Експерти Cofense розповіли про фішингову кампанію, головною метою якої була відома енергетична компанія у США. Зловмисники використовували QR-коди у своїх шкідливих листах, щоб обдурити системи безпеки.
За даними дослідників, приблизно третина (29%) з 1000 електронних листів, пов'язаних з цією кампанією, була націлена на неназвану енергетичну компанію США, тоді як інші листи були адресовані фірмам, які працюють у сферах виробництва (15%), страхування (9%), технологій (7%), та фінансових послуг (6%).
Cofense зазначає, що QR-коди вперше використовуються в такому масштабі, тобто все більше фішерів можуть тестувати їхню ефективність як вектор атаки.
«Ця кампанія спочатку проводилася в невеликих масштабах, але зрештою її обсяг значно перевищив значення, які зазвичай спостерігаються в аналогічних кампаніях, що зробило її помітною»,— пишуть експерти, відзначаючи, що кількість електронних листів збільшувалася приблизно на 270% за місяць.
Такі атаки починаються з фішингового листа, в якому стверджується, що одержувач має вжити негайних дій для оновлення налаштувань свого облікового запису Microsoft 365.
Листи хакерів містять вкладення у форматі PNG або PDF з QR-кодом, який одержувачеві пропонується відсканувати, для підтвердження облікового запису. Також у листах наголошується, що для підтвердження облікового запису у користувача є всього 2–3 дні.
QR-коди, вбудовані у зображення, використовуються для обходу захисних механізмів електронної пошти, які зазвичай сканують повідомлення на наявність шкідливих посилань. Також, щоб додатково захиститися від виявлення, QR-коди цієї кампанії використовують сервіси Bing, Salesforce і Cloudflare Web3 для перенаправлення жертв на фішингову сторінку Microsoft 365.
У результаті приховування URL-адрес у QR-кодах, зловживання законними сервісами та використання кодування base64 для фішингових посилань допомагає зловмисникам обійти захисні фільтри електронної пошти.
Наприкінці свого звіту фахівці Cofense пропонують організаціям використовувати інструменти розпізнавання зображень для захисту від такого фішингу, хоча це навіть не гарантує виявлення всіх шкідливих QR-кодів.
QR-коди, Cofense