Wie erkennt Abnormal eine URL, die in einem QR-Code verborgen ist?

Die Erkennung erfolgt zweischichtig. Erstens bewertet verhaltensbasierte KI Absenderanomalien, Empfänger-Targeting, Inhaltsmuster und den Kommunikationsgraphen – die meisten Quishing-Angriffe werden allein durch diese Signale erkannt, bevor ein QR-Code dekodiert wird. Zweitens extrahiert und bewertet ein dedizierter QR-Decoder URLs aus Bild-, PDF- und DOCX-Anhängen, um die Signalstärke zu erhöhen.

Funktioniert das auch, wenn der QR-Code auf mehrere Bilder aufgeteilt ist?

Ja – durch die Verhaltensschicht. Der QR-Decoder setzt geteilte oder verschachtelte QR-Codes über Dateien hinweg nicht wieder zusammen, aber die verhaltensbasierte KI erkennt den Angriff dennoch anhand von Absender-, Inhalts- und Empfänger-Targeting-Anomalien. Die Bildverarbeitung für Umgehungsmuster wird im föderierten Netzwerk kontinuierlich verbessert.

Was passiert, wenn der Benutzer scannt, bevor wir die Bedrohung erkennen?

Die Verhaltensbaseline von Abnormal markiert Quishing-E-Mails in der Regel vor der Zustellung – die meisten erreichen nie den Posteingang. Für den seltenen Fall einer zugestellten E-Mail saniert die Plattform bei Erkennung automatisch: Sie entfernt die Nachricht aus jedem Postfach, das sie erreicht hat, und sperrt jedes Konto, das gescannt hat, in unter sechs Sekunden.

Werden dadurch legitime QR-Codes blockiert – Kalendereinladungen, Zahlungsbelege?

Nahezu keine Fehlalarme. Verhaltensbaselines pro Identität unterscheiden einen legitimen Beleg eines Anbieters von einem Imitationsversuch, indem sie den Absenderverlauf, das Kommunikationsmuster und die Absicht hinter dem Inhalt lesen – nicht durch pauschales Blockieren von QR-Codes.

Benötigen wir noch Benutzerschulungen für Quishing, wenn Abnormal es blockiert?

Schulung ist eine Defense-in-Depth-Schicht, kein Ersatz für Erkennung. Abnormal übernimmt die Erkennungslast; Schulungsprogramme (einschließlich AI Phishing Coach) verstärken gesunde Scan-Gewohnheiten für die Nachrichten, die Benutzer legitim erreichen.

QR-Code-Angriffe erkennen

Der Angriff, den Ihre Filter nicht lesen können.

Quishing-E-Mails enthalten keinen Link, keinen Anhang, keine Payload – nur einen QR-Code, der Ihre Benutzer vom persönlichen Smartphone aus zu einer Phishing-Seite für Anmeldedaten führt, vollständig außerhalb Ihrer Plattform.

Demo anfordern

0 %

der Angriffe, die native Spamfilter umgehen, nutzen QR-Codes als Payload

Abnormal Threat Intelligence

0 %

der QR-Code-Angriffe sind Phishing-Angriffe auf Anmeldedaten, die Microsoft, Google oder DocuSign imitieren

Abnormal Threat Intelligence

<0 s

API-Bereitstellung, keine MX-Änderungen, keine Umleitung von E-Mails

Abnormal Platform

Produkttour starten

Die Herausforderung

Warum URL-Filter QR-Code-Angriffe nicht erkennen können

QR-Codes verbergen schädliche URLs in Bildern

E-Mail-URL-Filter scannen Text – QR-Codes sind Bilder, sodass das schädliche Ziel vor der Zustellung nie geprüft wird.

Benutzer scannen von persönlichen Smartphones, außerhalb Ihres Stacks

Sobald der Benutzer sein Smartphone zum Scannen hebt, verlässt der Angriff Ihr verwaltetes Gerät vollständig – kein EDR, kein Proxy, kein DNS-Filter.

Angreifer verpacken QR-Codes in MFA- und IT-Vorwände

Quishing-E-Mails imitieren Microsoft, Okta und DocuSign – genau die QR-gesteuerten Workflows, denen Benutzer zu vertrauen trainiert sind.

Sandbox-Erkennung nach dem Klick kommt zu spät

Sandboxen, die URLs nach der Zustellung detonieren, sehen den QR-Scan nie, weil der Klick außerhalb des Geräts erfolgt.

Bild-OCR lässt sich leicht mit Formattricks umgehen

Angreifer teilen QR-Codes auf mehrere Bilder auf, drehen sie oder betten sie in PDFs ein, um einfache OCR-Scanner zu umgehen.

Echter Vorfall

EineEineQuishing-E-Mail,Quishing-E-Mail,diediediedieMFA-RegistrierungMFA-RegistrierungvonvonMicrosoftMicrosoftimitierte,imitierte,landetelandeteinin280280Postfächern,Postfächern,erbeuteteerbeutete4747SätzeSätzevonvonAnmeldedatenAnmeldedatenundundlöstelöstedreidreiAccount-TakeoverAccount-Takeoverausaus––jedejedeE-MailE-MailbestandbestandSPF,SPF,DKIMDKIMundundDMARC.DMARC.

Basierend auf einem echten Kundenvorfall

Die Lösung

Ein Abnormal-Ansatz, um QR-Code-Angriffe zu stoppen

Bewertet Absenderverhalten, Empfänger-Targeting und Inhalte zur Zurücksetzung von Anmeldedaten anhand von Verhaltensbaselines pro Identität und erkennt die meisten Quishing-Angriffe, bevor ein QR-Code überhaupt geparst wird.
Dekodiert QR-Codes, die in Bildern, PDFs und Anhängen verborgen sind, und bewertet dann die Ziel-URL mit derselben Engine, die textbasierte Links prüft.
Erkennt die MFA-Registrierungs- und Passwortzurücksetzungs-Vorwände, auf die Angreifer sich verlassen, und markiert sie anhand des wahren Identitätsgraphen des Absenders.

Kernfunktionen

Wie Abnormal Quishing stoppt

Erkennen Sie den Angriff, ohne zu dekodieren

Verhaltensbaselines pro Identität über 45.000+ Signale bewerten Absenderanomalien, MFA-/Anmeldedaten-Zurücksetzungs-Inhaltsmuster und Empfänger-Targeting – die meisten Quishing-Angriffe werden erkannt, bevor ein QR-Parsing läuft.

Dekodieren + Bewerten eingebetteter URLs

Ein dedizierter Decoder extrahiert QR-Codes aus Bild-, PDF- und DOCX-Anhängen und führt die URL derselben Erkennungs-Engine zu, die textuelle Links bewertet – signalergänzend, nicht signalabhängig.

Bedrohungen in unter 6 Sekunden beseitigt

Wenn eine Quishing-E-Mail nach der Zustellung erkannt wird, entfernt Abnormal sie aus jedem Postfach, das sie erreicht hat, und sperrt jedes Konto, das gescannt hat – keine Analystenaktion erforderlich.

Plattformübersicht ansehen