Neue Tricksereien mit QR-Codes melden Sicherheitsforscher von Barracuda. Die Angriffe kommen per E-Mail und umgehen viele der in großen Unternehmen üblichen Sicherheitsscans. Liest der Endnutzer seine E-Mails dann auch noch mit aktivierter HTML-Darstellung, wird er leicht zum Opfer.

QR-Codes (quick response codes) sind bei Verbrechern beliebt, weil sich darin Hyperlinks kodieren lassen, die Menschen nicht lesen können. Damit lassen sich leichter falsche Hyperlinks unterjubeln. Unter einem Vorwand werden die Zielpersonen dazu gebracht, den Code einzuscannen; flugs landen sie auf einer vom Angreifer kontrollierten Webseite. Diese Methode wird so häufig für das Ernten fremder Zugangsdaten genutzt (Phishing), dass es für Phishing mit QR-Code einen eigenen Begriff gibt: Quishing.

Separate Dateien ergeben zusammen ein Bild

Eine verblüffend einfache Methode besteht darin, einen irreführenden QR-Code in zwei (oder mehr) Teile zu teilen. Diese Bilddateien werden beispielsweise einem Phishing-Email angehängt. Sicherheitssysteme versuchen in der Regel, die Bilddateien einzeln auszuwerten, finden in den einzelnen QR-Schnipseln aber nichts Verwertbares und lassen die gefährliche Nachricht passieren.

Mittels HTML können die Bilder allerdings am Endgerät des Nutzers so angeordnet werden, dass sie optisch wie ein einzelnes Bild wirken – sowohl für das menschliche Auge als auch die Kamera eines Smartphones. Scannt die Zielperson den virtuell zusammengesetzten QR-Code ein, wird sie auf eine betrügerische Webseite umgeleitet, wo beispielsweise Malware oder eine Phishing-Falle warten.

Verschachtelung

Schon länger bekannt ist die Idee, zwei QR-Codes in einander zu verschachteln. Welcher der beiden Codes dann von einem Smartphone ausgewertet wird, hängt insbesondere von der Entfernung zwischen Code und Kamera ab. Ein automatisiertes Sicherheitssystem wird allerdings versuchen, das gesamte Ding auszuwerten.

Barracuda hat Angriffe mit solchen verschachtelten QR-Codes beobachtet. Ein enthaltener Hyperlink ist völlig harmlos und zeigt beispielsweise auf eine Suchmaschine, während der andere Link in die Falle führt. Die Angreifer setzen darauf, dass die verschachtelten Codes die Sicherheitsscanner in die Irre führen. Die aufgeteilten QR-Codes sind ein Trick des Phishing as a Service Toolkits Gabagool; die verschachtelten QR-Codes eine Methode, die das Konkurrenzprodukt Tycoon 2FA beherrscht.

ASCII-Code QR

Bereits im Oktober hat Barracuda über gefinkelte QR-Codes berichtet, die gar nicht als Bilddatei daherkommen, sondern aus ASCII-Codes zusammengesetzt sind. Der ASCII-Code kennt neben Buchstaben und Satzzeichen noch allerlei andere Zeichen, darunter 32 unterschiedliche „Blöcke“, beispielsweise █.

Diese werden in einer Matrix aneinandergereiht. Verbunden mit einem Cascading Style Sheet (CSS), das die Farbe einzelner ASCII-Zeichen ändert und beispielsweise auf Weiß stellt, lassen sich Textgebilde erstellen, die von Smartphones als QR-Code erkannt werden, aber am Sicherheitsscanner unerkannt vorbeigekommen sind. Alternativ lassen sich die weißen Stellen aus geschützten Leerzeichen aus dem ASCII-Repertoire zusammenstellen.

Argwohn angezeigt

Außerhalb geschlossener Systeme sind QR-Codes grundsätzlich verdächtig. Wir empfehlen Argwohn gegenüber QR-Codes sowie grundsätzlich, E-Mails nur als Plain-Text darzustellen. Das sieht zwar nicht so hübsch aus, erschwert aber eine ganze Reihe unterschiedlicher Überwachungs- und Angriffsmethoden, nicht nur QR-Code-Tricks.

Angreifer profitieren mit QR-Codes von einem speziellen Vorteil: Sie lassen sich in der Regel nicht mit demselben Endgerät auswerten, auf dem sie angezeigt werden. Wer meint, einen auf seinem Computerbildschirm angezeigten QR-Code auswerten zu müssen, greift in aller Regel zum Smartphone (was aber nicht unbedingt erforderlich wäre). Und während Arbeitgeber versuchen, mittels Sicherheitssystemen den Aufruf verdächtiger URLs von Arbeitsplatzcomputern hintanzuhalten, ist das zum QR-Scan genutzte Smartphone nicht selten privat und agiert an den Sicherheitssystemen vorbei.

So erreichen Phisher ungemütlich hohe Erfolsquoten. In der Praxis hat sich Anti-Phishing-Training leider als weitgehend nutzlos erwiesen.

(ds)

Wer einen Tesla fährt, kann umfangreich Daten des Fahrzeugs sammeln und auswerten. Das gelingt etwa mit dem Open-Source-Projekt TeslaMate. Ein IT-Forscher hat nun hunderte offenstehende Instanzen im Netz gefunden, die diese Daten aller Öffentlichkeit preisgeben.

Aufgefallen ist der fehlende Zugriffsschutz Seyfullah Kılıç, der in einem Blog-Beitrag darüber berichtet. Das quelloffene Tool TeslaMate steht auf Github zum Herunterladen bereit. Es erlaubt, die Daten des eigenen Fahrzeugs zu sammeln und speichert diese in einer Postgres-Datenbank. Die Daten können mit Grafana visualisiert und analysiert sowie an lokale MQTT-Broker verteilt werden. Das ermöglicht die Aufbereitung, etwa mit Home Assistant.

Zu den Daten, die TeslaMate verwaltet, gehören unter anderem Fahrtendaten mit automatischen Adressnachschlagen, Ladestand und Zustand des Akkus. Das Projekt listet auf Github noch diverse Standard-Dashboards zu weiteren Daten auf, die damit einsehbar sind.

Selbsthosting ohne Zugriffsschutz

Das Problem, auf das Kılıç gestoßen ist, liegt im Selbsthosting von TeslaMate. Die Software enthält standardmäßig keinen Zugriffsschutz und erlaubt allen Zugriff auf die Daten. Dadurch können Unbefugte etwa den Standort einsehen – daraus lässt sich gegebenenfalls ableiten, ob ein Tesla zuhause oder im Büro ist. Etwa für Angreifer wie Einbrecher jedoch sehr nützlich.

TeslaMate stellt standardmäßig auf Port 4000 ein Web-Interface bereit und auf Port 3000 ein Grafana-Dashboard. Das verlockt Nutzerinnen und Nutzer offenbar dazu, Instanzen auf Cloud-Servern zu hosten oder heimische Installationen ins Internet durchzureichen. Mit einer Suche nach offenen TCP-Ports 4000 und der Abfrage des Standard-HTTP-Titel von TeslaMate über das Internet stieß der IT-Sicherheitsforscher auf hunderte offene Instanzen, die diese eher persönlichen Informationen aller Welt preisgeben.

Darauf basierend hat er einen Crawler programmiert, der die genauen GPS-Daten der überwachten Teslas, ihre Modell-Namen, Software-Version und Updateverlauf sowie Zeitstempel von Reisen und Ladesitzungen auswertet. Durch das Auswerten der täglichen Gewohnheiten auf einer Karte konnte er etwa Heimatadressen und oft besuchte Orte erkennen. Unter der URL teslamap.io veröffentlicht Kılıç seine Auswertungen auf einer Karte. Auch in Deutschland, Österreich und Schweiz sind demnach mehrere Fahrzeuge unter TeslaMate-Beobachtung.

Das Problem ist der fehlende Zugriffsschutz. Der Dienst sollte nicht öffentlich im Netz erreichbar sein, sondern wenigstens in LAN stehen, auf das nur Zugriff über VPN gelingt. Der IT-Forscher schlägt zudem vor, einen Reverse Proxy mit nginx aufzusetzen, der zumindest Basic Auth – also eine Log-in-Abfrage von Nutzername und Passwort – nachrüstet.

(dmk)

Bei Infoniqa, einem Software- und Dienstanbieter für den HR-Bereich, kam es Anfang des Monats zu einem IT-Vorfall. Jetzt meldet sich die Cybergang „Warlock“ im Darknet und reklamiert den Einbruch für sich. Sie will große Mengen teils sensibler Daten entwendet haben.

Ein Countdown auf der Untergrund-Webseite der kriminellen Vereinigung zeigt eine Laufzeit von etwas mehr als zwei Tagen an. Eine Schaltfläche „View Data“ ist derzeit (noch) funktionslos.

Der Info-Kachel zufolge haben die Mitglieder der Bande bei Infoniqa 165 GByte an Daten kopiert. Darunter sollen sich interne Dokumente, Finanzdokumente, Mitarbeiter-Informationen, die CRM-Datenbank, die HR-Datenbank sowie eine SaaS-Datenbank befinden.

Umfangreiche Daten abgeflossen?

Letzteres wäre vermutlich die Datenbank mit den Daten, die die Kunden bei Infoniqa verwalten. Belege liefert die Cyberbande nicht. Es finden sich keine Samples oder Auszüge oder Verzeichnisstrukturen, die eine Evaluierung erlauben würden.

Eine Antwort auf unsere Anfrage hierzu bei Infoniqa steht derzeit noch aus, ob etwa eine Lösegeldforderung vorliegt oder ob das Unternehmen den behaupteten Datenabfluss bestätigen kann. Wir reichen eine Antwort bei Verfügbarkeit an dieser Stelle nach.

Bisher hat Infoniqa lediglich bestätigt, dass in der Nacht zum Montag, dem 4. August 2025, ein Cyberangriff auf die IT des Unternehmens stattfand. Danach habe das Unternehmen umgehend Schutzmaßnahmen ergriffen und betroffene Systeme getrennt und heruntergefahren. Dennoch hätten die meisten Produkte den Kunden zur Verfügung gestanden, lediglich für „ONE Start Cloud“ ist eine Alternative zu nutzen. Vergangene Woche, am 12. August, sollen alle technischen Einschränkungen bereits gelöst worden sein, gab Infoniqa gegenüber heise online an.

Die Untersuchungen liefen vergangene Woche noch. Das Unternehmen wollte deshalb keine Angaben dazu machen, ob und welche Daten abgeflossen seien. Jedoch seien „Externe Cyber Security Experten und Forensiker“ mit der Analyse des Vorfalls betraut. Infoniqa setzt dabei den Angaben zufolge auf „Gründlichkeit vor Geschwindigkeit“.

(dmk)