ไมโครซอฟท์ QR Code Phishing เป้าหมายคุณสมบัติผู้ใช้: ผู้เชี่ยวชาญ

By: Fatima P.Last updated:October 04, 2024

ผู้เชี่ยวชาญด้านความปลอดภัยในระบบคอมพิวเตอร์ได้ค้นพบแคมเปญการหลอกลวงด้วยรหัส QR ใหม่ ที่เรียกว่า "Phishing" ซึ่งเป็นการโจมตีทางอินเทอร์เน็ตที่ผู้ไม่ประสงค์ดีใช้เทคนิคการปลอบใจผู้ใช้เพื่อให้ไปส่งข้อมูลส่วนตัวหรือความลับให้กับผู้ไม่ประสงค์ดี ผ่านการสร้างรหัส QR ที่เท็จจริงเพื่อนำผู้ใช้ไปยังเว็บไซต์ที่ไม่ปลอดภัยหรือโปรแกรมที่เป็นอันตราย"quishing" --> "เคี้ยว"การใช้เครื่องมือ Microsoft Sway เพื่อโฮสต์หน้าเว็บปลอมและขโมยข้อมูลประจำตัว รหัสการตรวจสอบความถูกต้องหลายขั้นตอน (MFA) และคุกกี้

Sway เป็นแอปพลิเคชันการเล่าเรื่องดิจิตอลที่ใช้บริการในคลาวด์ฟรี ที่เปิดตัวในปี 2015 เป็นส่วนหนึ่งของครอบครัวผลิตภัณฑ์ Microsoft 365 ซึ่งช่วยให้ผู้ใช้สามารถสร้างและแชร์การออกแบบแบบอินเทอร์แอคทีฟสำหรับรายงาน เรื่องส่วนตัว การนำเสนอ เอกสาร และอื่น ๆ ได้

Netskope Threat Labs, บริษัทรักษาความปลอดภัยของเครือข่ายครั้งแรกบันทึกการหลอกลวงฉ้อโกงในกรกฎาคม 2024 บริษัทตรวจจับการเพิ่มขึ้นถึง 2,000 เท่าในการดำเนินการโจมตีไซเบอร์บน Sway โดยใช้กลยุทธ์หลายอย่างเพื่อหลีกเลี่ยงการแก้ปัญหาความปลอดภัยของ Microsoft

การโจมตีไซเบอร์มาจากทั้งหลายนี้เป้าหมายมากที่สุดในธุรกิจเทคโนโลยี การผลิต และการเงิน โดยเฉพาะในภูมิภาคเอเชียและอเมริกาเหนือ

สารบัญ

    1. แคมเปญการจ phishing ด้วยรหัส QR ของ Microsoft มาจากอีเมล ตามที่ Neskope ยืนยัน
    2. แคมเปญการล่อ QR code ใช้ประโยชน์จาก Cloudflare Turnstile เพื่อหลีกเลี่ยงการตรวจจับ
    3. นี่ไม่ใช่ครั้งแรก: Microsoft Sway มีประวัติการโจมตีฟิชชิง
    4. QR codes’ image-based nature is exploited to launch phishing campaigns.
    5. บริษัทต้องตรวจสอบนโยบายด้านความปลอดภัยของตนและเสริมความสามารถในด้านความปลอดภัยของคอมพิวเตอร์

แคมเปญการล่อใช้ QR code ของ Microsoft มาจากอีเมล ที่ Neskope ยืนยัน

Microsoft QR code phishing

นักวิจัยค้นพบว่าอีเมลที่ส่งถึงผู้ใช้ Sway ถูกเปลี่ยนเส้นทางไปยังหน้าเว็บ phishing ที่อยู่บนเซิร์ฟเวอร์ของผู้ไม่ประสงค์ดีsway.cloud.microsoftโดเมน หน้าเว็บที่ใช้ในการลอกเลียนแบบข้อมูลล็อกอินของผู้ใช้ต่อเนื่องขึ้นอย่างรวดเร็วในช่วงเวลาไม่กี่ชั่วโมงแรกของการโจมตี.โกงรหัส QR, ซึ่งผู้ใช้ถูกกระตุ้นให้สแกนเพื่อนำพาพวกเขาไปยังหน้าเว็บที่เป็นอันตรายอื่น ๆ

เนื่องจาก URL ถูกฝังอยู่ภายในภาพ โปรแกรมสแกนอีเมลที่สามารถสแกนเนื้อหาที่เป็นข้อความเท่านั้นอาจถูกข้ามไปได้ นอกจากนี้ เมื่อผู้ใช้ได้รับรหัส QR พวกเขาอาจใช้อุปกรณ์อื่น เช่น โทรศัพท์มือถือของพวกเขาเพื่อสแกนรหัส"นักวิจัยของ Netskope พบว่า

การกระตุ้นผู้ใช้ให้ใช้โทรศัพท์มือถือสแกนรหัส QR เหล่านี้เป็นกลยุทธ์การหลอกลวงที่พบบ่อยเนื่องจากโทรศัพท์ส่วนใหญ่มักมีมาตรการความปลอดภัยที่อ่อนแอมาก

ผู้กระทำที่มีเจตนาร้ายมีโอกาสที่จะหลบเหนี่ยวอย่างมากจากการควบคุมความปลอดภัยต่อการโจมตีฟิชชิ่งบนสมาร์ทโฟนเนื่องจากพวกเขามักจะไม่มีซอฟต์แวร์ป้องกันไวรัสหรือโซลูชั่น Endpoint Detection and Response ที่มักจะปรากฏเฉพาะบนพีซีเท่านั้น

เนื่องจากมาตรการด้านความปลอดภัยที่นำมาใช้บนอุปกรณ์เคลื่อนที่โดยเฉพาะโทรศัพท์เซลล์ส่วนตัวมักจะไม่เข้มงวดเท่ากับแล็ปท็อปและเดสก์ท็อป ผู้เสียหายจึงมักจะเป็นเป้าหมายที่เสี่ยงต่อการถูกละเมิดบ่อยขึ้นนักวิจัยเพิ่มเติม

แคมเปญการจู่โจมด้วย QR code ใช้ Cloudflare Turnstile เพื่อหลบการตรวจจับ

QR code quishing

สิ่งที่ทำให้แคมเปญการโจมตีเหล่านี้มีประสิทธิภาพมากขึ้นคือการใช้ซอฟต์แวร์เว็บที่เชื่อถือได้เพื่อดูเหมือนเชื่อถือได้มากขึ้นและหลบการตรวจจับของเทคนิคการโกงของพวกเขา

นักวิจัยยืนยันว่าผู้ที่ทำการโกงนี้ใช้ Cloudflare Turnstile เพื่อซ่อนหน้าเว็บหลักของพวกเขาจากตัวสแกน URL แบบสถิตและบริการกรองเว็บ สิ่งนี้ช่วยให้ผู้โกงรักษาชื่อเสียงที่ดีโดยทำให้เขาโดนจับได้ยาก แม้ว่าด้วยเครื่องมือที่ตั้งใจที่จะป้องกันเว็บไซต์จากบอท

ผู้โจมตีทางไซเบอร์ยังใช้เทคนิคการโจมตีโดยการปลอมแฉลบ (transparent phishing) ซึ่งใช้การโจมตีของฝ่ายตรงข้ามในกระแสข้อมูล วิธีการหลอกลวงนี้ได้ความสำเร็จในการขโมยข้อมูลส่วนตัวของผู้ใช้ และบัญชีเงินฝาก อีกด้วยการตรวจสอบหลายปัจจัยโดยใช้หน้าเว็บที่มีลักษณะเหมือนกัน พร้อมกับเข้าสู่ระบบบัญชี Microsoft ที่ถูกต้องของเหยื่อในเวลาเดียวกัน

การใช้กลยุทธ์ของบัญชี Microsoft ที่เข้าสู่ระบบทำให้ผู้ใช้คิดว่าพวกเขากำลังเข้าถึงเว็บไซต์ที่ถูกต้อง ทำให้ได้รับความเชื่อใจและลดการป้องกันของพวกเขาในกระบวนการ

โดยใช้แอปพลิเคชันคลาวด์ที่ถูกต้อง, ผู้โจมตีจะให้ความเชื่อถือได้สูงกับเหยื่อ ช่วยให้เหยื่อเชื่อใจเนื้อหาที่มันให้บริการ

นอกเหนือจากนี้ เหยื่อใช้บัญชี Microsoft 365 ของตนที่พวกเขาเข้าสู่ระบบอยู่แล้วเมื่อเปิดหน้า Sway ซึ่งอาจช่วยให้พวกเขาเชื่อถือถูกต้องในทางเดียวกันนักวิจัยของ Netskope สังเกตว่า

‘นี่ไม่ใช่ครั้งแรก’: Microsoft Sway มีประวัติการโจมตีการจี้ปลอมแฉะ

ในเดือนเมษายน 2020 ผู้กระทำที่ไม่หวังดีดำเนินการแคมเปญการหลอกลวงที่คล้ายกันที่เรียกว่า PerSwaysion โดยเน้นการเปิดเผยข้อมูลการเข้าสู่ระบบ Office 365 โดยใช้ชุดเครื่องมือการหลอกลวงที่รวมอยู่ในการดำเนินการเช่าบริการมัลแวร์ (Malware-as-a-service, MaaS)

นักวิจัยด้านความปลอดภัยของ Group-IB พบว่าแคมเปญใช้ Microsoft Sway เพื่อเป้าหมายที่บรรลุตำแหน่งที่สูงของเจ้าหน้าที่และผู้อำนวยการของบริษัทบริการการเงินขนาดเล็กถึงกลาง บริษัทกฎหมาย และกลุ่มอสังหาริมทรัพย์

มีข้อมูลล็อกอินมากกว่า 156 รายการที่ถูกเก็บไว้ โดยการขโมยอีเมลบริษัทของพวกเขา อย่างน้อย 20 บัญชีที่ถูกเซี้ยวสำเร็จได้มาจากผู้บริหารของบริษัทต่างๆ ในสหรัฐอเมริกา แคนาดา เยอรมนี ฮ่องกง สิงคโปร์ นีเธอร์แลนด์ และสหราชอาณาจักร

ข้อมูลหลักฐานชี้ให้เห็นว่ามีโอกาสที่ผู้โกหกจะใช้โปรไฟล์ LinkedIn เพื่อประเมินตำแหน่งของเหยื่อที่เป็นไปได้ 

เช่นวิธีการดังกล่าวลดโอกาสในการเตือนภัยล่วงหน้าจากเพื่อนร่วมงานของเหยื่อปัจจุบันและเพิ่มโอกาสในการประสบความสำเร็จของไซคิลใหม่ในการโจมตีด้วยวิธีฟิชชิ่งใหม่นักวิจัยของ Group-IB กล่าวว่า

การใช้ QR โค้ดที่เป็นภาพถูกใช้เพื่อเริ่มแคมเปญการจ่องเสแสร็จี

Fake QR code campaigns

การปรับปรุงมาตรการด้านความปลอดภัยของระบบสารสนเทศและมาตรการป้องกันยังคงเป็นหนึ่งในภารกิจหลักของบริษัทเทคโนโลยี เช่นไมโครซอฟท์ และองค์กรบริการซอฟต์แวร์ที่ให้บริการผ่านอินเทอร์เน็ตสร้างรหัส QR ฟรีออนไลน์

ในขณะที่กำลังพัฒนามาตรการความมั่นคงปลอดภัยของระบบสารสนเทศเพิ่มเติม แต่นักเลงมีความทรงพลังในการดำเนินการโจมตีด้วยการโฆษณาและมาตรการป้องกันตนเอง พวกเขากำลังเรียนรู้และใช้ช่องโหว่ในแอปพลิเคชันความมั่นคงปลอดภัยที่ถูกต้องเพื่อใช้ก่อนตนเอง

ตามที่ได้สังเกตเห็นจากการโจมตีด้วยวิธีฟิชชิ่งบน Sway ความเสี่ยงตั้งอยู่ที่ภัยอันตรายที่มาจากภาพ เช่น โค้ด QR สแกนเนอร์อีเมลส่วนใหญ่ถูกปรับแต่งให้สแกนเนื้อหาที่เป็นข้อความเท่านั้น ไม่ใช่ URL ที่อยู่ในภาพ

การใช้รหัส QR เพื่อนำเสนอเข้าสู่เว็บไซต์การล้อข้อมูลทำให้ผู้ป้องกันเผชิญกับความท้าทายบางอย่าง

เนื่องจาก URL ถูกฝังอยู่ภายในรูปภาพ ตัวสแกนอีเมลที่สามารถสแกนเนื้อหาที่เป็นข้อความเท่านั้นอาจถูกข้ามไปได้Netskope ปฏิเสธ.

บริษัทจำเป็นต้องตรวจสอบนโยบายด้านความปลอดภัยของตนและเพิ่มความแข็งแกร่งของระบบความปลอดภัยทางไซเบอร์

การเร่งด่วนในการดำเนินการแคมเปญการโจมตีด้วยวิธีการหลอกลวง (phishing) สัญญาณให้องค์กรตรวจสอบนโยบายด้านความปลอดภัยของพวกเขาในการสแกนและกรองการจราจรบนเว็บและคลาวด์ นโยบายที่ดีขึ้นหมายถึงโอกาสที่น้อยลงของพนักงานที่เข้าถึงเว็บไซต์ที่เป็นอันตราย

ในเวลาเดียวกัน แนะนำให้ผู้ใช้รายบุคคลตรวจสอบ URL ก่อนที่จะคลิก อย่างดีที่สุดคือพิมพ์ชื่อเว็บไซต์โดยตรงลงในแถบที่อยู่ของเบราว์เซอร์เพื่อป้องกันการตกเป็นเหยื่อของการหลอกลวงด้วยรหัส QR ค่ะ

การล่อลวงโดยใช้รหัส QR ในขณะนี้เริ่มเป็นปัญหาใหญ่และดูเหมือนจะไม่ลดลง ในเร็ว ๆ นี้ รายงานจาก Cofense ได้รายงานว่าแอพพลิเคชั่นทั้งหมดที่เกี่ยวข้องกับการสแปมมีโอกาสเป็นอุปกรณ์ที่ใช้ในการล่อลวงผ่านทาง QR code มากที่สุด"การวิจัยพบว่ามีการเพิ่มขึ้น 331% ในการเสี่ยงที่เกิดขึ้นจาก QR code ที่ใช้งานอยู่รายงาน"Max Gannon จาก Cofense กล่าวว่า

การใช้งาน Microsoft Sway ในแคมเปญนี้ยิ่งเน้นให้เห็นว่าผู้โจมตีมีวิธีที่ง่ายและสามารถดำเนินการไปข้ามการควบคุมความปลอดภัยอัตโนมัติหลายอย่างได้โดยง่าย โดยการใช้บริการแบ่งปันที่เชื่อถือได้"Gannon บอกเพิ่มเติม