Quishing: wat je moet weten om je te beschermen

De FOD Economie publiceerde op 6 februari een artikel met de boodschap om waakzaam te zijn voor 'quishing'. Hoewel de Vlaamse media waarschuwen voor deze "nieuwe vorm van phishing", bestaat quishing al verschillende jaren. Nieuw is het dus zeker niet, maar het is wel goed dat dit nog eens onder de aandacht wordt gebracht.

Quishing, een nieuwe vorm van phishing?

De term 'phishing' is bij de grote massa ondertussen wel gekend: het oplichten van mensen door hen naar een valse website te lokken. Bijvoorbeeld via een nagemaakte e-mail van een bank waarin een link staat die dan verwijst naar de malafide website. Quishing is eigenlijk identiek hetzelfde, maar de link is vervangen door een QR-code. Niet meer, niet minder.

Cybercriminelen gebruiken QR-codes om verschillende redenen:

• Het e-mailprogramma of de spamfilter scant alleen op aanklikbare links in e-mails, maar leest geen afbeeldingen uit. En aangezien een QR-code een afbeelding is, ziet de spamfilter de malafide link niet die achter de QR-code schuilgaat.
• De e-mail met QR-code wordt op de computer geopend en met de smartphone gescand. Zo wordt de beveiligingssoftware die op de computer geïnstalleerd is en de malafide link wel zou opmerken, omzeild.

Hoe kan je je organisatie beschermen tegen quishing?

Aangezien quishing een vorm van phishing is, neem je best verschillende maatregelen om je tegen phishing te beschermen. Die ene wonderbaarlijke software die je van alle kwaad behoedt, bestaat helaas niet.

• Alles begint bij bewustzijn. Maak je medewerkers bewust van de gevaren die phishing met zich meebrengt. Zet bijvoorbeeld via (het Belgische) Phished een awareness training op.
• Zodra je een QR-code gescand hebt, dan zie je - afhankelijk van de gebruikte applicatie - in principe de link waar je naartoe verwezen wordt. Lees die. Bepaal zelf of die betrouwbaar is. Staan er typefouten in het domein of iets anders opvallend dat een alarmbelletje doet rinkelen? In QR-codes worden vaak 'verkorte URL's' gebruikt, zoals Bitly. Dan kan je helaas niet controleren waar je uiteindelijk naartoe verwezen zal worden.
• Scan niet zomaar alle QR-codes die je her en der op iedere hoek van de straat tegenkomt. Twijfel je of een e-mail van een officiële instantie komt? Surf dan zelf manueel naar de betrokken website.
• Gebruik je een veilige browser zoals Google Chrome? Schakel dan ook 'Safe Browsing' in om meldingen te krijgen over malware, phishing en andere onveilige websites. Dan kan je inschakelen op zowel je computer, Android als Apple apparaten. Gebruik je Google Workspace? Dan kan je dit zelfs op domeinniveau afdwingen.
• Gebruik een goede spamfilter; de ingebakken (en in de prijs inbegrepen!) spamfilter van Google Workspace Gmail werkt prima!
• Maak gebruik van 'Prive-DNS' op je smartphone. Deze instelling kan controleren of de website die je wilt openen al dan niet onveilig is. Stel bv. Quad9 in voor Android en Apple toestellen.
• Maak gebruik van tweestapsverificatie. Dit helpt niet direct tegen phishing, maar wel indirect voor als je toch in een phishing val bent gelopen.
• Twijfel je? Onthoud dan twee woorden: klik niet.

Voorkom phishing vanuit jouw naam

Je wilt uiteraard niet dat cybercriminelen vanuit jouw webadres phishing e-mails sturen. Het zou je firma in een slecht daglicht stellen en - potentiële - klanten zouden al jouw e-mails beginnen wantrouwen.

Om dit te voorkomen, zijn enkele technische ingrepen op DNS en mailserver niveau nodig. Stel met name SPF, DKIM en DMARC in waardoor e-mails die niet vanuit jouw mailserver(s) verzonden worden bij de ontvanger in quarantaine geplaatst worden. In dit blogartikel leggen we in detail uit wat deze begrippen inhouden en hoe je ze kan implementeren.