Microsoft QR Kodu Dolandırıcılığı Kullanıcı Kimlik Bilgilerini Hedefliyor: Uzmanlar

Güvenlik uzmanları, QR kodu dolandırıcılığı olarak da bilinen yeni bir QR kodu dolandırıcılığı kampanyası keşfettiler."quishing," -> "ezme"Microsoft Sway'i kullanan sahte iniş sayfaları barındırmak ve kimlik bilgilerini, çoklu faktör kimlik doğrulama (MFA) kodlarını ve çerezleri çalmak için kullanılan bir saldırı.

Sway, 2015 yılında Microsoft 365 ürün ailesinin bir parçası olarak piyasaya sürülen ücretsiz bulut tabanlı dijital anlatım uygulamasıdır. Kullanıcılara raporlar, kişisel hikayeler, sunumlar, belgeler ve daha fazlası için etkileşimli tasarımlar oluşturma ve paylaşma imkanı sunar.

Netskope Tehdit Laboratuvarları, bir siber güvenlik firması, quishing dolandırıcılığını ilk kez Temmuz 2024'te kaydetti. Şirket, Microsoft'un siber güvenlik çözümlerini atlatmak için çeşitli taktikler kullanan Sway üzerindeki siber saldırı kampanyalarında 2.000 kat artış tespit etti.

Bu siber saldırılar genellikle Asya ve Kuzey Amerika'da teknoloji, imalat ve finans endüstrilerini hedef aldı.

İçindekiler

1. Microsoft QR kodu dolandırıcılığı kampanyaları e-postalardan kaynaklandı, Neskope doğruladı.
2. QR kodu dolandırıcılık kampanyaları, algılanmaktan kaçınmak için Cloudflare Turnstile'dan faydalandı.
3. 'Bu ilk defa değil: Microsoft Sway'in bir phishing saldırıları geçmişi var'
4. QR kodlarının görüntü tabanlı yapısı, balık avı kampanyalarını başlatmak için kullanılmaktadır.
5. Şirketler, güvenlik politikalarını gözden geçirmeli ve siber güvenliği artırmalıdır.

Microsoft QR kodu dolandırıcılığı kampanyaları, Neskope tarafından doğrulandı.

Araştırmacılar, Sway kullanıcılarına gönderilen e-postaların, Microsoft'un bulut tabanlı sunum aracı olan Sway'e yönlendirilen phishing hedef sayfalarına yönlendirildiğini tespit etti.sway.cloud.microsoftAlan adı. Bu dolandırıcılık sayfaları, resmi bir kuruluşun sitesini taklit ederek kullanıcıları yanıltmaya çalıştı.QR kod dolandırıcılığı, kullanıcıların başka zararlı web sayfalarına yönlendirmek için tarayabilecekleri bir kare kod içeriyordu.

URL resmin içine gömülü olduğu için, yalnızca metin tabanlı içerik taraması yapabilen e-posta tarayıcıları atlanabilir. Ayrıca, bir kullanıcıya bir QR kodu gönderildiğinde, kullanıcı kodu tarayabilmek için başka bir cihaz, örneğin cep telefonunu kullanabilir.Netskope araştırmacıları gözlemledi.

Kullanıcıları bu QR kodları tarayarak mobil telefonlarını kullanmaya teşvik etmek yaygın bir dolandırıcılık stratejisidir, çünkü çoğu telefon daha zayıf güvenlik önlemleriyle birlikte gelir.

Kötü niyetli aktörler, genellikle antivirüs yazılımı veya Uç Nokta Algılama ve Yanıt çözümleri ile donatılmadıkları için akıllı telefonlarda balık avı karşı güvenlik kontrollerini atlamaya muhtemeldir, genellikle sadece bilgisayarlarda bulunan.

Mobil cihazlarda, özellikle kişisel cep telefonlarında uygulanan güvenlik önlemlerinin genellikle dizüstü bilgisayarlar ve masaüstü bilgisayarlar kadar sıkı olmadığı için, kurbanlar genellikle kötüye kullanıma daha açık hale gelir.araştırmacılar ekledi.

QR kodu dolandırıcılık kampanyaları, tespit edilmeden kaçınmak için Cloudflare Turnstile'dan faydalanmıştır.

Bu quishing kampanyalarını çok daha etkili hale getiren şey, daha inandırıcı görünmek ve dolandırıcılık taktiklerinin tespitinden kaçınmak için güvenilir web yazılımının kullanılmasıdır.

Araştırmacılar, bu dolandırıcıların statik URL tarayıcılarından ve web filtreleme hizmetlerinden gizlemek için Cloudflare Turnstile'ı kullandıklarını doğruladı. Bu, dolandırıcıların iyi bir itibar sürdürmelerine yardımcı oldu ve onları botlardan korumak için tasarlanmış araçlara bile algılanamaz hale getirdi.

Siber saldırganlar ayrıca düşman ortada saldırıları kullanan şeffaf dolandırıcılıkları da kullandı. Bu dolandırıcılık taktiği, kullanıcıların hassas bilgilerini çalma amaçlıydı.Çok faktörlü kimlik doğrulamaKurbanın meşru Microsoft hesabına aynı görünümlü bir sayfa üzerinden giriş yaparken kodları çalar.

Kullanıcıların, meşru bir web sitesine erişim sağladıklarını düşünmelerini sağlayarak, güvenlerini kazanıp savunma mekanizmalarını zayıflatan bir taktik olarak, oturum açmış Microsoft hesaplarını kullandı.

"Sahte bulut uygulamalarını kullanarak, saldırganlar kurbanlara inandırıcılık sağlar ve sunulan içeriğe güvenmelerine yardımcı olur."

Ayrıca, bir kurban, bir Sway sayfasını açtığında zaten oturum açtıkları Microsoft 365 hesaplarını kullanır, bu da onları meşruluğu konusunda ikna etmelerine yardımcı olabilir.Netskope araştırmacıları belirtti.

‘Bu ilk değil’: Microsoft Sway'in bir phishing saldırıları geçmişi var.

Nisan 2020'de, kötü niyetli aktörler, PerSwaysion adlı benzer bir dolandırıcılık kampanyasını gerçekleştirdiler ve bir malware hizmeti olarak dahil edilen bir phishing kit kullanarak Office 365 giriş kimlik bilgilerini hedef aldılar.

Group-IB güvenlik araştırmacıları, kampanyanın küçük ve orta ölçekli finansal hizmetler şirketlerinin, hukuk firmalarının ve emlak gruplarının üst düzey yöneticilerini hedeflemek için Microsoft Sway'i kullandığını keşfetti.

156 kimlik bilgisi, kurumsal e-postalarını ele geçirerek toplandı. Bu avlanmış hesapların en az 20'si ABD, Kanada, Almanya, Hong Kong, Singapur, Hollanda ve İngiltere'deki çeşitli şirketlerdeki yöneticilere aittir.

Kanıtlar, dolandırıcıların muhtemelen potansiyel kurban pozisyonlarını değerlendirmek için LinkedIn profillerini kullandığını göstermektedir.

Böyle bir taktik, mevcut kurbanın iş arkadaşlarından erken uyarı olasılığını azaltır ve yeni dolandırıcılık döngüsünün başarı oranını artırır.Group-IB araştırmacıları dedi.

QR kodlarının görüntü tabanlı doğası, balık avı kampanyaları başlatmak için kullanılır.

Kiber güvenlik önlemlerini ve karşı önlemleri geliştirmek, Microsoft gibi teknoloji şirketlerinin ve yazılım hizmeti sunan kuruluşların temel misyonlarından biri olmaya devam ediyor.Ücretsiz QR kodu oluşturucuçevrimiçi.

Gelişen daha katı siber güvenlik önlemleri arasında, ancak, kötü niyetli aktörler de kendi dolandırıcılık kampanyalarını ve karşı önlemlerini güçlendiriyor. Kendilerine karşı yasal siber güvenlik uygulamalarındaki boşlukları kullanarak daha akıllı hale geliyorlar.

Sway üzerindeki bu dolandırıcılık saldırıları tarafından gösterildiği gibi, zafiyet QR kodları gibi görüntü tabanlı tehditlerde yatmaktadır. Çoğu e-posta tarayıcı yalnızca metin tabanlı içeriği taramak için ayarlanmıştı, resimler içindeki URL'leri tarayamıyordu.

QR kodlarını kullanarak kurbanları sahte web sitelerine yönlendirmek, savunucular için bazı zorluklar doğurur.

URL bir resim içine gömülü olduğu için, sadece metin tabanlı içerikleri tarayabilen e-posta tarayıcıları atlatılabilir.Netskope karşılık verdi.

Şirketler güvenlik politikalarını gözden geçirmeli ve siber güvenliği artırmalıdır.

Balık avı kampanyalarının ilerlemesi, kuruluşlara web ve bulut trafiği taraması ve filtreleme konusundaki siber güvenlik politikalarını gözden geçirmeleri gerektiğini işaret eder. Daha iyi politikalar, çalışanların kötü amaçlı web sitelerine erişme olasılıklarını azaltır.

Aynı zamanda, bireysel kullanıcıların tıklamadan önce URL'leri kontrol etmeleri tavsiye edilir. Daha iyisi, QR kodu dolandırıcılığına düşmemek için web sitesini doğrudan tarayıcının adres çubuğuna yazın.

Son zamanlarda QR kod tabanlı sahtekarlık büyük bir sorun haline geldi ve azalması muhtemel görünmüyor. Son zamanlarda, Cofense'in araştırmasına göre, QR kodlu sahtekarlık saldırılarının sayısı artmaya devam ediyor ve bu tür saldırılar artık hedeflerini daha etkili bir şekilde vurmaya başlıyor. Bu nedenle, QR kod tabanlı sahtekarlık saldırılarına karşı daha dikkatli olunması ve güvenlik önlemlerinin artırılması gerekmektedir."Araştırma, QR kod aktif tehditlerinde %331'lik bir artış buldu.raporları,Max Gannon, Cofense'den dedi.

Bu kampanyadaki Microsoft Sway'in kötüye kullanımı, tehdit aktörlerinin birçok otomatik güvenlik kontrolünü atlamak için hazır ve kolay bir yol olduğunu daha da vurgulamaktadır. Güvenilir bir paylaşım hizmetini kötüye kullanmak yeterlidir.Gannon ekledi.