Крупная энергетическая компания США пострадала от фишинговой кампании с QR-кодом

Эта фишинговая кампания с QR-кодом нацелена на несколько отраслей и использует законные сервисы, такие как Microsoft Bing, для повышения эффективности и обхода безопасности.

Cofense, американская компания по обеспечению безопасности электронной почты, выпустила новый отчет о масштабной фишинговой кампании с QR-кодом который нацелен на многочисленные отрасли. Кампания была особенно сосредоточена на одной крупной энергетической компании, базирующейся в США, хотя Кофенс не называет, какую именно. Киберпреступники используют законные сервисы, такие как Microsoft Bing, чтобы повысить эффективность этой кампании и обойти систему безопасности. К счастью, компании могут предпринять шаги для смягчения этой особенно необычной угрозы фишинга.

Перейти к:

Как работает эта фишинговая кампания с QR-кодом?

Эта кампания использует QR-коды в виде изображений PNG, которые после сканирования приводят к фишинговым страницам с учетными данными Microsoft. В содержимом электронного письма используются разные, но похожие приманки: заставляют пользователя поверить, что ему необходимо обновить безопасность своей учетной записи или активировать двухфакторную или многофакторную аутентификацию в течение 72 часов (Рисунок А).

Рисунок А

Какие законные сервисы используются в ходе этой фишинговой атаки?

Законными службами, которые используются для повышения эффективности этой фишинговой атаки, являются Microsoft Bing, Salesforce через домен (например, krdx.net), который принадлежит компании и использовался для перенаправления, два законных веб-сайта (например, digitalsflare.com и bladionline.com) и Межпланетная файловая система.

Бинг

В этой фишинговой кампании большинство вредоносных QR-кодов включали перенаправления Bing, содержащие адрес электронной почты жертвы и фишинговую ссылку в кодировке Base64 (Рисунок Б).

Рисунок Б

В этом случае киберпреступники использовали Bing — законный домен Microsoft с функциями перенаправления, реализованными в маркетинговых целях — для перенаправления пользователей на фишинговый веб-сайт, который они контролируют. Как и в случае с QR-кодом, преимущество этого метода перенаправления заключается в том, что он помогает обойти систему безопасности, поскольку вредоносный домен не подвергается прямому воздействию — вредоносный домен закодирован в Base64.

ИПФС

Киберпреступники использовали межпланетную файловую систему для размещения фишингового контента и отправляли фишинговые ссылки, которые использовали шлюз CloudFlare в систему IPFS (Рисунок С).

Рисунок С

Какие отрасли подвержены риску этой фишинговой атаки?

Фишинговая кампания в основном была сосредоточена на одной крупной энергетической компании в США, за которой следовали отрасли производства, страхования, технологий, финансовых услуг и здравоохранения (Рисунок D).

Рисунок D

Натаниэль Рэймонд из Cofense сообщает, что с начала кампании в мае 2023 года средний ежемесячный процент роста составил более 270%. С мая 2023 года количество QR-кодов в электронных письмах увеличилось более чем на 2400%.

Почему эта фишинговая атака необычна

QR-коды не часто используются в фишинговых кампаниях; Киберпреступники, как правило, чаще используют их в повседневной жизни, оставляя QR-коды в разных местах, чтобы любопытные люди могли их отсканировать и, возможно, подвергнуться мошенничеству или заражению вредоносным ПО.

У киберпреступников есть по крайней мере одно преимущество использования QR-кодов в электронных письмах, особенно для запуска фишинговых кампаний: у них гораздо больше шансов обойти систему безопасности и попасть в почтовые ящики пользователей, поскольку фишинговая ссылка скрывается внутри QR-изображения.

Как эта фишинговая кампания может потерпеть неудачу

Как заявил Рэймонд, «хотя QR-коды полезны для попадания вредоносных электронных писем в почтовый ящик пользователя, они могут оказаться недостаточно эффективными для доставки пользователя на фишинговую сеть».

Для QR-кодов необходимо использовать сканирующее устройство, которым в большинстве случаев будет мобильный телефон, поскольку в эти устройства теперь обычно встроен сканер QR-кода, который работает с их камерой. Кроме того, эти сканеры мобильных телефонов обычно показывают ссылку, содержащуюся в QR-коде, пользователю, который решает, нажимает он на нее или нет.

Как защититься от этой угрозы фишинга QR-кода

Чтобы повысить безопасность электронной почты и защитить себя от угрозы QR-кода, организациям следует выполнить следующие действия.

• Рассмотрите возможность реализации передовые решения для защиты от угроз. В идеале эти решения должны распознавать QR-код и анализировать ссылку с помощью решений безопасности.
• На мобильных устройствах разрешайте открывать QR-коды только приложениям безопасности, таким как антивирус, которые включают сканирование QR-кода в качестве функции. Затем ссылку QR-кода следует проверить на безопасность.
• Обучайте пользователей, чтобы они знали о рисках, связанных с QR-кодами. В компаниях, где не используется QR-код, сотрудники никогда не должны сканировать QR-код из любого источника, который выдает себя за организацию.
• Предоставьте пользователям быстрый способ сообщить о подозрительных электронных письмах в свой ИТ-отдел или отдел безопасности. Это может быть кнопка в почтовом клиенте.
• Разверните многофакторную аутентификацию для учетных записей электронной почты компании. Даже если фишинг окажется успешным, злоумышленник все равно не сможет войти в учетную запись электронной почты.

Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.