Phishing di Microsoft QR Code mira alle credenziali degli utenti: esperti
Esperti di sicurezza informatica hanno scoperto una nuova campagna di phishing tramite codice QR, conosciuta anche come "QRLjacking".quishingche sfrutta Microsoft Sway per ospitare pagine di destinazione fasulle e rubare credenziali, codici di autenticazione multi-fattore (MFA) e cookie.
Sway è un'applicazione gratuita basata su cloud per la narrazione digitale lanciata nel 2015 come parte della famiglia di prodotti Microsoft 365. Consente agli utenti di creare e condividere design interattivi per report, storie personali, presentazioni, documenti e altro ancora.
Netskope Threat Labs, una società di sicurezza informatica, ha registrato per la prima volta la truffa di phishing nel luglio 2024. L'azienda ha rilevato un aumento di 2.000 volte delle campagne di attacco informatico su Sway, utilizzando una serie di tattiche per eludere le soluzioni di sicurezza informatica di Microsoft.
Questi attacchi informatici hanno preso di mira principalmente settori tecnologici, manifatturieri e finanziari, in particolare in Asia e Nord America.
Indice
- Le campagne di phishing con codice QR di Microsoft sono originarie da email, conferma Neskope.
- Le campagne di phishing con QR code hanno approfittato di Cloudflare Turnstile per evitare di essere rilevate.
- 'Questa non è la prima volta': Microsoft Sway ha un record di attacchi di phishing.
- Natura basata sull'immagine dei codici QR viene sfruttata per lanciare campagne di phishing
- Le aziende devono rivedere le proprie politiche di sicurezza e intensificare le misure di cybersecurity.
Le campagne di phishing QR code di Microsoft sono originate da email, lo conferma Netskope.
I ricercatori hanno scoperto che le email inviate agli utenti di Sway venivano reindirizzate a pagine di phishing ospitate sul dominio sway.office.com.sway.cloud.microsoftdominio. Queste pagine di phishing mostravano una replica identica del sito web legittimo, ma in realtà erano progettate per rubare le credenziali degli utenti.Truffa del codice QR, che gli utenti sono stati incoraggiati a scannerizzare per condurli verso altre pagine web dannose.
Poiché l'URL è incorporato all'interno di un'immagine, gli scanner email che possono solo eseguire la scansione del contenuto basato su testo possono essere bypassati. Inoltre, quando a un utente viene inviato un codice QR, potrebbero utilizzare un altro dispositivo, come il loro telefono cellulare, per scannerizzare il codice.I ricercatori di Netskope hanno osservato.
Incitare gli utenti a utilizzare i loro telefoni cellulari per scannerizzare questi codici QR è una strategia comune di truffa, poiché la maggior parte dei telefoni ha misure di sicurezza più deboli.
Gli attori malevoli sono probabili di aggirare i controlli di sicurezza contro il phishing sui telefoni cellulari, poiché spesso non sono dotati di software antivirus o soluzioni di rilevamento e risposta Endpoint, che sono di solito presenti solo sui PC.
Dato che le misure di sicurezza implementate sui dispositivi mobili, in particolare i telefoni cellulari personali, di solito non sono così rigorose come quelli dei computer portatili e desktop, le vittime sono spesso più vulnerabili agli abusi.I ricercatori hanno aggiunto.
Le campagne di phishing con codice QR hanno approfittato di Cloudflare Turnstile per evitare la rilevazione.
Cosa rende queste campagne di phishing molto più efficaci è l'uso di software web affidabili per apparire più credibili ed evitare il rilevamento delle loro tattiche di truffa.
I ricercatori hanno confermato che questi truffatori hanno utilizzato Cloudflare Turnstile per nascondere le loro pagine di atterraggio dagli scanner di URL statici e dai servizi di filtraggio web. Ciò ha aiutato i truffatori a mantenere una buona reputazione, rendendoli indistinguibili persino agli strumenti destinati a proteggere i siti web dai bot.
I cyberattaccanti hanno anche sfruttato il phishing trasparente, che impiega attacchi di avversario-nel-mezzo. Questa tattica di frode ha rubato informazioni sensibili agli utenti.autenticazione multi-fattorecodici tramite una pagina simile mentre contemporaneamente accede all'account Microsoft legittimo della vittima.
Utilizzando la tattica degli account Microsoft con accesso effettuato, gli utenti pensavano di accedere a un sito web legittimo, acquisendo la loro fiducia e abbassando la guardia nel processo.
Utilizzando applicazioni cloud legittime, gli attaccanti forniscono credibilità alle vittime, aiutandole a fidarsi del contenuto che offre.
Inoltre, una vittima utilizza il proprio account Microsoft 365 su cui è già connessa quando apre una pagina Sway, il che può aiutarla a convincersi della sua legittimità.I ricercatori di Netskope hanno notato.
‘Questa non è la prima volta’: Microsoft Sway ha un precedente di attacchi di phishing.
Nell'aprile 2020, attori malintenzionati hanno condotto una campagna di phishing simile chiamata PerSwaysion, mirando alle credenziali di accesso di Office 365 utilizzando un kit di phishing incluso in un'operazione di malware come servizio (MaaS).
I ricercatori di sicurezza di Group-IB hanno scoperto che la campagna ha utilizzato Microsoft Sway per mirare a ufficiali e direttori di alto livello di piccole e medie aziende di servizi finanziari, studi legali e gruppi immobiliari.
Oltre 156 credenziali sono state raccolte compromettendo le loro email aziendali. Almeno 20 di questi account pescati appartengono a dirigenti di varie aziende negli Stati Uniti, in Canada, in Germania, ad Hong Kong, a Singapore, nei Paesi Bassi e nel Regno Unito.
Le prove indicano che i truffatori probabilmente utilizzano i profili LinkedIn per valutare le posizioni potenziali delle vittime.
Tale tattica riduce la possibilità di allarme precoce da parte dei colleghi attuali della vittima e aumenta il tasso di successo del nuovo ciclo di phishing.I ricercatori di Group-IB hanno detto.
La natura basata sull'immagine dei codici QR viene sfruttata per lanciare campagne di phishing
Migliorare le misure di sicurezza informatica e i contromisure rimane una delle missioni principali delle aziende tecnologiche come Microsoft e delle organizzazioni di software-as-a-service che offrono una vasta gamma di soluzioni per la sicurezza informatica.generatore di codici QR gratuitoonline.
In mezzo allo sviluppo di misure di sicurezza informatica più rigide, tuttavia, gli attori malintenzionati stanno rafforzando anche le proprie campagne di phishing e contromisure. Stanno diventando più intelligenti utilizzando le falle nelle app di sicurezza informatica legittime contro di esse.
Come dimostrato da questi attacchi di phishing su Sway, la vulnerabilità risiede nelle minacce basate su immagini, come i codici QR. La maggior parte degli scanner di posta elettronica erano calibrati solo per scansionare contenuti basati su testo, non gli URL all'interno delle immagini.
Utilizzare i codici QR per reindirizzare le vittime a siti di phishing pone alcune sfide ai difensori.
Poiché l'URL è incorporato all'interno di un'immagine, i scanner di email che possono solo scansionare contenuti basati su testo possono essere bypassati.Netskope rispose.
Le aziende devono rivedere le proprie politiche di sicurezza e intensificare le misure di sicurezza informatica.
Avanzare nelle campagne di phishing segnala alle organizzazioni di rivedere le loro politiche di sicurezza informatica sulla scansione e filtraggio del traffico web e cloud. Politiche migliori significano minori probabilità che i dipendenti accedano a siti Web dannosi.
Nel frattempo, si consiglia agli utenti individuali di controllare gli URL prima di fare clic. Meglio ancora, digitare direttamente il sito web nella barra degli indirizzi del browser per evitare di cadere nelle trappole delle truffe con codici QR.
Il phishing basato su codici QR è diventato di recente un grosso problema e sembra improbabile che diminuirà. Di recente, il report di Cofense sul phishing ha mostrato un aumento significativo dei tentativi di phishing basati su codici QR.La ricerca ha riscontrato un aumento del 331% nelle minacce attive dei codici QR.rapporti,"Max Gannon di Cofense ha detto.
L'abuso di Microsoft Sway in questa campagna sottolinea ulteriormente che gli attori minacciosi hanno a disposizione un modo semplice e già pronto per aggirare molti controlli di sicurezza automatizzati: basta abusare di un servizio di condivisione affidabile.Gannon ha aggiunto.