Microsoft QR-Code-Phishing zielt auf Benutzeranmeldeinformationen ab: Experten

By: Fatima P.Last updated:October 04, 2024

Sicherheitsexperten haben eine neue QR-Code-Phishing-Kampagne entdeckt, die auch als "QRLJacking" bekannt ist.quishingDas nutzt Microsoft Sway aus, um gefälschte Landing Pages zu hosten und Anmeldeinformationen, Mehrfaktor-Authentifizierungscodes (MFA) und Cookies zu stehlen.

Sway ist eine kostenlose, cloudbasierte App für digitales Storytelling, die 2015 als Teil der Microsoft 365-Produktfamilie eingeführt wurde. Sie ermöglicht es Benutzern, interaktive Designs für Berichte, persönliche Geschichten, Präsentationen, Dokumente und mehr zu erstellen und zu teilen.

Netskope Threat Labs, ein Cybersicherheitsunternehmen, hat den Quishing-Betrug erstmals im Juli 2024 aufgezeichnet. Das Unternehmen stellte einen 2.000-fachen Anstieg von Cyberangriffskampagnen auf Sway fest, die eine Vielzahl von Taktiken einsetzten, um die Cybersicherheitslösungen von Microsoft zu umgehen.

Diese Angriffswellen von Cyberattacken richteten sich hauptsächlich gegen Technologie-, Fertigungs- und Finanzindustrien, insbesondere in Asien und Nordamerika.

Inhaltsverzeichnis

    1. Microsoft QR-Code-Phishing-Kampagnen stammen aus E-Mails, wie Netskope bestätigt.
    2. QR-Code-Phishing-Kampagnen haben Cloudflare Turnstile genutzt, um nicht erkannt zu werden.
    3. ‘Dies ist nicht das erste Mal’: Microsoft Sway hat eine Geschichte von Phishing-Angriffen.
    4. QR-Codes' bildbasierte Natur wird ausgenutzt, um Phishing-Kampagnen zu starten.
    5. Unternehmen müssen ihre Sicherheitsrichtlinien überprüfen und die Cybersicherheit verstärken.

Microsoft QR-Code-Phishing-Kampagnen stammen aus E-Mails, Neskope bestätigt

Microsoft QR code phishing

Forscher fanden heraus, dass E-Mails, die an Sway-Benutzer gesendet wurden, auf Phishing-Landingpages umgeleitet wurden, die auf dem Microsoft Azure-Portal gehostet wurden.sway.cloud.microsoftDomain. Diese Phishing-Seiten zeigten eine gefälschte Login-Seite, die Benutzer dazu verleitete, ihre Anmeldedaten preiszugeben.QR-Code-Betrug, die Benutzer dazu ermutigten, sie zu scannen, um sie zu anderen bösartigen Webseiten zu führen.

Da die URL in einem Bild eingebettet ist, können E-Mail-Scanner, die nur textbasierte Inhalte scannen können, umgangen werden. Darüber hinaus kann ein Benutzer, der einen QR-Code erhält, ein anderes Gerät wie sein Mobiltelefon verwenden, um den Code zu scannen.Netskope-Forscher beobachteten.

Benutzer dazu auffordern, ihre Mobiltelefone zu scannen, um diese QR-Codes zu verwenden, ist eine gängige Betrugsmasche, da die meisten Telefone über schwächere Sicherheitsmaßnahmen verfügen.

Bösartige Akteure dürften Sicherheitskontrollen gegen Phishing auf Smartphones wahrscheinlich umgehen, da diese oft nicht mit Antivirensoftware oder Endpoint Detection and Response-Lösungen ausgestattet sind, die normalerweise nur auf PCs vorhanden sind.

Da die Sicherheitsmaßnahmen, die auf mobilen Geräten implementiert sind, insbesondere persönlichen Mobiltelefonen, in der Regel nicht so streng sind wie bei Laptops und Desktop-Computern, sind Opfer oft anfälliger für Missbrauch.Forscher hinzugefügt.

QR-Code-Phishing-Kampagnen nutzten Cloudflare Turnstile aus, um einer Entdeckung zu entgehen.

QR code quishing

Was diese Phishing-Kampagnen deutlich effektiver macht, ist die Verwendung von vertrauenswürdiger Web-Software, um glaubwürdiger zu erscheinen und die Erkennung ihrer betrügerischen Taktiken zu vermeiden.

Forscher bestätigten, dass diese Betrüger Cloudflare Turnstile nutzten, um ihre Landing Pages vor statischen URL-Scannern und Webfilterdiensten zu verbergen. Es half den Betrügern, einen guten Ruf aufrechtzuerhalten und sie selbst für Tools, die Websites vor Bots schützen sollen, unsichtbar zu machen.

Cyberangreifer nutzten auch transparentes Phishing, bei dem Adversary-in-the-Middle-Angriffe eingesetzt werden. Diese Betrugstaktik stahl sensiblen Daten, indem sie sich als vertrauenswürdige Quelle ausgab.Mehr-Faktor-AuthentifizierungDie Codes über eine ähnlich aussehende Seite eingeben, während gleichzeitig in das legitime Microsoft-Konto des Opfers eingeloggt wird.

Durch die Taktik der angemeldeten Microsoft-Konten ließen die Benutzer glauben, dass sie auf eine legitime Website zugreifen, was ihr Vertrauen gewann und ihren Schutz senkte.

Durch die Verwendung von legitimen Cloud-Anwendungen geben Angreifer den Opfern Glaubwürdigkeit und helfen ihnen, dem von ihnen bereitgestellten Inhalt zu vertrauen.

Zusätzlich verwendet ein Opfer sein Microsoft 365-Konto, in das es bereits eingeloggt ist, wenn es eine Sway-Seite öffnet, was dazu beitragen kann, es von der Legitimität zu überzeugen.Netskope-Forscher stellten fest.

‘Dies ist nicht das erste Mal’: Microsoft Sway hat eine Historie von Phishing-Angriffen.

Im April 2020 führten bösartige Akteure eine ähnliche Phishing-Kampagne namens PerSwaysion durch, die auf Office 365-Anmeldedaten abzielte und dabei ein Phishing-Kit verwendete, das in einem Malware-as-a-Service (MaaS)-Betrieb enthalten war.

Gruppen-IB-Sicherheitsforscher entdeckten, dass die Kampagne Microsoft Sway nutzte, um leitende Beamte und Direktoren kleiner bis mittelgroßer Finanzdienstleistungsunternehmen, Anwaltskanzleien und Immobiliengruppen ins Visier zu nehmen.

Über 156 Zugangsdaten wurden durch den Kompromittieren ihrer Unternehmens-E-Mails abgegriffen. Mindestens 20 dieser Phishing-Konten gehören leitenden Angestellten verschiedener Unternehmen in den USA, Kanada, Deutschland, Hongkong, Singapur, den Niederlanden und dem Vereinigten Königreich.

Beweise deuten darauf hin, dass Betrüger wahrscheinlich LinkedIn-Profile verwenden, um potenzielle Opferpositionen zu bewerten.

Eine solche Taktik reduziert die Möglichkeit einer frühzeitigen Warnung durch die aktuellen Kollegen des Opfers und erhöht die Erfolgsquote eines neuen Phishing-Zyklus.Group-IB Forscher sagten.

QR-Codes werden aufgrund ihrer bildbasierten Natur ausgenutzt, um Phishing-Kampagnen zu starten.

Fake QR code campaigns

Die Verbesserung von Cybersicherheitsmaßnahmen und Gegenmaßnahmen bleibt eine der Hauptaufgaben von Technologieunternehmen wie Microsoft und Software-as-a-Service-Organisationen, die eine Vielzahl von Diensten anbieten.Kostenloser QR-Code-Generatoronline.

Inmitten der Entwicklung strengerer Cybersicherheitsmaßnahmen verstärken jedoch auch bösartige Akteure ihre Phishing-Kampagnen und Gegenmaßnahmen. Sie werden intelligenter, indem sie die Lücken in legitimen Cybersicherheits-Apps gegen sie selbst nutzen.

Wie durch diese Phishing-Angriffe auf Sway gezeigt, liegt die Schwachstelle bei bildbasierten Bedrohungen wie QR-Codes. Die meisten E-Mail-Scanner waren nur darauf kalibriert, textbasierte Inhalte zu scannen, nicht aber URLs innerhalb von Bildern.

Die Verwendung von QR-Codes, um Opfer auf Phishing-Websites umzuleiten, stellt einige Herausforderungen für Verteidiger dar.

Da die URL in einem Bild eingebettet ist, können E-Mail-Scanner, die nur textbasierte Inhalte scannen können, umgangen werden.Netskope erwiderte.

Unternehmen müssen ihre Sicherheitsrichtlinien überarbeiten und die Cybersicherheit verstärken.

Die Fortschritte bei Phishing-Kampagnen signalisieren Organisationen, ihre Cybersicherheitsrichtlinien für die Überwachung und Filterung von Web- und Cloud-Traffic zu überprüfen. Bessere Richtlinien bedeuten weniger Chancen, dass Mitarbeiter auf bösartige Websites zugreifen.

Gleichzeitig wird empfohlen, dass einzelne Benutzer die URLs überprüfen, bevor sie darauf klicken. Noch besser ist es, die Webseite direkt in die Adressleiste des Browsers einzugeben, um nicht auf QR-Code-Phishing-Betrug hereinzufallen.

QR-Code-basiertes Phishing ist in letzter Zeit zu einem großen Problem geworden und scheint unwahrscheinlich, dass es abnehmen wird. Kürzlich hat die Cofense-Plattform eine signifikante Zunahme von QR-Code-basierten Phishing-Angriffen festgestellt.Forschungen ergaben eine Steigerung von 331% bei QR-Code-basierten Bedrohungen.Berichte, "Beiträge und Analysen"Max Gannon von Cofense sagte.

Der Missbrauch von Microsoft Sway in dieser Kampagne unterstreicht weiterhin, dass Bedrohungsakteure eine bereits vorhandene, einfache Möglichkeit haben, viele automatisierte Sicherheitskontrollen zu umgehen - einfach einen vertrauenswürdigen Sharing-Dienst missbrauchen.Gannon hinzugefügt.