近日,Cofense发现了一次专门针对美国能源公司的网络钓鱼攻击活动,攻击者利用二维码将恶意电子邮件塞进收件箱并绕过安全系统。
Cofense 方面表示,这是首次发现网络钓鱼行为者如此大规模的使用二维码进行钓鱼攻击,这表明他们可能正在测试用二维码作为攻击载体的有效性。
在归因于该活动的 1,000 封电子邮件中,约有三分之一(29%)是针对美国一家大型能源公司的,其余的则是针对制造业(15%)、保险业(9%)、科技业(7%)和金融服务业(6%)的公司。
不过Cofense 并没有透露此次活动的目标能源公司具体名称,只将其归类为美国的一家 "大型 "公司。
二维码钓鱼活动 来源:Cofense Cofense
网络钓鱼中的二维码
Cofense 方面称,攻击开始时会先发送一封钓鱼电子邮件,提醒收件人必须尽快更新其 Microsoft 365 帐户设置。邮件中的 PNG 或 PDF 附件会带有二维码,收件人会被提示扫描以验证其账户。为了增加紧迫感,邮件还指出收件人必须在 2-3 天内完成这一步骤。
网络钓鱼电子邮件样本 来源:Cofense Cofense
威胁行为者使用嵌入在图片中的 QR 代码绕过电子邮件安全工具,这些工具会扫描邮件中的已知恶意链接,从而使网络钓鱼邮件到达目标收件箱。
为了规避安全问题,钓鱼活动中的 QR 代码还使用了必应、Salesforce 和 Cloudflare 的 Web3 服务中的重定向功能,将目标重定向到 Microsoft 365 钓鱼页面。
在 QR 代码中隐藏重定向 URL、滥用合法服务以及为钓鱼链接使用 base64 编码都有助于逃避检测和通过电子邮件保护过滤器。
重定向 URL 示例(Cofense)
网络犯罪分子利用二维码窃取凭证和财务信息
QR 码过去也曾被攻击者用于其在法国和德国的网络钓鱼活动,尽管规模较小。此外,这些诈骗者还利用二维码诱骗人们扫描,并将他们重定向到恶意网站,试图窃取他们的钱财。
2022 年 1 月,美国联邦调查局警告称,网络犯罪分子越来越多地利用二维码窃取凭证和财务信息。尽管二维码能有效绕过保护措施,但它仍然需要受害者采取行动才能被破解,这是一个有利于训练有素人员的决定性缓解因素。
此外,现代智能手机上的大多数二维码扫描器都会要求用户在启动浏览器前验证目标 URL,以此作为保护措施。
除培训外,Cofense 还建议企业使用图像识别工具作为其网络钓鱼防护措施的一部分,尽管这些工具不能保证捕捉到所有 QR 代码威胁。