Microsoft QR-kod Phishing riktar sig mot användarreferenser: Experter

By: Fatima P.Last updated:October 04, 2024

Säkerhetsexperter inom cybersäkerhet har upptäckt en ny QR-kod-fiskkampanj, också känd som "QRLJacking".krossandesom utnyttjar Microsoft Sway för att hysa falska landningssidor och stjäla inloggningsuppgifter, flerfaktorsautentisering (MFA)-koder och kakor.

Sway är en kostnadsfri molnbaserad digital berättarapp som lanserades 2015 som en del av Microsoft 365-familjen av produkter. Det gör det möjligt för användare att skapa och dela interaktiva designer för rapporter, personliga berättelser, presentationer, dokument och mer.

Netskope Threat Labs, ett cybersäkerhetsföretag, registrerade först quishing-bedrägeriet i juli 2024. Företaget upptäckte en 2 000-faldig ökning av cyberattackskampanjer på Sway, med hjälp av en rad taktiker för att kringgå Microsofts cybersäkerhetslösningar.

Dessa vågor av cyberattacker riktades främst mot teknik, tillverkning och finansindustrin, särskilt i Asien och Nordamerika.

Innehållsförteckning

    1. Microsoft QR-kodfiskekampanjer härstammar från e-postmeddelanden, Neskope bekräftar.
    2. QR-kodsfiskekampanjer utnyttjade Cloudflare Turnstile för att undvika upptäckt.
    3. Det här är inte första gången: Microsoft Sway har en historia av phishingattacker.
    4. QR-koder används för att starta phishing-kampanjer tack vare deras bildbaserade natur.
    5. Företag behöver gå igenom sina säkerhetspolicyer och intensifiera sin cybersäkerhet.

Microsoft QR-kod phishing-kampanjer härstammar från e-postmeddelanden, Neskope bekräftar.

Microsoft QR code phishing

Forskare upptäckte att e-postmeddelanden som skickades till Sway-användare omdirigerades till phishing-landningssidor som var värdade på Microsofts egna domäner.sway.cloud.microsoftdomän. Dessa phishing-sidor visade en falsk inloggningssida som liknade den legitima webbplatsen för att lura användare att ange sina inloggningsuppgifter.QR-kodbedrägeri, som användarna uppmanades att skanna för att leda dem till andra skadliga webbsidor.

Eftersom URL:en är inbäddad i en bild kan e-postskannrar som endast kan skanna textbaserat innehåll kringgås. Dessutom kan en användare, när de fått en QR-kod skickad till sig, använda en annan enhet, som deras mobiltelefon, för att skanna koden.Netskope researchers observerade.

Uppmana användare att skanna dessa QR-koder med sina mobiltelefoner är en vanlig bedrägeristrategi, eftersom de flesta telefoner har svagare säkerhetsåtgärder.

Illvilliga aktörer har sannolikt möjlighet att kringgå säkerhetskontroller mot phishing på smartphones, eftersom de ofta inte är utrustade med antivirusprogram eller Endpoint Detection and Response-lösningar, som vanligtvis bara finns på datorer.

Eftersom säkerhetsåtgärderna som implementeras på mobila enheter, särskilt personliga mobiltelefoner, vanligtvis inte är lika stränga som på bärbara datorer och stationära datorer, är offren då ofta mer sårbara för missbruk.forskare tillagda.

QR-kod-fiskerikampanjer utnyttjade Cloudflare Turnstile för att undvika upptäckt.

QR code quishing

Vad som gör dessa phishing-kampanjer mycket effektiva är användningen av pålitlig webbprogramvara för att verka mer trovärdiga och undvika upptäckt av deras bedrägliga taktiker.

Forskare bekräftade att dessa bedragare använde Cloudflare Turnstile för att dölja sina landningssidor för statiska URL-skannrar och webbfiltertjänster. Det hjälpte bedragarna att behålla ett gott rykte och gjorde dem omärkbara även för verktyg avsedda att skydda webbplatser från botar.

Cyberattackers använde också transparent phishing, vilket innebär att man utnyttjar angripare-i-mitten-attacker. Denna bedrägeritaktik stal personuppgifter och känslig information från offren.Flervariabelautentiseringkoder genom en liknande sida samtidigt som de loggar in på offrets legitima Microsoft-konto.

Genom att använda taktiken med inloggade Microsoft-konton fick användarna att tro att de hade tillgång till en legitim webbplats, vilket ökade deras förtroende och sänkte deras vakt i processen.

Genom att använda legitima molnapplikationer ger angriparna trovärdighet åt offren, vilket hjälper dem att lita på det innehåll det levererar.

Dessutom använder en offer sitt Microsoft 365-konto som de redan är inloggade på när de öppnar en Sway-sida, vilket kan hjälpa övertyga dem om dess legitimitet.Netskope researchers noterade.

Det här är inte första gången: Microsoft Sway har en historia av phishing-attacker.

I april 2020 genomförde skadliga aktörer en liknande phishing-kampanj kallad PerSwaysion, riktad mot Office 365-inloggningsuppgifter med hjälp av en phishing-kit inkluderad i en malware-as-a-service (MaaS)-operation.

Group-IB:s säkerhetsforskare upptäckte att kampanjen utnyttjade Microsoft Sway för att rikta in sig på högt rankade officerare och direktörer inom små till medelstora finansiella tjänsteföretag, advokatfirmor och fastighetsgrupper.

Över 156 inloggningsuppgifter samlades in genom att kompromettera deras företagsmejl. Åtminstone 20 av dessa phishing-konton tillhör verkställande direktörer på olika företag i USA, Kanada, Tyskland, Hongkong, Singapore, Nederländerna och Storbritannien.

Bevis tyder på att bedragare troligtvis använder LinkedIn-profiler för att bedöma potentiella offerpositioner.

En sådan taktik minskar möjligheten till tidig varning från det nuvarande offrets kollegor och ökar framgångsgraden för nya phishing-cykler.Group-IB forskare sa.

QR-kodernas bildbaserade natur utnyttjas för att starta phishing-kampanjer.

Fake QR code campaigns

Förbättring av cybersäkerhetsåtgärder och motåtgärder förblir en av de primära uppdragen för teknikföretag som Microsoft och programvaru-tjänsteföretag som erbjuder molntjänster.gratis QR-kodgeneratoronline.

I takt med att det utvecklas mer strikta cybersäkerhetsåtgärder, förstärker dock skadliga aktörer också sina fiskekampanjer och motåtgärder. De blir smartare genom att använda kryphål i legitima cybersäkerhetsappar mot dem själva.

Som demonstrerats av dessa phishingattacker på Sway, ligger sårbarheten i bildbaserade hot, som QR-koder. De flesta e-postskannrar var bara kalibrerade för att skanna textbaserat innehåll, inte URL:er inom bilder.

Att använda QR-koder för att omdirigera offer till phishing-webbplatser utgör vissa utmaningar för försvarare.

Eftersom URL:en är inbäddad inuti en bild kan e-postskannrar som bara kan skanna textbaserat innehåll kringgås.Netskope svarade.

Företag behöver revidera sina säkerhetspolicys och intensifiera cybersäkerhetsåtgärder.

Att främja phishing-kampanjer signalerar organisationer att granska sina cybersäkerhetspolicyer för skanning och filtrering av webb- och molntrafik. Bättre policys innebär färre chanser för anställda att komma åt skadliga webbplatser.

Samtidigt uppmanas enskilda användare att kontrollera webbadresser innan de klickar. Ännu bättre är att skriva webbplatsen direkt i webbläsarens adressfält för att undvika att bli lurad av QR-kodsfiskebedrägerier.

QR-kodsbaserad phishing har nyligen blivit ett stort problem och verkar osannolikt att minska. Nyligen har Cofenses senaste Phishing Report visat att QR-koden används alltmer i phishingattacker för att lura användare att klicka på skadliga länkar eller ge ut sina inloggningsuppgifter. Det är viktigt att vara medveten om denna typ av bedrägeri och att vara försiktig med QR-koder som skickas från okända källor."Forskning har visat en ökning med 331% av QR-koder som används i skadliga syften.rapporter, "Max Gannon från Cofense sa.

Missbruket av Microsoft Sway i denna kampanj understryker ytterligare att hotaktörer har en färdig, enkel väg att kringgå många automatiserade säkerhetskontroller - helt enkelt genom att missbruka en betrodd delningstjänst.Gannon tillade.