Το phishing με QR Code της Microsoft στοχεύει στα διαπιστευτήρια του χρήστη: Ειδικοί

By: Fatima P.Last updated:October 04, 2024

Ειδικοί στην κυβερνοασφάλεια ανακάλυψαν μια νέα καμπάνια ψαρέματος με QR κώδικα, γνωστή και ως "Φισινγκ με QR κώδικα".quishing"χρησιμοποιεί το Microsoft Sway για να φιλοξενήσει ψεύτικες σελίδες προσγείωσης και να κλέψει διαπιστευτήρια, κωδικούς πολλαπλής παράγοντας επαλήθευσης (MFA) και cookies.

Το Sway είναι μια δωρεάν εφαρμογή ψηφιακής αφήγησης βασισμένη στο cloud, που κυκλοφόρησε το 2015 ως μέρος της οικογένειας προϊόντων της Microsoft 365. Επιτρέπει στους χρήστες να δημιουργούν και να μοιράζονται διαδραστικά σχέδια για αναφορές, προσωπικές ιστορίες, παρουσιάσεις, έγγραφα και άλλα.

Το Netskope Threat Labs, μια εταιρεία κυβερνοασφάλειας, κατέγραψε για πρώτη φορά την απάτη quishing τον Ιούλιο του 2024. Η εταιρεία ανιχνεύσει μια 2.000-φορές αύξηση σε επιθέσεις κυβερνοεπιθέσεων στο Sway, χρησιμοποιώντας μια σειρά τακτικών για να παρακάμψουν τις λύσεις κυβερνοασφάλειας της Microsoft.

Αυτές οι επιθέσεις κυβερνοεπίθεσης στοχεύουν κυρίως στον τομέα της τεχνολογίας, της κατασκευής και των οικονομικών βιομηχανιών, ειδικά σε όλη την Ασία και τη Βόρεια Αμερική.

Πίνακας περιεχομένων

    1. Οι καμπάνιες ψαρέματος με QR κώδικα της Microsoft προήλθαν από emails, επιβεβαιώνει η Neskope.
    2. Οι καμπάνιες ψαρέματος με QR κώδικα εκμεταλλεύτηκαν το Cloudflare Turnstile για να αποφεύγουν την ανίχνευση.
    3. Αυτή δεν είναι η πρώτη φορά: Το Microsoft Sway έχει ιστορικό επιθέσεων phishing.
    4. Η εικονική φύση των κωδικών QR εκμεταλλεύεται για να ξεκινήσει καμπάνιες ψαρέματος.
    5. Οι εταιρείες χρειάζεται να επανεξετάσουν τις πολιτικές ασφαλείας τους και να εντείνουν την κυβερνοασφάλεια.

Οι καμπάνιες ψαρέματος με QR κώδικα της Microsoft προήλθαν από emails, επιβεβαιώνει η Neskope.

Microsoft QR code phishing

Οι ερευνητές ανακάλυψαν ότι τα emails που στάλθηκαν σε χρήστες του Sway ανακατευθύνονταν σε σελίδες phishing που φιλοξενούνταν στο domain "squirrelbusiness.co.uk."sway.cloud.microsoftdomain. Αυτές οι σελίδες phishing έδειξαν μια διαφορά καθαρότητας κατά την επίθεση.Απάτη με κωδικό QR, τα οποία ενθαρρύνονταν οι χρήστες να σκανάρουν για να τους οδηγήσουν σε άλλες κακόβουλες ιστοσελίδες.

Εφόσον η διεύθυνση URL ενσωματώνεται μέσα σε μια εικόνα, οι σαρωτές ηλεκτρονικού ταχυδρομείου που μπορούν να σαρώσουν μόνο περιεχόμενο βασισμένο σε κείμενο μπορεί να παρακαμφθούν. Επιπλέον, όταν ένας χρήστης λαμβάνει έναν κωδικό QR, μπορεί να χρησιμοποιήσει ένα άλλο συσκευή, όπως το κινητό του τηλέφωνο, για να σαρώσει τον κωδικό.Οι ερευνητές της Netskope παρατήρησαν.

Το να προτρέπουν οι χρήστες να χρησιμοποιήσουν τα κινητά τους τηλέφωνα για να σκανάρουν αυτούς τους κωδικούς QR είναι μια συνηθισμένη στρατηγική απάτης, καθώς τα περισσότερα τηλέφωνα έχουν ασθενέστερα μέτρα ασφαλείας.

Οι κακόβουλοι δράστες είναι πιθανό να παρακάμψουν τους ελέγχους ασφαλείας κατά του phishing σε smartphones, καθώς συχνά δεν είναι εξοπλισμένοι με λογισμικό αντιιών ή λύσεις Ανίχνευσης και Αντίδρασης σε Τερματικά, τα οποία συνήθως υπάρχουν μόνο σε Η/Υ.

Δεδομένου ότι οι μέτρα ασφαλείας που εφαρμόζονται στις κινητές συσκευές, κυρίως στα προσωπικά κινητά τηλέφωνα, συνήθως δεν είναι τόσο αυστηρά όσο στα φορητά υπολογιστές και στα desktop, οι θύματα είναι συχνά πιο ευάλωτα στην κακοποίηση."ερευνητές πρόσθεσαν

Οι καμπάνιες αλιείας QR κώδικα εκμεταλλεύτηκαν τη λειτουργία Turnstile του Cloudflare για να αποφευχθεί η ανίχνευση.

QR code quishing

Αυτό που κάνει αυτές τις καμπάνιες quishing πολύ πιο αποτελεσματικές είναι η χρήση αξιόπιστου λογισμικού ιστού για να φαίνονται πιο αξιόπιστες και να αποφεύγουν την ανίχνευση των τακτικών απάτης τους.

Οι ερευνητές επιβεβαίωσαν ότι αυτοί οι απατεώνες χρησιμοποίησαν το Cloudflare Turnstile για να κρύψουν τις σελίδες προορισμού τους από σαρωτές στατικών διευθύνσεων URL και υπηρεσίες φιλτραρίσματος ιστοσελίδων. Αυτό βοήθησε τους απατεώνες να διατηρήσουν μια καλή φήμη, καθιστώντας τους ανεντοπίστους ακόμα και από εργαλεία που προορίζονται να προστατεύουν ιστοσελίδες από ρομπότ.

Οι κυβερνοεπιτιθέμενοι χρησιμοποίησαν επίσης διαφανή αλιεία φούσκας, η οποία εφαρμόζει επιθέσεις αντιπάλου-στο-μέσο. Αυτή η τακτική απάτης έκλεψε ευαίσθητες πληροφορίες.Πολλαπλής παράγοντες ταυτοποίησηΚωδικούς μέσω μιας σελίδας που μοιάζει παρόμοια, ταυτόχρονα συνδέοντας στον νόμιμο λογαριασμό Microsoft του θύματος.

Χρησιμοποιώντας την τακτική των συνδεδεμένων λογαριασμών Microsoft, οι χρήστες πίστευαν ότι είχαν πρόσβαση σε μια νόμιμη ιστοσελίδα, αποκτώντας έτσι την εμπιστοσύνη τους και χαμηλώνοντας τη φρουρά τους στη διαδικασία.

Χρησιμοποιώντας νόμιμες εφαρμογές στο cloud, οι επιτιθέμενοι παρέχουν αξιοπιστία στα θύματα, βοηθώντας τα να εμπιστευτούν το περιεχόμενο που παρέχει.

Επιπλέον, ένα θύμα χρησιμοποιεί το λογαριασμό του Microsoft 365 στον οποίο έχει ήδη συνδεθεί όταν ανοίγει μια σελίδα Sway, κάτι που μπορεί να τον πείσει για την αυθεντικότητά της.Οι ερευνητές της Netskope παρατήρησαν.

«Αυτή δεν είναι η πρώτη φορά»: Το Microsoft Sway έχει ιστορικό επιθέσεων phishing.

Τον Απρίλιο του 2020, κακόβουλοι δράστες πραγματοποίησαν μια παρόμοια καμπάνια ψαρέματος που ονομαζόταν PerSwaysion, στοχεύοντας στα διαπιστευτήρια σύνδεσης του Office 365 χρησιμοποιώντας ένα κιτ ψαρέματος που περιλαμβάνεται σε μια λειτουργία κακόβουλου λογισμικού ως υπηρεσία (MaaS).

Οι ερευνητές ασφάλειας της Group-IB ανέκαλυψαν ότι η εκστρατεία χρησιμοποίησε το Microsoft Sway για να στοχεύσει υψηλόβαθμους αξιωματούχους και διευθυντές μικρών έως μεσαίων εταιρειών χρηματοοικονομικών υπηρεσιών, γραφείων νομικών και ομίλων ακινήτων.

Πάνω από 156 διαπιστευτήρια συλλέχθηκαν με την παραβίαση των εταιρικών τους emails. Τουλάχιστον 20 από αυτούς τους ψευδώς καταστραφέντες λογαριασμούς ανήκουν σε εκτελεστικά στελέχη διαφόρων εταιρειών στις ΗΠΑ, τον Καναδά, τη Γερμανία, το Χονγκ Κονγκ, τη Σιγκαπούρη, τις Κάτω Χώρες και το Ηνωμένο Βασίλειο.

Τα στοιχεία υποδηλώνουν ότι οι απατεώνες πιθανότατα χρησιμοποιούν προφίλ LinkedIn για να αξιολογήσουν τις θέσεις πιθανών θυμάτων.

Μια τέτοια τακτική μειώνει τη δυνατότητα έγκαιρης προειδοποίησης από τους συναδέλφους του τρέχοντος θύματος και αυξάνει το ποσοστό επιτυχίας του νέου κύκλου φισινγκ.Οι ερευνητές της Group-IB είπαν.

Η εικόνα των QR κωδικών εκμεταλλεύεται για την εκκίνηση καμπανιών ψαρέματος.

Fake QR code campaigns

Η βελτίωση των μέτρων κυβερνοασφάλειας και αντιμετρήσεων παραμένει μία από τις κύριες αποστολές των τεχνολογικών εταιρειών όπως η Microsoft και των οργανισμών λογισμικού ως υπηρεσίας που προσφέρουν λύσεις στον τομέα της κυβέρνησης και ασφάλειας.Δωρεάν δημιουργός κωδικών QRonline. online.

Σε μέσο ανάπτυξης πιο αυστηρών μέτρων κυβερνοασφάλειας, ωστόσο, κακόβουλοι χρήστες ενισχύουν επίσης τις εκστρατείες τους quishing και αντιμέτρων. Γίνονται πιο έξυπνοι χρησιμοποιώντας τα κενά στις νόμιμες εφαρμογές κυβερνοασφάλειας εναντίον τους.

Όπως αποδεικνύεται από αυτές τις απάτες phishing στο Sway, η ευπάθεια βρίσκεται σε απειλές βασισμένες σε εικόνες, όπως τα QR codes. Οι περισσότεροι σαρωτές email ήταν μόνο βαθμονομημένοι για να σαρώνουν περιεχόμενο βασισμένο σε κείμενο, όχι URLs μέσα σε εικόνες.

Η χρήση των κωδικών QR για την ανακατεύθυνση θυμάτων σε ιστότοπους phishing αντιμετωπίζει μερικές προκλήσεις για τους υπερασπιστές.

Καθώς η διεύθυνση URL είναι ενσωματωμένη μέσα σε μια εικόνα, οι σαρωτές ηλεκτρονικού ταχυδρομείου που μπορούν να σαρώσουν μόνο περιεχόμενο βασισμένο σε κείμενο μπορεί να παρακαμφθούν.Το Netskope αντέδρασε.

Οι εταιρείες πρέπει να επανεξετάσουν τις πολιτικές ασφαλείας τους και να ενισχύσουν την κυβερνοασφάλεια.

Η προαγωγή των καμπανιών phishing σημαίνει στις οργανώσεις να εξετάσουν τις πολιτικές κυβερνοασφάλειας τους σχετικά με τον έλεγχο και το φιλτράρισμα της κίνησης στον ιστό και τον νέφος. Καλύτερες πολιτικές σημαίνουν λιγότερες πιθανότητες οι υπάλληλοι να έχουν πρόσβαση σε κακόβουλες ιστοσελίδες.

Ταυτόχρονα, συνιστάται στους μεμονωμένους χρήστες να ελέγχουν τις διευθύνσεις URL πριν κάνουν κλικ. Καλύτερα ακόμα, πληκτρολογήστε την ιστοσελίδα απευθείας στη γραμμή διεύθυνσης του προγράμματος περιήγησης για να αποφύγετε την πέφτμαση θύμα QR κωδικών απάτης.

Η απάτη βασισμένη σε κωδικούς QR έχει γίνει πρόσφατα ένα μεγάλο πρόβλημα και φαίνεται απίθανο να μειωθεί. Πρόσφατα, η έκθεση της Cofense ανακάλυψε ότι τα κεντρικά κομμάτια ήταν στην Κίνα, την Ταϊβάν και τη Βιετνάμ."Η έρευνα ανέδειξε αύξηση κατά 331% στον κίνδυνο από ενεργές απειλές μέσω κώδικων QR.Αναφορές"Ο Max Gannon από την Cofense είπε.

Η κατάχρηση του Microsoft Sway σε αυτή την καμπάνια υπογραμμίζει επιπλέον το γεγονός ότι οι δράστες απειλών έχουν έτοιμο τρόπο να παρακάμψουν πολλούς αυτοματοποιημένους ελέγχους ασφαλείας - απλά καταχρώνται ένα αξιόπιστο υπηρεσία κοινής χρήσης.Ο Gannon πρόσθεσε.