Microsoft QR-code phishing richt zich op gebruikersreferenties: experts

By: Fatima P.Last updated:October 04, 2024

Cybersecurity experts hebben een nieuwe QR-code phishingcampagne ontdekt, ook bekend als 'QRLJacking'.verpletterenDie misbruikt Microsoft Sway om valse landingspagina's te hosten en referenties, multi-factor authenticatie (MFA) codes en cookies te stelen.

Sway is een gratis op de cloud gebaseerde digitale verhalenvertel-app gelanceerd in 2015 als onderdeel van de Microsoft 365-familie van producten. Het stelt gebruikers in staat om interactieve ontwerpen te maken en te delen voor rapporten, persoonlijke verhalen, presentaties, documenten en meer.

Netskope Threat Labs, een cybersecuritybedrijf, heeft de quishing-zwendel voor het eerst geregistreerd in juli 2024. Het bedrijf detecteerde een 2.000-voudige toename in cyberaanvalcampagnes op Sway, waarbij een reeks tactieken werd gebruikt om de cybersecurityoplossingen van Microsoft te omzeilen.

Deze golven van cyberaanvallen richtten zich voornamelijk op de technologie-, productie- en financiële sectoren, met name in Azië en Noord-Amerika.

Inhoudsopgave

    1. Microsoft QR-code phishingcampagnes zijn afkomstig van e-mails, bevestigt Neskope.
    2. QR-code phishingcampagnes maakten gebruik van Cloudflare Turnstile om detectie te vermijden.
    3. ‘Dit is niet de eerste keer’: Microsoft Sway heeft een geschiedenis van phishingaanvallen.
    4. De beeldgebaseerde aard van QR-codes wordt uitgebuit om phishingcampagnes te starten.
    5. Bedrijven moeten hun beveiligingsbeleid herzien en de cybersecurity versterken.

Microsoft QR-code phishingcampagnes zijn afkomstig van e-mails, bevestigt Neskope.

Microsoft QR code phishing

Onderzoekers ontdekten dat e-mails die naar Sway-gebruikers werden gestuurd, werden omgeleid naar phishing-landingspagina's die werden gehost op het domain office.com.sway.cloud.microsoftdomein. Deze phishingpagina's toonden een valse inlogpagina die bedoeld was om de inloggegevens van gebruikers te stelen.QR-code oplichting, waar gebruikers werden aangemoedigd om te scannen om ze te leiden naar andere kwaadaardige webpagina's.

Aangezien de URL binnen een afbeelding is ingebed, kunnen e-mailscanners die alleen tekstgebaseerde inhoud kunnen scannen, worden omzeild. Bovendien kan een gebruiker, wanneer deze een QR-code ontvangt, een ander apparaat, zoals hun mobiele telefoon, gebruiken om de code te scannen.Netskope-onderzoekers hebben waargenomen.

Gebruikers aansporen om hun mobiele telefoons te gebruiken om deze QR-codes te scannen is een veelvoorkomende oplichtingsstrategie, aangezien de meeste telefoons zwakkere beveiligingsmaatregelen hebben.

Kwaadwillende actoren zullen waarschijnlijk beveiligingscontroles tegen phishing op smartphones omzeilen, omdat deze vaak niet zijn uitgerust met antivirussoftware of Endpoint Detection and Response-oplossingen, die meestal alleen aanwezig zijn op pc's.

Sinds de beveiligingsmaatregelen die zijn geïmplementeerd op mobiele apparaten, met name persoonlijke mobiele telefoons, over het algemeen niet zo streng zijn als die op laptops en desktops, zijn slachtoffers vaak kwetsbaarder voor misbruik.onderzoekers toegevoegd.

QR-code phishingcampagnes maakten gebruik van Cloudflare Turnstile om detectie te vermijden.

QR code quishing

Wat deze phishingcampagnes veel effectiever maakt, is het gebruik van vertrouwde websoftware om geloofwaardiger over te komen en detectie van hun oplichtingstactieken te ontwijken.

Onderzoekers hebben bevestigd dat deze oplichters Cloudflare Turnstile gebruikten om hun landingspagina's te verbergen voor statische URL-scanners en webfilteringdiensten. Het hielp oplichters om een goede reputatie te behouden, waardoor ze zelfs ondetecteerbaar waren voor tools die bedoeld zijn om websites te beschermen tegen bots.

Cyberaanvallers maakten ook gebruik van transparante phishing, waarbij ze aanvaller-in-het-midden-aanvallen uitvoeren. Deze oplichtingstactiek stal persoonlijke informatie van slachtoffers.Multi-factor authenticatiecodes via een vergelijkbare pagina terwijl ze tegelijkertijd inloggen op het legitieme Microsoft-account van het slachtoffer.

Door de tactiek van ingelogde Microsoft-accounts te gebruiken, dachten gebruikers dat ze toegang hadden tot een legitieme website, waardoor ze vertrouwen kregen en hun waakzaamheid verminderden in het proces.

Door legitieme cloudapplicaties te gebruiken, geven aanvallers geloofwaardigheid aan slachtoffers, waardoor ze het vertrouwen in de inhoud die het levert.

Bovendien gebruikt een slachtoffer hun Microsoft 365-account waar ze al zijn ingelogd wanneer ze een Sway-pagina openen, dat kan hen helpen overtuigen van de legitimiteit ervan.Onderzoekers van Netskope merkten op.

‘Dit is niet de eerste keer’: Microsoft Sway heeft een geschiedenis van phishingaanvallen.

In april 2020 voerden kwaadwillende actoren een vergelijkbare phishingcampagne genaamd PerSwaysion uit, gericht op Office 365 inlogreferenties met behulp van een phishingkit die was opgenomen in een malware-als-een-dienst (MaaS) operatie.

Groep-IB beveiligingsonderzoekers hebben ontdekt dat de campagne Microsoft Sway gebruikte om hooggeplaatste functionarissen en directeuren van kleine tot middelgrote financiële dienstverleners, advocatenkantoren en vastgoedgroepen te targeten.

Meer dan 156 referenties werden verzameld door het compromitteren van hun zakelijke e-mails. Ten minste 20 van deze geviste accounts behoren toe aan leidinggevenden bij verschillende bedrijven in de VS, Canada, Duitsland, Hong Kong, Singapore, Nederland en het VK.

Bewijs wijst erop dat oplichters waarschijnlijk LinkedIn-profielen zullen gebruiken om potentiële slachtofferposities te beoordelen.

Zo'n tactiek vermindert de kans op vroegtijdige waarschuwing van de collega's van het huidige slachtoffer en verhoogt het succespercentage van nieuwe phishing-cyclus.Onderzoekers van Group-IB zeiden.

De op afbeeldingen gebaseerde aard van QR-codes wordt gebruikt om phishingcampagnes te starten.

Fake QR code campaigns

Het verbeteren van cybersecuritymaatregelen en tegenmaatregelen blijft een van de belangrijkste missies van technologiebedrijven zoals Microsoft en software-as-a-service-organisaties die een reeks beveiligingsoplossingen aanbieden.Gratis QR-code generatoronline.

Te midden van het ontwikkelen van strengere cybersecuritymaatregelen versterken kwaadwillende actoren echter ook hun phishingscampagnes en tegenmaatregelen. Ze worden slimmer door de zwakke plekken in legitieme cybersecurity-apps tegen henzelf te gebruiken.

Zoals aangetoond door deze phishingaanvallen op Sway, ligt de kwetsbaarheid bij bedreigingen op basis van afbeeldingen, zoals QR-codes. De meeste e-mailscanners waren alleen gekalibreerd om tekstgebaseerde inhoud te scannen, niet om URL's binnen afbeeldingen te controleren.

Het gebruik van QR-codes om slachtoffers door te sturen naar phishingwebsites brengt enkele uitdagingen met zich mee voor verdedigers.

Aangezien de URL is ingesloten in een afbeelding, kunnen e-mailscanners die alleen tekstgebaseerde inhoud kunnen scannen worden omzeild.Netskope kaatste terug.

Bedrijven moeten hun beveiligingsbeleid herzien en cybersecurity versterken.

Het voortzetten van phishingcampagnes geeft organisaties een signaal om hun cybersecuritybeleid voor het scannen en filteren van web- en cloudverkeer te herzien. Betere beleidsmaatregelen betekenen minder kans dat werknemers kwaadaardige websites benaderen.

Tegelijkertijd wordt individuele gebruikers geadviseerd om URL's te controleren voordat ze erop klikken. Nog beter is om de website direct in de adresbalk van de browser in te typen om te voorkomen dat je in phishing scams met QR-codes trapt.

QR-code-gebaseerde phishing is de laatste tijd een groot probleem geworden en lijkt onwaarschijnlijk af te nemen. Onlangs heeft Cofense's PhishMe-onderzoeksteam een nieuwe phishing-campagne ontdekt waarbij aanvallers QR-codes gebruiken om gebruikers naar valse websites te lokken en hun inloggegevens te stelen. Het is belangrijk om bewust te zijn van deze vorm van phishing en voorzichtig te zijn bij het scannen van QR-codes van onbekende bronnen."Onderzoek heeft een toename van 331% in QR-code actieve bedreigingen gevonden.rapporten,"Max Gannon van Cofense zei.

Het misbruik van Microsoft Sway in deze campagne benadrukt verder dat dreigingsactoren een kant-en-klare, eenvoudige manier hebben om veel geautomatiseerde beveiligingscontroles te omzeilen - gewoon misbruik maken van een vertrouwde deeldienst.Gannon voegde toe.