QR-коди мають менше шансів бути підхопленими засобами захисту кібербезпеки, ніж посилання чи вкладення – і кіберзлочинці намагаються цим скористатися, – повідомляє ZDNet.
Кіберзлочинці розсилають фішингові листи з QR-кодами в рамках кампанії, призначеної для збору облікових даних для входу в хмарні сервіси Microsoft 365.
Імена користувачів і паролі для корпоративних хмарних служб, таких як Microsoft 365, є основною мішенню для кіберзлочинців, які можуть використовувати їх для запуску зловмисного програмного забезпечення або програм-вимагачів або продавати вкрадені облікові дані іншим хакерам для власних кампаній.
Кіберзлочинці шукають нові підступні способи обдурити жертв, щоб вони натиснули посилання на фішингові веб-сайти, які виглядають як справжні сторінки входу Microsoft, випадково передавши свої облікові дані.
Одна нещодавня кампанія, надіслала сотні фішингових листів, у яких намагалися використовувати QR-коди, призначені для обходу захисту електронної пошти та крадіжки інформації для входу. Це відоме як «задушувальна» атака.
QR-коди можуть бути використані при спробах зловмисної діяльності, оскільки стандартні засоби захисту електронної пошти, як-от сканери URL-адрес, не виявлять жодних ознак підозрілого посилання чи вкладення в повідомленні.
Кампанія запускається з раніше зламаних облікових записів електронної пошти, що дозволяє зловмисникам надсилати електронні листи з облікових записів, якими користуються реальні люди, щоб додати листам ауру легітимності, що може спонукати жертв довіряти їм. Невідомо, як зловмисники спочатку отримують контроль над обліковими записами, які вони використовують для розповсюдження фішингових листів.
Фішингові листи містять повідомлення голосової пошти від власника облікового запису електронної пошти, з якого вони надсилаються, і потенційну жертву просять відсканувати QR-код, щоб прослухати запис. Усі проаналізовані QR-коди були створені в той же день, коли вони були надіслані.
Попередня версія кампанії намагалася змусити користувачів натиснути шкідливу URL-адресу, приховавши її за аудіофайлом. Однак антивірусне програмне забезпечення виявило це та визначило його як шкідливе, що змусило зловмисників перейти на використання QR-кодів.
Хоча використання методу QR-кодів може легше обійти захист електронної пошти, жертві потрібно виконати ще багато кроків, перш ніж вона досягне точки, коли вона може помилково передати свої облікові дані для входу кіберзлочинцям. Для початку користувачеві потрібно відсканувати QR-код – і якщо він відкриває електронний лист на мобільному телефоні, йому буде важко це зробити без другого телефону.
Однак якщо жертва не підозрює про підозрілу діяльність і дотримується інструкцій, вона може помилково дати своє ім’я користувача та пароль кіберзлочинцям.
«Використання QR-коду є унікальним викликом для тих платформ безпеки, оскільки ці електронні листи надходять із законних облікових записів і не містять посилань, а лише на перший погляд доброякісні зображення, які не містять шкідливих URL-адрес», – сказала Рейчел Шуінар, аналітик розвідки Abnormal Security.
«Цей новий (і досить інноваційний) тип атаки можна виявити лише завдяки усвідомленню того, що обліковий запис скомпрометовано – у поєднанні з розумінням наміру електронного листа», – додала вона.
Щоб убезпечити себе від такої фішингової атаки, користувачі повинні бути вкрай обережними зі скануванням QR-кодів, представлених у неочікуваних повідомленнях, навіть якщо вони виглядають так, ніби вони надходять від відомих контактів. Застосування багатофакторної автентифікації до облікових записів Microsoft 365 також може допомогти захистити дані входу від крадіжки.
