Microsoft QR-kode phishing målretter bruger-legitimationsoplysninger: Eksperter

By: Fatima P.Last updated:October 04, 2024

Cybersikkerhedseksperter har opdaget en ny QR-kode phishing-kampagne, også kendt som "QRLjacking".kvæleudnytter Microsoft Sway til at hoste falske landingssider og stjæle legitimationsoplysninger, to-faktor-godkendelse (MFA) koder og cookies.

Sway er en gratis cloud-baseret digital fortælle-app, der blev lanceret i 2015 som en del af Microsoft 365-produktfamilien. Det giver brugerne mulighed for at oprette og dele interaktive design til rapporter, personlige historier, præsentationer, dokumenter og mere.

Netskope Threat Labs, et cybersikkerhedsfirma, registrerede første gang svindel med "quishing" i juli 2024. Virksomheden opdagede en 2.000-gang forøgelse i cyberangrebskampagner på Sway, ved hjælp af en række taktikker til at omgå Microsofts cybersikkerhedsløsninger.

Disse bølger af cyberangreb var primært rettet mod teknologi-, fremstillings- og finansindustrierne, især i Asien og Nordamerika.

Indholdsfortegnelse

    1. Microsoft QR-kode phishing-kampagner stammer fra e-mails, bekræfter Neskope.
    2. QR-kode phishing-kampagner udnyttede Cloudflare Turnstile for at undgå opdagelse.
    3. 'Dette er ikke første gang': Microsoft Sway har en historik med phishing-angreb.
    4. QR-koderes billedbaserede karakter udnyttes til at lancere phishing-kampagner.
    5. Virksomheder skal genbesøge deres sikkerhedspolitikker og intensivere cybersikkerheden.

Microsoft QR-kode phishing-kampagner stammer fra e-mails, Neskope bekræfter.

Microsoft QR code phishing

Forskere fandt ud af, at e-mails sendt til Sway-brugere blev omdirigeret til phishing-landingssider hostet på URL-forkortelser.sway.cloud.microsoftdomæne. Disse phishing-sider viste en falsk login-side, der forsøgte at stjæle brugernes legitimationsoplysninger.QR-kode-svindel, som brugerne blev opfordret til at scanne for at føre dem til andre ondsindede websteder.

Da URL'en er indlejret i et billede, kan e-mailscannere, der kun kan scanne tekstbaseret indhold, omgås. Derudover kan en bruger, når de modtager en QR-kode, bruge en anden enhed, f.eks. deres mobiltelefon, til at scanne koden.Netskope-researchere observerede.

At opfordre brugerne til at bruge deres mobiltelefoner til at scanne disse QR-koder er en almindelig svindelstrategi, da de fleste telefoner kommer med svagere sikkerhedsforanstaltninger.

Ondsindeende aktører har sandsynligvis nemt ved at omgå sikkerhedsforanstaltninger mod phishing på smartphones, da de ofte ikke er udstyret med antivirussoftware eller Endpoint Detection and Response-løsninger, som normalt kun er til stede på pc'er.

Siden sikkerhedsforanstaltningerne, der er implementeret på mobile enheder, især personlige mobiltelefoner, typisk ikke er så strenge som på bærbare computere og stationære computere, er ofrene ofte mere sårbare over for misbrug.forskere tilføjede.

QR-kode phishingkampagner udnyttede Cloudflare Turnstile for at undgå opdagelse.

QR code quishing

Hvad gør disse phishing-kampagner meget mere effektive, er brugen af pålidelig websoftware for at fremstå mere troværdige og undgå opdagelse af deres svigagtige taktikker.

Forskere bekræftede, at disse svindlere brugte Cloudflare Turnstile til at skjule deres landingssider for statiske URL-skannere og webfiltreringstjenester. Det hjalp svindlerne med at opretholde en god omdømme, hvilket gjorde dem uopdagelige selv for værktøjer beregnet til at beskytte hjemmesider mod bots.

Cyberangribere udnyttede også gennemsigtig phishing, som benytter sig af angriber-i-midten angreb. Denne svindeltaktik stjal følsomme oplysninger fra ofrene.Multi-faktor godkendelseKoder gennem en lignende udseende side samtidig med at logge ind på offerets legitime Microsoft-konto.

Ved at bruge taktikken med indloggede Microsoft-konti fik brugerne til at tro, at de havde adgang til en legitim hjemmeside, hvilket øgede deres tillid og fik dem til at sænke deres vagt.

Ved at bruge legitime cloud-applikationer giver angribere troværdighed til ofrene, hvilket hjælper dem med at stole på det indhold, det leverer.

Derudover bruger en offer deres Microsoft 365-konto, som de allerede er logget ind på, når de åbner en Sway-side, hvilket kan hjælpe med at overbevise dem om dens legitimitet.Netskope forskere bemærkede.

'Dette er ikke første gang': Microsoft Sway har en historik med phishing-angreb.

I april 2020 udførte ondsindede aktører en lignende phishing-kampagne kaldet PerSwaysion, der sigtede mod Office 365-loginoplysninger ved hjælp af et phishing-kit inkluderet i en malware som en tjeneste (MaaS) operation.

Group-IB sikkerhedsforskere opdagede, at kampagnen udnyttede Microsoft Sway til at målrette højtstående officerer og direktører i små og mellemstore finansielle tjenestevirksomheder, advokatfirmaer og ejendomsgrupper.

Over 156 legitimationsoplysninger blev indsamlet ved at kompromittere deres virksomheds-e-mails. Mindst 20 af disse fiskede konti tilhører ledere i forskellige virksomheder i USA, Canada, Tyskland, Hongkong, Singapore, Holland og Storbritannien.

Beviser indikerer, at svindlere sandsynligvis bruger LinkedIn-profiler til at vurdere potentielle offerpositioner.

En sådan taktik reducerer muligheden for tidlig advarsel fra den nuværende offerkollegaer og øger succesraten for en ny phishing-cyklus.Gruppen-IB's forskere sagde.

QR-kodernes billedbaserede natur udnyttes til at lancere phishing-kampagner.

Fake QR code campaigns

Forbedring af cybersikkerhedsforanstaltninger og modforanstaltninger forbliver en af de primære missioner for teknologivirksomheder som Microsoft og software-as-a-service-organisationer, der tilbyder en bred vifte af tjenester.Gratis QR-kodegeneratoronline.

Midt i udviklingen af mere strenge cybersikkerhedsforanstaltninger styrker ondsindede aktører også deres phishing-kampagner og modforanstaltninger. De bliver klogere ved at udnytte hullerne i legitime cybersikkerhedsapps imod dem selv.

Som demonstreret af disse phishing-angreb på Sway ligger sårbarheden i billedbaserede trusler, såsom QR-koder. De fleste e-mail-scannere var kun kalibreret til at scanne tekstbaseret indhold, ikke URL'er inden i billeder.

Ved at bruge QR-koder til at omdirigere ofre til phishing-websites, står forsvarerne over for nogle udfordringer.

Da URL'en er indlejret inde i et billede, kan e-mail-scannere, der kun kan scanne tekstbaseret indhold, blive omgået.Netskope svarede igen.

Virksomheder skal genoverveje deres sikkerhedspolitikker og intensivere cybersikkerheden.

Fremskridt phishing-kampagner signalerer organisationer om at gennemgå deres cybersikkerhedspolitikker vedrørende scanning og filtrering af web- og skytrafik. Bedre politikker betyder færre chancer for, at medarbejdere får adgang til ondsindede websteder.

Samtidig anbefales det, at individuelle brugere kontrollerer URL'er, før de klikker. Endnu bedre er det at indtaste webstedet direkte i browserens adressefelt for at undgå at falde for QR-kode phishing-svindel.

QR-kode-baseret phishing er for nylig blevet et stort problem og synes usandsynligt at aftage. For nylig udgav Cofense en advarsel om en ny phishing-kampagne, der bruger QR-koder til at narre ofre til at besøge ondsindede websteder."Forskning har fundet en 331% stigning i QR-kode aktive trusler.rapporter,"Max Gannon fra Cofense sagde.

Misbruget af Microsoft Sway i denne kampagne understreger yderligere, at trusselaktører har en færdiglavet, nem måde at omgå mange automatiserede sikkerhedskontroller på - simpelthen ved at misbruge en betroet delingstjeneste.Gannon tilføjede.