Chuyên gia: Microsoft QR Code Phishing Nhắm Đến Thông Tin Đăng Nhập của Người Dùng
Các chuyên gia an ninh mạng đã phát hiện một chiến dịch lừa đảo mã QR mới, còn được gọi là chiến dịch phishing mã QR."quishing" -> "nghiền"sử dụng Microsoft Sway để lưu trữ các trang đích giả mạo và đánh cắp thông tin đăng nhập, mã xác minh đa yếu tố (MFA) và cookie.
Sway là một ứng dụng kể chuyện số miễn phí dựa trên đám mây được ra mắt vào năm 2015 là một phần của gia đình sản phẩm Microsoft 365. Nó cho phép người dùng tạo và chia sẻ thiết kế tương tác cho báo cáo, câu chuyện cá nhân, bài thuyết trình, tài liệu và nhiều hơn nữa.
Netskope Threat Labs, một công ty an ninh mạng, lần đầu ghi nhận vụ lừa đảo quishing vào tháng 7 năm 2024. Công ty phát hiện một tăng 2.000 lần trong các chiến dịch tấn công mạng trên Sway, sử dụng một loạt các chiến thuật để vượt qua các giải pháp an ninh mạng của Microsoft.
Những loạt cuộc tấn công mạng này chủ yếu nhắm vào các ngành công nghệ, sản xuất và tài chính, đặc biệt là tại châu Á và Bắc Mỹ.
Mục lục
- Các chiến dịch lừa đảo mã QR của Microsoft bắt nguồn từ email, Neskope xác nhận
- Các chiến dịch lừa đảo QR code đã tận dụng Cloudflare Turnstile để tránh bị phát hiện.
- Đây không phải là lần đầu tiên: Microsoft Sway có lịch sử về các cuộc tấn công lừa đảo.
- Tính chất dựa trên hình ảnh của mã QR được tận dụng để triển khai các chiến dịch lừa đảo.
- Các công ty cần xem xét lại chính sách bảo mật của mình và tăng cường an ninh mạng.
Các chiến dịch lừa đảo mã QR của Microsoft được bắt nguồn từ email, Neskope xác nhận
Các nhà nghiên cứu đã phát hiện ra rằng các email gửi đến người dùng Sway đã được chuyển hướng đến các trang đích lừa đảo được lưu trữ trên tên miền của Sway.sway.cloud.microsoftTên miền. Những trang web lừa đảo này hiển thị một biểu mẫu đăng nhập giả mạo của một trang web dịch vụ ngân hàng.Lừa đảo mã QR, mà người dùng được khuyến khích quét để dẫn họ đến các trang web độc hại khác.
Vì URL được nhúng bên trong một hình ảnh, các máy quét email chỉ có thể quét nội dung dựa trên văn bản có thể bị bỏ qua. Ngoài ra, khi người dùng nhận được một mã QR, họ có thể sử dụng thiết bị khác, như điện thoại di động của họ, để quét mã.Các nhà nghiên cứu của Netskope đã quan sát thấy.
Thúc đẩy người dùng sử dụng điện thoại di động của họ để quét các mã QR này là một chiến lược lừa đảo phổ biến, vì hầu hết các điện thoại đến với các biện pháp bảo mật yếu hơn.
Những kẻ tấn công độc hại có khả năng vượt qua các biện pháp kiểm soát an ninh chống lại lừa đảo trên điện thoại thông minh, vì chúng thường không được trang bị phần mềm chống virus hoặc giải pháp Phát hiện và Phản ứng ở Điểm cuối, mà thường chỉ có mặt trên máy tính cá nhân.
Vì các biện pháp bảo mật được triển khai trên thiết bị di động, đặc biệt là điện thoại di động cá nhân, thường không chặt chẽ như máy tính xách tay và máy tính để bàn, nên nạn nhân thường dễ bị lạm dụng hơn.Các nhà nghiên cứu đã thêm vào.
Các chiến dịch lừa đảo mã QR đã tận dụng Cloudflare Turnstile để tránh bị phát hiện.
Điều làm cho những chiến dịch quishing này trở nên hiệu quả hơn nhiều là việc sử dụng phần mềm web đáng tin cậy để trở nên đáng tin hơn và tránh bị phát hiện các chiến thuật lừa đảo của họ.
Các nhà nghiên cứu đã xác nhận những kẻ lừa đảo này đã sử dụng Cloudflare Turnstile để che giấu trang đích của họ khỏi các công cụ quét URL tĩnh và dịch vụ lọc web. Điều này giúp kẻ lừa đảo duy trì uy tín tốt, khiến họ trở nên không thể phát hiện ngay cả đối với các công cụ dự định bảo vệ trang web khỏi bot.
Kẻ tấn công mạng cũng tận dụng chiêu thức lừa đảo trong suốt, sử dụng cuộc tấn công trung gian. Chiến thuật lừa đảo này đã đánh cắp thông tin cá nhân của nhiều người.Xác thực đa yếu tốnhững mã thông qua một trang web có vẻ giống nhau trong khi đồng thời đăng nhập vào tài khoản Microsoft chính thức của nạn nhân.
Sử dụng chiến thuật của các tài khoản Microsoft đã đăng nhập khiến người dùng nghĩ rằng họ đang truy cập vào một trang web chính thống, tăng cường sự tin tưởng và làm giảm cảnh giác của họ trong quá trình đó.
Bằng cách sử dụng các ứng dụng đám mây hợp pháp, kẻ tấn công mang lại sự tin cậy cho nạn nhân, giúp họ tin tưởng vào nội dung mà nó cung cấp.
Ngoài ra, nếu nạn nhân sử dụng tài khoản Microsoft 365 mà họ đã đăng nhập khi mở một trang Sway, điều đó có thể giúp thuyết phục họ về tính hợp lệ của trang đó.Các nhà nghiên cứu của Netskope đã chú ý.
Đây không phải là lần đầu tiên: Microsoft Sway có lịch sử các cuộc tấn công lừa đảo.
Vào tháng 4 năm 2020, các tác nhân độc hại đã tiến hành một chiến dịch lừa đảo tương tự mang tên PerSwaysion, nhắm vào các thông tin đăng nhập Office 365 bằng cách sử dụng một bộ công cụ lừa đảo được bao gồm trong một hoạt động dưới dạng phần mềm như dịch vụ (MaaS).
Nhóm nghiên cứu bảo mật của Group-IB đã phát hiện ra rằng chiến dịch đã tận dụng Microsoft Sway để nhắm mục tiêu vào các sĩ quan cấp cao và giám đốc của các công ty dịch vụ tài chính từ nhỏ đến trung bình, các văn phòng luật và các nhóm bất động sản.
Hơn 156 thông tin đăng nhập đã bị thu thập bằng cách xâm nhập vào email công ty của họ. Ít nhất 20 tài khoản bị lừa đảo này thuộc về các giám đốc tại các công ty ở Mỹ, Canada, Đức, Hồng Kông, Singapore, Hà Lan và Vương quốc Anh.
Bằng chứng cho thấy rằng những kẻ lừa đảo có khả năng sử dụng các hồ sơ LinkedIn để đánh giá vị trí tiềm năng của nạn nhân.
Một chiến lược như vậy giảm khả năng cảnh báo sớm từ đồng nghiệp hiện tại của nạn nhân và tăng tỷ lệ thành công của chu kỳ lừa đảo mới.Nhóm nghiên cứu của Group-IB nói.
Tính chất hình ảnh của mã QR được khai thác để triển khai các chiến dịch lừa đảo.
Nâng cao biện pháp và biện pháp phòng chống an ninh mạng vẫn là một trong những nhiệm vụ chính của các công ty công nghệ như Microsoft và các tổ chức phần mềm dưới dạng dịch vụ cung cấp một loạt các sản phẩm và dịch vụ để bảo vệ khách hàng khỏi các mối đe dọa an ninh mạng.Trình tạo mã QR miễn phítrực tuyến.
Trong khi đang phát triển các biện pháp bảo mật mạng nghiêm ngặt hơn, nhưng các thủ phạm xấu cũng đang tăng cường các chiến dịch quishing và biện pháp phản kháng của họ. Họ đang trở nên thông minh hơn bằng cách sử dụng những kẽ hở trong các ứng dụng bảo mật mạng hợp pháp chống lại chính họ.
Như đã được thể hiện qua các cuộc tấn công lừa đảo trên Sway, lỗ hổng nằm ở trong các mối đe dọa dựa trên hình ảnh, như mã QR. Hầu hết các máy quét email chỉ được hiệu chỉnh để quét nội dung dựa trên văn bản, không phải là URL trong hình ảnh.
Sử dụng mã QR để chuyển hướng nạn nhân đến các trang web lừa đảo đặt ra một số thách thức cho các nhà bảo vệ.
Vì URL được nhúng bên trong một hình ảnh, các máy quét email chỉ có thể quét nội dung dựa trên văn bản có thể bị bỏ qua.Netskope đáp trả.
Các công ty cần xem xét lại chính sách bảo mật của mình và tăng cường an ninh mạng.
Các chiến dịch lừa đảo ngày càng phát triển là tín hiệu cho các tổ chức cần xem xét lại chính sách an ninh mạng của mình về quét và lọc lưu lượng web và đám mây. Chính sách tốt hơn có nghĩa là cơ hội ít hơn cho nhân viên truy cập vào các trang web độc hại.
Cùng một lúc, người dùng cá nhân được khuyến cáo kiểm tra URL trước khi nhấp vào. Tốt hơn hết, gõ trực tiếp địa chỉ trang web vào thanh địa chỉ của trình duyệt để tránh rơi vào các chiêu lừa đảo bằng mã QR.
Các cuộc tấn công lừa đảo dựa trên mã QR đã trở thành một vấn đề lớn và có vẻ không giảm đi. Gần đây, báo cáo của Cofense đã tìm thấy rằng các cuộc tấn công lừa đảo dựa trên mã QR đã tăng gấp đôi trong năm 2021."Nghiên cứu phát hiện một tăng 331% trong mối đe dọa QR code hoạt động.Báo cáo"Max Gannon từ Cofense nói.
Sự lạm dụng Microsoft Sway trong chiến dịch này càng làm nổi bật hơn thêm rằng các tác nhân đe dọa đã có một cách dễ dàng để vượt qua nhiều phương tiện kiểm soát bảo mật tự động – đơn giản chỉ cần lạm dụng một dịch vụ chia sẻ đáng tin cậy.Gannon thêm vào.