Le phishing par code QR de Microsoft vise les identifiants des utilisateurs : Experts

By: Fatima P.Last updated:October 04, 2024

Les experts en cybersécurité ont découvert une nouvelle campagne de phishing par code QR, également connue sous le nom de "QRLJacking".étouffantqui exploite Microsoft Sway pour héberger de fausses pages de destination et voler des identifiants, des codes d'authentification à plusieurs facteurs (MFA) et des cookies.

Sway est une application de narration numérique basée sur le cloud lancée en 2015 en tant que membre de la famille de produits Microsoft 365. Elle permet aux utilisateurs de créer et de partager des conceptions interactives pour des rapports, des histoires personnelles, des présentations, des documents, et plus encore.

Netskope Threat Labs, une entreprise de cybersécurité, a enregistré pour la première fois l'escroquerie au quishing en juillet 2024. L'entreprise a détecté une augmentation de 2000 fois des campagnes de cyberattaques sur Sway, utilisant une série de tactiques pour contourner les solutions de cybersécurité de Microsoft.

Ces barrages de cyberattaques ont principalement visé les secteurs de la technologie, de la fabrication et de la finance, en particulier en Asie et en Amérique du Nord.

Sommaire

    1. Les campagnes de phishing de codes QR de Microsoft ont été initiées à partir d'e-mails, Neskope le confirme.
    2. Les campagnes de phishing QR code ont profité de Cloudflare Turnstile pour éviter la détection.
    3. Ce n'est pas la première fois : Microsoft Sway a un historique d'attaques de phishing.
    4. La nature basée sur l'image des codes QR est exploitée pour lancer des campagnes de phishing
    5. Les entreprises doivent revoir leurs politiques de sécurité et intensifier la cybersécurité.

Les campagnes de phishing de codes QR de Microsoft ont été originaires d'e-mails, Neskope le confirme.

Microsoft QR code phishing

Les chercheurs ont découvert que les e-mails envoyés aux utilisateurs de Sway redirigeaient vers des pages d'atterrissage de phishing hébergées sur le domaine sway.office.com.Sway.cloud.microsoft.comdomaine. Ces pages de phishing ont montré une copie exacte du site Web authentique, trompant ainsi les utilisateurs pour qu'ils saisissent leurs informations de connexion.Arnaque au code QR, que les utilisateurs étaient encouragés à scanner pour les mener vers d'autres pages web malveillantes.

Étant donné que l'URL est intégrée à l'intérieur d'une image, les scanners d'e-mails qui ne peuvent scanner que le contenu basé sur du texte peuvent être contournés. De plus, lorsque qu'un utilisateur reçoit un code QR, il peut utiliser un autre appareil, tel que son téléphone portable, pour scanner le code.Les chercheurs de Netskope ont observé.

Inciter les utilisateurs à utiliser leur téléphone portable pour scanner ces codes QR est une stratégie courante de fraude, car la plupart des téléphones ont des mesures de sécurité plus faibles.

Les acteurs malveillants sont susceptibles de contourner les contrôles de sécurité contre le phishing sur les smartphones, car ils ne sont souvent pas équipés de logiciels antivirus ou de solutions de détection et de réponse Endpoint, qui sont généralement présentes uniquement sur les PC.

Étant donné que les mesures de sécurité mises en place sur les appareils mobiles, en particulier les téléphones cellulaires personnels, ne sont généralement pas aussi strictes que sur les ordinateurs portables et de bureau, les victimes sont alors souvent plus vulnérables aux abus.les chercheurs ont ajouté.

Les campagnes de phishing par code QR ont profité de Cloudflare Turnstile pour éviter la détection

QR code quishing

Ce qui rend ces campagnes de phishing beaucoup plus efficaces est l'utilisation de logiciels web fiables pour paraître plus crédibles et échapper à la détection de leurs tactiques d'escroquerie.

Les chercheurs ont confirmé que ces escrocs utilisaient Cloudflare Turnstile pour cacher leurs pages d'atterrissage aux scanners d'URL statiques et aux services de filtrage web. Cela a permis aux escrocs de maintenir une bonne réputation, les rendant indétectables même par des outils censés protéger les sites web contre les bots.

Les cyberattaquants ont également exploité le hameçonnage transparent, qui utilise des attaques adversaire-au-milieu. Cette tactique d'escroquerie a volé des informations sensibles et les a utilisées à des fins malveillantes.authentification multi-facteurcodes via une page qui ressemble à s'y méprendre à celle du victime tout en se connectant à son compte Microsoft légitime.

En utilisant la tactique des comptes Microsoft connectés, les utilisateurs pensaient accéder à un site légitime, ce qui renforçait leur confiance et abaissait leur garde dans le processus.

En utilisant des applications cloud légitimes, les attaquants donnent une crédibilité aux victimes, les aidant à faire confiance au contenu qu'elles offrent.

De plus, une victime utilise son compte Microsoft 365 auquel elle est déjà connectée lorsqu'elle ouvre une page Sway, ce qui peut l'aider à se convaincre de sa légitimité.Les chercheurs de Netskope ont noté.

Ce n'est pas la première fois: Microsoft Sway a un historique d'attaques de phishing.

En avril 2020, des acteurs malveillants ont mené une campagne de phishing similaire appelée PerSwaysion, ciblant les identifiants de connexion Office 365 à l'aide d'un kit de phishing inclus dans une opération de logiciel malveillant en tant que service (MaaS).

Les chercheurs en sécurité de Group-IB ont découvert que la campagne utilisait Microsoft Sway pour cibler les cadres supérieurs et les directeurs de petites et moyennes entreprises de services financiers, de cabinets d'avocats et de groupes immobiliers.

Plus de 156 identifiants ont été collectés en compromettant leurs e-mails professionnels. Au moins 20 de ces comptes d'hameçonnage appartiennent à des cadres de différentes entreprises aux États-Unis, au Canada, en Allemagne, à Hong Kong, à Singapour, aux Pays-Bas et au Royaume-Uni.

Les preuves indiquent que les escrocs sont susceptibles d'utiliser les profils LinkedIn pour évaluer les positions potentielles des victimes.

Une telle tactique réduit la possibilité d'un avertissement précoce de la part des collègues actuels de la victime et augmente le taux de réussite du nouveau cycle de phishing.Les chercheurs de Group-IB ont déclaré.

La nature basée sur l'image des codes QR est exploitée pour lancer des campagnes de phishing.

Fake QR code campaigns

L'amélioration des mesures de cybersécurité et des contre-mesures demeure l'une des missions principales des entreprises technologiques comme Microsoft et des organisations de logiciels en tant que service qui proposent une sécurité informatique avancée.Générateur de code QR gratuiten ligne.

Au milieu du renforcement des mesures de cybersécurité plus strictes, cependant, les acteurs malveillants renforcent également leurs campagnes de hameçonnage et leurs contre-mesures. Ils deviennent plus intelligents en exploitant les failles des applications légitimes de cybersécurité contre elles-mêmes.

Comme le démontrent ces attaques de phishing sur Sway, la vulnérabilité réside dans les menaces basées sur les images, telles que les codes QR. La plupart des scanners d'e-mails étaient uniquement calibrés pour analyser le contenu basé sur du texte, pas les URL dans les images.

L'utilisation de codes QR pour rediriger les victimes vers des sites de phishing pose quelques défis aux défenseurs.

Puisque l'URL est intégrée à l'intérieur d'une image, les scanners d'e-mails qui ne peuvent scanner que du contenu basé sur du texte peuvent être contournés.Netskope répliqua.

Les entreprises doivent revoir leurs politiques de sécurité et intensifier la cybersécurité.

Faire progresser les campagnes de hameçonnage signale aux organisations de revoir leurs politiques de cybersécurité en matière de numérisation et de filtrage du trafic web et cloud. De meilleures politiques signifient moins de chances pour les employés d'accéder à des sites Web malveillants.

En même temps, il est conseillé aux utilisateurs individuels de vérifier les URL avant de cliquer. Mieux encore, saisissez directement le site Web dans la barre d'adresse du navigateur pour éviter de tomber dans des arnaques de phishing par code QR.

La pêche aux informations basée sur les codes QR est récemment devenue un problème majeur et il semble peu probable que cela diminue. Récemment, le rapport de Cofense a mis en lumière une augmentation des attaques de phishing basées sur des codes QR, ce qui soulève des inquiétudes quant à la sécurité des utilisateurs en ligne.La recherche a révélé une augmentation de 331 % des menaces actives liées aux codes QR.rapports, "Max Gannon de Cofense a déclaré.

L'abus de Microsoft Sway dans cette campagne met en avant le fait que les acteurs de menace disposent d'un moyen facile et prêt à l'emploi pour contourner de nombreux contrôles de sécurité automatisés - il leur suffit d'abuser d'un service de partage de confiance.Gannon a ajouté.