Експерти Cofense розповіли про фішингову кампанію, головною метою якої була відома енергетична компанія у США. Зловмисники використовували QR-коди у своїх шкідливих листах, щоб обдурити системи безпеки.
За даними дослідників, приблизно третина (29%) з 1000 електронних листів, пов'язаних з цією кампанією, була націлена на неназвану енергетичну компанію США, тоді як інші листи були адресовані фірмам, які працюють у сферах виробництва (15%), страхування (9%), технологій (7%), та фінансових послуг (6%).
Cofense зазначає, що QR-коди вперше використовуються в такому масштабі, тобто все більше фішерів можуть тестувати їхню ефективність як вектор атаки.
«Ця кампанія спочатку проводилася в невеликих масштабах, але зрештою її обсяг значно перевищив значення, які зазвичай спостерігаються в аналогічних кампаніях, що зробило її помітною»,— пишуть експерти, відзначаючи, що кількість електронних листів збільшувалася приблизно на 270% за місяць.
![](/images/2023/08/volumes.jpg)
Такі атаки починаються з фішингового листа, в якому стверджується, що одержувач має вжити негайних дій для оновлення налаштувань свого облікового запису Microsoft 365.
Листи хакерів містять вкладення у форматі PNG або PDF з QR-кодом, який одержувачеві пропонується відсканувати, для підтвердження облікового запису. Також у листах наголошується, що для підтвердження облікового запису у користувача є всього 2–3 дні.
![](/images/2023/08/emails.jpg)
QR-коди, вбудовані у зображення, використовуються для обходу захисних механізмів електронної пошти, які зазвичай сканують повідомлення на наявність шкідливих посилань. Також, щоб додатково захиститися від виявлення, QR-коди цієї кампанії використовують сервіси Bing, Salesforce і Cloudflare Web3 для перенаправлення жертв на фішингову сторінку Microsoft 365.
У результаті приховування URL-адрес у QR-кодах, зловживання законними сервісами та використання кодування base64 для фішингових посилань допомагає зловмисникам обійти захисні фільтри електронної пошти.
![](/images/2023/08/url.jpg)
Наприкінці свого звіту фахівці Cofense пропонують організаціям використовувати інструменти розпізнавання зображень для захисту від такого фішингу, хоча це навіть не гарантує виявлення всіх шкідливих QR-кодів.
QR-коди, Cofense