Сегодня мы привыкли видеть QR-коды повсюду — в кафе, пабах, офисах и общественных учреждениях. Однако, насколько часто вы проверяете URL, на который вас перенаправляет QR-код?
Одной из особенностей QR-кодов является их способность внушать ложное доверие, что может привести к серьезным последствиям, если URL оказывается недостоверным.
Недавнее исследование компании Sophos продемонстрировало, как происходит атака, известная как «квишинг», после того как один из сотрудников компании стал мишенью подобного нападения. Эта атака использовала вредоносные QR-коды, замаскированные под легитимные внутренние письма.
В июне несколько сотрудников Sophos получили электронные письма из легитимных внешних источников с заголовками, которые выглядели так, будто их отправил офисный принтер или сканер. Письма содержали PDF-файл, на котором была изображена эмблема Sophos и QR-код. QR-код указывал на «защищенную» ссылку на DocuSign, требующую цифровой подписи сотрудника, причем файл должен был истечь через 24 часа.
При сканировании этот QR-код переадресовывал на страницу входа Microsoft 365, где сотрудник вводил свои данные и подтверждал свою личность через многофакторную аутентификацию. В реальном времени злоумышленник использовал эти данные и украденный токен многофакторной аутентификации для попытки доступа к внутреннему приложению. Однако, благодаря внутренним настройкам сети Sophos, доступ был заблокирован, а учетная запись — защищена.
Как можно выявить и предотвратить подобные атаки? Sophos рекомендует тщательно проверять детали входящих писем. Например, имя файла внутри текста письма не совпадало с именем вложенного PDF-файла, а строка заголовка «Remittance Arrived» не соответствовала логике сообщения от офисного сканера.
Ложное чувство срочности, в том числе указание на истечение файла через 24 часа, также могло бы указывать на поддельность сообщения. Важно обращать внимание на URL, отображаемый при сканировании QR-кода, хотя весь URL может не всегда быть видимым или исчезать раньше, чем его можно изучить.
В случае с токеном MFA злоумышленники использовали поддельное диалоговое окно для входа в Microsoft 365, из-за отсутствия программного обеспечения фильтрации URL на телефоне жертвы.
Sophos подчеркивает, что атаки с использованием QR-кодов быстро становятся растущей угрозой для организаций. Появляются сервисы предоставляющие «фишинг как услуга», такие как ONNX Store, предлагающие атаки на основе QR-кодов.
QR-коды обычно представлены в виде изображений в PDF-документах, которые легко проходят через фильтры электронной почты и защитное программное обеспечение, поскольку обработка URL происходит на мобильном устройстве пользователя, которое может иметь менее высокий уровень защиты.
Андрю Брэндт, ведущий исследователь угроз в Sophos, отметил: «Несмотря на страхи, возникшие в период популяризации QR-кодов, реальная угроза для большинства людей была незначительной. Тем не менее, сейчас мы наблюдаем, как атакующие используют QR-коды для фишинговых атак — и они эффективны.»
«QR-коды невероятно гибки, и с помощью квишинговых комплектов злоумышленники могут массово создавать серии нацеленных фишинговых писем, адаптируя их для сотрудников различных компаний. К сожалению, если киберпреступники похищают учетные данные и токены MFA, они могут получить доступ к ценным ресурсам,» — добавил Брэндт.
Источник: TechRadar
