten konnte (und mehr Zeichen kodieren konnte) als herkömmliche Barcodes. Das Unternehmen benötigte dies, um die wachsende Zahl der von ihm hergestellten Fahrzeuge und Teile nachverfolgen zu können. Masahiro Hara, Mitarbeiter von Denso Wave, entwickelte zusammen mit einem Team aus zwei Kollegen das, was wir heute als QR-Codes kennen. QR-Codes gibt es seit 1994.
Was sind QRLs?
QRLs oder Quick Response Code Login sind eine Alternative zur passwortbasierten Authentifizierung. QRLs ermöglichen es Benutzern, sich bei ihren Konten anzumelden, indem sie einen QR-Code scannen (ein Foto machen), der die Anmeldeinformationen des Benutzers verschlüsselt hat. Ja, das bedeutet, dass Sie ein Gerät benötigen, das mit einer Kamera ausgestattet ist, die QR-Codes interpretieren kann. Aber die meisten Smartphones und Computer, die Sie heute kaufen, verfügen über diese integrierte Funktionalität.
QRL (Quick Response Code Login) erwies sich als eine Möglichkeit, zwei der Hauptprobleme bei herkömmlichen passwortbasierten Anmeldungen zu überwinden.
- Passwortmüdigkeit:Da die Zahl der Online-Dienste täglich wächst, wird es schnell unüberschaubar, einen Benutzer zu bitten, sich für jedes seiner Konten ein sicheres Passwort auszudenken und es sich zu merken. Daher verwenden die Leute am Ende dieselben Passwörter für mehrere Websites/Dienste wieder. Das ist aus vielen Gründen eine sehr schlechte Idee. Denn wenn ein Passwort, das Sie für viele Dienste verwenden, jemals kompromittiert wird, ist Ihr Konto für alle diese Dienste gefährdet. Das vervielfacht den Schaden effektiv um die Anzahl der Websites/Dienste, die dieses Passwort teilen. Weitere Informationen finden Sie in unserem speziellen Artikel zur Wiederverwendung von Passwörtern.
- Wiederholungsangriffe:Herkömmliche passwortbasierte Anmeldeinformationen sind anfällig für Replay-Angriffe. Ein Wiederholungsangriff ist eine Art von Man-in-the-Middle-Angriff , bei dem die Übertragung legitimer Daten (z. B. der Anmeldedaten eines Benutzers) verzögert und vom Angreifer abgefangen wird, der die abgefangenen Daten dann erneut überträgt, um sich als der tatsächliche Benutzer auszugeben und möglicherweise seine Daten zu stehlen. Da sich die QRLs bei jedem Anmeldeversuch ändern, wird dieser Art von Angriffen die Tür verschlossen.
Aber das bedeutet keineswegs, dass QRLs unverwundbar sind, wie wir sehen werden.
Was ist QRLjacking?
QRLjacking ist ein Online-Angriff, der darin besteht, einen ahnungslosen Benutzer dazu zu verleiten, die vom Angreifer bereitgestellte QRL zu scannen und nicht die tatsächlich vom Dienstanbieter ausgegebene QRL. Sobald der Benutzer das bösartige QRL scannt, erhält der Angreifer Zugriff auf das Konto des Benutzers und es passieren schlimme Dinge.
QRLjacking erfordert, wie viele Online-Angriffe, eine Form von Social Engineering, um das Opfer dazu zu bringen, das kompromittierte QRL zu scannen.
Hier ist ein Beispiel für einen typischen QRLjacking-Angriff:
- Der Angreifer initiiert eine clientseitige QR-Sitzung für die betreffende Website/den betreffenden Dienst.
- Anschließend klont der Angreifer den Login-QR-Code auf eine gefälschte Login-Seite, die einem legitimen Online-Dienst sehr ähnlich ist. Die angezeigten QR-Codes sind gültig und werden regelmäßig aktualisiert.
- Mithilfe einer Form von Social Engineering sendet der Angreifer die gefälschte Seite an das Opfer. Dies kann eine E-Mail mit einer URL, ein Facebook-Beitrag, sogar eine Textnachricht oder was auch immer sein, solange das Opfer dadurch dazu verleitet wird, auf den Link zu klicken.
- Der Benutzer scannt den bösartigen QRL mit der mobilen Anwendung, für die der QRL erstellt wurde.
- Der Angreifer erhält Zugriff auf das Konto des Opfers und der Onlinedienst ist nicht schlauer, da er die Daten des Benutzers an den Angreifer weitergibt.
Reale QRLjacking-Angriffe
Im April 2019, OWASP.org , Das Open Web Application Security Project, erstellte a GitHub-Repository Hosting von Softwaretools zur Durchführung von QRLjacking-Angriffen, komplett mit Anleitungen und einem Wiki. Sicherheitsforscher veröffentlichen zu Forschungszwecken manchmal „bösartige“ Inhalte.
Auf der GitHub-Seite listet OWASP die Online-Dienste auf, von denen im April 2019 bekannt war, dass sie anfällig für QRLjacking-Angriffe sind. Ich habe die Liste unten reproduziert. Einige der Online-Dienste, die es auf die OWASP-Liste geschafft haben, werden Sie vielleicht überraschen.
Die meisten dieser Dienste sind chinesisch oder russisch, wobei QR-Codes weitaus häufiger vorkommen.
Chat-Anwendungen
- Linie
- QQ Instant Messaging
Mailing-Dienste
- QQ Mail (Privat- und Geschäftskunden),
- Yandex-Mail
E-Commerce
- Ali Baba
- Aliexpress
- Taobao
- Klein
- 1688.com
- nicht empfangen
- Taobao-Reisen
Online-Banking
- Alipay
- Yandex-Geld
- TenPay
Passdienste
- Yandex Passport (Yandex Mail, Yandex Money, Yandex Maps, Yandex Videos usw.)
Mobile Management-Software
- Airdroid
Andere Dienstleistungen
- MyDigiPass
- Zapper & Zapper WordPress Login per QR-Code-Plugin
- Trustly-App
- Yellowphone
- Alibaba Yunos
Eindämmung von QRLjacking-Angriffen
Es gibt nicht viel, was Benutzer tun können, um sich vor QRLjacking-Angriffen zu schützen, außer überhaupt keine QRLs zu verwenden. Tatsächlich ist es die wichtigste Empfehlung von OWASP zur Eindämmung von QRLjacking.
Darüber hinaus gibt es einige Maßnahmen, die Website-Administratoren ergreifen können, um die Angriffsfläche zu minimieren. Allerdings sollten sie es auch nicht mehr als Mittel zur Authentifizierung ihrer Benutzer verwenden. Wenn Sie jedoch QRLs verwenden müssen, finden Sie hier einige Sicherheitstipps.
Bestätigungs-E-Mail/SMS
Die Website/der Dienst sendet eine Bestätigungs-E-Mail oder SMS-Nachricht an den Benutzer, nachdem er sich mit dem QRL angemeldet hat. Auf diese Weise könnte der Benutzer feststellen, dass etwas nicht stimmt, wenn er die Bestätigungsnachricht nicht erhält.
Eingeschränkte IP-Adressen
Die Beschränkung der IP-Adressen, die QRL verwenden können, ist eine weitere Möglichkeit, QRLjacking-Angriffe einzudämmen. Der Benutzer muss die QRL von der Site/dem Dienst anfordern, damit der Dienst zu diesem Zeitpunkt seine IP-Adresse kennt. Dies würde die Authentifizierungsanfrage vom Server des Angreifers blockieren. Es gibt jedoch Möglichkeiten, wie ein Angreifer dies tun könnte Parodie ihre IP-Adresse und umgehen möglicherweise diese Sicherheitsmaßnahme.
Eingeschränkter Standort
Ähnlich wie oben wäre eine weitere Abhilfemaßnahme die Einschränkung der Standorte, von denen Authentifizierungsanfragen akzeptiert werden. Da die Website/der Dienst zwangsläufig die IP-Adresse des Benutzers kennt, kennt sie auch dessen allgemeinen Standort. Dies ist zwar nicht narrensicher, könnte aber eine Authentifizierungsanfrage des Angreifers vereiteln, solange sich der bösartige Server nicht am selben allgemeinen Standort wie das Opfer befindet.
Aber auch hier handelt es sich um relativ unpraktische Abhilfemaßnahmen. Und keines davon ist eine Wunderwaffe. Nummer eins ist theoretisch. Nummer zwei ist nicht so schwer zu umgehen. Und Nummer drei funktioniert nicht, wenn sich der Server des Angreifers am selben allgemeinen Standort befindet wie das Opfer.
Die beste Abhilfe besteht also darin, überhaupt keine QRLs zu verwenden.
Wenn Sie als Benutzer QRLs verwenden müssen, finden Sie hier einige Ratschläge mit gesundem Menschenverstand, die Ihnen weiterhelfen können. Dies sind Dinge, die Sie auf jeden Fall tun sollten. Nicht nur in einem Kontext, in dem Sie versuchen, sich gegen QRLjacking zu verteidigen.
- Verwenden Sie eine Firewall – Alle gängigen Betriebssysteme verfügen über eine integrierte eingehende Firewall und alle kommerziellen Router auf dem Markt verfügen über eine integrierte NAT-Firewall. Stellen Sie sicher, dass diese aktiviert sind, da sie Sie möglicherweise schützen, falls Sie auf einen schädlichen Link klicken.
- Wenn Ihr Webbrowser eine Warnung zu einer Website, auf die Sie zugreifen möchten, oder zu deren SSL-Zertifikat anzeigt, achten Sie darauf und verlassen Sie diese Website.
- Klicken Sie nicht auf Links oder Anhänge in E-Mails, es sei denn, Sie wissen genau, wer sie gesendet hat und um was es sich handelt.
Abschluss
Sicherheit und Komfort stehen in einem ständigen Balanceakt. Das Internet für die Massen erfordert beides, aber es ist schwierig, ein Gleichgewicht zu finden. Manchmal wird jedoch die Bequemlichkeit übertrieben. Sind QRLs beispielsweise so viel praktischer als Einmalpasswörter (OTP)? Denken Sie darüber nach, Sie müssen immer noch Ihr Telefon herausholen, die Kamera-App starten und ein Foto machen. Ist das so viel bequemer, als eine OTP-App zu öffnen und sie zu kopieren und einzufügen? Ich bin mir nicht sicher, ob das so ist. Und sind wir jetzt einfach so „internetfaul“, dass ein oder zwei zusätzliche Wischbewegungen zum Dealbreaker werden?
Auch wenn Bequemlichkeit praktisch sein mag (nette Binsenweisheit, nicht wahr?), ist sie nicht immer sicher. Und obwohl das Internet uns eine Menge lustiger und interessanter Dinge zeigen kann, vergessen Sie nie, dass das Internet ein feindseliger Ort ist, an dem es nicht an Einzelpersonen und Organisationen mangelt, die ein Stück von Ihnen wollen. Verwenden Sie also keine QRLs – zumindest nicht für Ihre wichtigeren Online-Konten. Und auch wenn OTPs vielleicht nicht so praktisch sind wie die Auto-Login-Funktion Ihres Webbrowsers, bieten sie zwar nicht perfekt, aber eine viel bessere Sicherheit als QRLs. Ein geringfügiger Komfortverlust führt oft zu erheblichen Sicherheitsgewinnen.