マイクロソフトのQRコードフィッシングは、ユーザーの認証情報を狙っています。専門家によると
サイバーセキュリティ専門家は、新しいQRコードのフィッシングキャンペーン、またはQRコードスキャムとしても知られているものを発見しました。クィッシングMicrosoft Swayを悪用して偽の着陸ページをホストし、資格情報、多要素認証(MFA)コード、およびクッキーを盗む。
Swayは、2015年にMicrosoft 365製品ファミリーの一部としてローンチされた無料のクラウドベースのデジタルストーリーテリングアプリです。ユーザーは、レポート、個人のストーリー、プレゼンテーション、ドキュメントなどのインタラクティブなデザインを作成して共有することができます。
Netskope Threat Labsは、サイバーセキュリティ企業であり、quishing詐欺を2024年7月に初めて記録しました。同社は、Microsoftのサイバーセキュリティソリューションを迂回するための様々な戦術を使用して、Sway上でのサイバー攻撃キャンペーンが2,000倍増加したことを検出しました。
これらのサイバー攻撃は、主にアジアと北アメリカを中心に、主にテクノロジー、製造、金融業界を標的としていました。
目次
マイクロソフトのQRコード詐欺キャンペーンは、Netskopeが電子メールから発信されたことを確認しています。
研究者が発見したところによると、Swayユーザーに送信された電子メールは、フィッシングランディングページにリダイレクトされました。これらのランディングページは、Microsoft Azureを使用してホストされていました。sway.cloud.microsoftドメイン。これらのフィッシングページは、信頼できる金融機関のウェブサイトに偽装していました。QRコード詐欺、ユーザーが他の悪質なウェブページに誘導されるためにスキャンするように促された。
URL が画像に埋め込まれているため、テキストベースのコンテンツのみをスキャンできる電子メールスキャナーはバイパスされる可能性があります。さらに、ユーザーが QR コードを受信した場合、モバイルフォンなど別のデバイスを使用してコードをスキャンすることがあります。ネットスコープの研究者が観察した。
ユーザーにモバイル電話を使用してこれらのQRコードをスキャンするよう促すことは、ほとんどの電話が弱いセキュリティ対策を備えているため、一般的な詐欺の戦略です。
悪意のある行為者は、スマートフォン上のフィッシングに対するセキュリティコントロールをバイパスする可能性が高いです。なぜなら、スマートフォンには通常、アンチウイルスソフトウェアやエンドポイント検出および対応ソリューションが搭載されていないためです。これらは通常、PCにのみ存在します。
モバイルデバイスに実装されたセキュリティ対策は、特に個人の携帯電話においては、通常、ノートパソコンやデスクトップほど厳格ではないため、被害者はしばしばより虐待されやすい状況に置かれます。研究者が追加しました。
QRコード詐欺キャンペーンは、検出を回避するためにCloudflare Turnstileを利用しました。
これらのフィッシングキャンペーンをより効果的にするものは、信頼されたウェブソフトウェアの使用であり、より信頼性が高く、詐欺の手口を検出されにくくなっています。
研究者たちは、これらの詐欺師がCloudflare Turnstileを使用して、静的URLスキャナーやWebフィルタリングサービスからランディングページを隠していることを確認しました。これにより、詐欺師は良い評判を維持し、ウェブサイトをボットから保護するためのツールでさえ検出できなくなりました。
サイバー攻撃者はまた、中間者攻撃を利用する透明なフィッシングも利用しました。この詐欺手法により、機密情報が盗まれました。マルチファクタ認証似たような見た目のページを通じてコードを入力し、同時に被害者の正規のマイクロソフトアカウントにログインします。
ログインしたMicrosoftアカウントの戦術を使用して、ユーザーは正規のウェブサイトにアクセスしていると思い込ませ、信頼を得て警戒心を下げることができました。
正当なクラウドアプリケーションを使用することで、攻撃者は被害者に信頼性を提供し、提供されるコンテンツを信頼させます。
さらに、被害者はSwayページを開く際にすでにログインしているMicrosoft 365アカウントを使用することができ、その正当性について彼らを説得するのに役立つ可能性があります。ネツコープの研究者が指摘しました。
これは初めてではありません:Microsoft Swayにはフィッシング攻撃の記録があります。
2020年4月、悪意のある行為者はPerSwaysionと呼ばれる類似のフィッシングキャンペーンを実行し、Office 365のログイン資格情報を標的として、マルウェアサービス(MaaS)運用に含まれるフィッシングキットを使用しました。
Group-IBのセキュリティ研究者は、このキャンペーンがMicrosoft Swayを利用して、中小規模の金融サービス企業、法律事務所、および不動産グループの上級職員や取締役を標的にしていることを発見しました。
156以上の資格情報が、企業のメールを妥協することで収集されました。これらのフィッシングされたアカウントの少なくとも20件は、米国、カナダ、ドイツ、香港、シンガポール、オランダ、英国のさまざまな企業の重役に属しています。
証拠によると、詐欺師は潜在的な被害者の立場を評価するためにLinkedInプロファイルを使用する可能性が高いです。
そのような戦術は、現在の被害者の同僚からの早期警告の可能性を減少させ、新しいフィッシングサイクルの成功率を高めます。Group-IBの研究者は述べました。
QRコードの画像ベースの性質は、フィッシングキャンペーンを立ち上げるために悪用されています。
サイバーセキュリティ対策と対策の向上は、Microsoftなどのテクノロジー企業やソフトウェアサービスの組織が提供する主要なミッションの1つです。無料のQRコードジェネレータオンライン。
より厳格なサイバーセキュリティ対策の開発の中で、悪意のある行為者も彼らのフィッシングキャンペーンと対策を強化しています。彼らは、合法的なサイバーセキュリティアプリの隙間を利用して、自らに対して利用しています。
これらのSwayへのフィッシング攻撃で示されているように、脆弱性はQRコードなどの画像ベースの脅威にあります。ほとんどの電子メールスキャナーは、テキストベースのコンテンツをスキャンするだけであり、画像内のURLをスキャンすることはできませんでした。
QRコードを使用して被害者をフィッシングウェブサイトにリダイレクトすることは、防御側にいくつかの課題をもたらします。
画像内にURLが埋め込まれているため、テキストベースのコンテンツのみをスキャンできる電子メールスキャナーはバイパスされる可能性があります。ネットスコープは反論した。
企業はセキュリティポリシーを見直し、サイバーセキュリティを強化する必要があります。
フィッシングキャンペーンの進展は、組織にウェブおよびクラウドトラフィックのスキャンおよびフィルタリングに関するサイバーセキュリティポリシーを見直すよう促します。より良いポリシーは、従業員が悪意のあるウェブサイトにアクセスする可能性を減らすことを意味します。
同時に、個々のユーザーはクリックする前にURLを確認することをお勧めします。QRコードのフィッシング詐欺に引っかからないように、ウェブサイトをブラウザのアドレスバーに直接入力することがより安全です。
QRコードを利用したフィッシングは最近、大きな問題となっており、減少する可能性は低いようです。最近、Cofenseの報告によると、QRコードを使用したフィッシング攻撃が急増しています。調査によると、QRコードの有効脅威が331%増加したことが分かりました。レポート、"文章"、および "データ" 表示します。コフィーンスのマックス・ガノンは述べました。
このキャンペーンでのMicrosoft Swayの悪用は、脅威行為者が自動化されたセキュリティコントロールを回避するための簡単な方法を提供していることをさらに強調しています - 単に信頼された共有サービスを悪用するだけです。ガノンは追加しました。
