微软二维码钓鱼攻击目标用户凭据:专家们

By: Fatima P.Last updated:October 04, 2024

网络安全专家发现了一种新的二维码钓鱼攻击活动,也被称为QR码钓鱼攻击。撇去利用微软Sway来托管虚假的着陆页,窃取凭据、多因素身份验证(MFA)代码和Cookie。

Sway是一个免费的基于云的数字叙事应用程序,于2015年作为Microsoft 365产品系列的一部分推出。它允许用户为报告、个人故事、演示文稿、文件等创建和共享交互式设计。

Netskope威胁实验室,一家网络安全公司,于2024年7月首次记录了quishing诈骗。该公司检测到在Sway上的网络攻击活动增加了2000倍,使用了一系列策略来规避微软的网络安全解决方案。

这些连续的网络攻击主要针对科技、制造和金融行业,特别是在亚洲和北美地区。

目录

    1. 微软二维码钓鱼活动源自电子邮件,Neskope确认。
    2. QR码网络钓鱼活动利用Cloudflare Turnstile来避免被检测到
    3. “这不是第一次”:微软Sway有钓鱼攻击记录。
    4. QR码的基于图像的特性被利用来发起网络钓鱼活动。
    5. 公司需要重新审视他们的安全政策,并加强网络安全措施。

微软二维码钓鱼活动源自邮件,Neskope确认

Microsoft QR code phishing

研究人员发现发送给Sway用户的电子邮件被重定向到托管在Office 365中的钓鱼着陆页。sway.cloud.microsoft域名。这些钓鱼页面展示了一个看似真实的登录页面,用于盗取用户的凭证。二维码诈骗用户被鼓励扫描二维码,以引导他们访问其他恶意网页。

由于URL嵌入在图像内部,只能扫描基于文本内容的电子邮件扫描器可能会被绕过。此外,当用户收到一个QR码时,他们可能会使用另一台设备,比如他们的手机,来扫描该码。Netskope研究人员观察到。

提示用户使用他们的手机扫描这些二维码是一种常见的骗局策略,因为大多数手机都配备了较弱的安全措施。

恶意行为者很可能会绕过针对智能手机的钓鱼安全控制,因为它们通常没有配备防病毒软件或端点检测和响应解决方案,这些解决方案通常仅存在于个人电脑上。

自移动设备,尤其是个人手机上实施的安全措施通常不像笔记本电脑和台式机那样严格,受害者往往更容易受到滥用。研究人员补充道。

QR码钓鱼活动利用Cloudflare Turnstile 来规避检测。

QR code quishing

这些欺诈活动更加有效的原因在于使用可信的网络软件,使其看起来更加可信,避开其欺骗策略的检测。

研究人员证实,这些骗子使用了Cloudflare Turnstile来隐藏他们的落地页,使其免受静态URL扫描器和网络过滤服务的监测。这有助于骗子维持良好声誉,使他们甚至在旨在保护网站免受机器人侵害的工具中也难以被检测到。

网络攻击者还利用透明钓鱼,采用中间人攻击。这种欺诈手段窃取了用户的凭证和敏感信息。多因素认证通过一个看起来类似的页面输入代码,同时登录受害者的合法微软账户。

使用登录的微软账号的策略使用户认为他们正在访问一个合法的网站,从而获得他们的信任并在过程中降低他们的警惕。

通过使用合法的云应用程序,攻击者为受害者提供了可信度,帮助他们相信其提供的内容。

此外,受害者在打开 Sway 页面时使用他们已经登录的 Microsoft 365 帐户,这可以帮助说服他们其合法性。Netskope研究人员注意到。

这并不是第一次:微软Sway有钓鱼攻击记录

2020年4月,恶意行为者发起了一场类似的网络钓鱼活动,名为PerSwaysion,旨在利用恶意软件服务(MaaS)操作中包含的网络钓鱼工具针对Office 365登录凭证。

Group-IB安全研究人员发现,该活动利用Microsoft Sway瞄准了中小型金融服务公司、律师事务所和房地产集团的高级官员和董事。

通过侵犯他们的企业电子邮件,获得了超过156个凭证。至少20个被钓鱼的帐户属于美国、加拿大、德国、香港、新加坡、荷兰和英国各公司的高管。

证据表明,骗子很可能会使用LinkedIn档案来评估潜在受害者的位置。

这种策略降低了当前受害者同事提前警告的可能性,并提高了新的网络钓鱼攻击成功率。Group-IB研究人员表示。

QR码的图片特性被利用来发起网络钓鱼活动。

Fake QR code campaigns

提高网络安全措施和应对措施仍然是像微软这样的技术公司和提供软件即服务的组织的主要使命之一。免费二维码生成器在线。

在制定更严格的网络安全措施的同时,恶意行为者也在加强其钓鱼活动和对抗措施。他们通过利用合法网络安全应用程序中的漏洞来变得更加聪明。

正如这些针对Sway的网络钓鱼攻击所展示的那样,漏洞存在于基于图像的威胁,比如二维码中。大多数电子邮件扫描器只能校准扫描基于文本的内容,而不能扫描图像中的URL。

使用QR码将受害者重定向到钓鱼网站对防御者构成一些挑战。

由于URL嵌入在图像中,只能扫描基于文本内容的电子邮件扫描器可以被绕过。Netskope反驳。

公司需要重新审视他们的安全政策,并加强网络安全措施。

推进网络钓鱼活动表明组织应审查其关于网络和云流量扫描和过滤的网络安全政策。更好的政策意味着员工访问恶意网站的机会更少。

同时,建议个人用户在点击链接之前检查URL。更好的方法是直接在浏览器的地址栏中输入网站,以避免QR码钓鱼诈骗。

基于二维码的网络钓鱼最近已成为一个重大问题,并且似乎不太可能减少。最近,Cofense的研究人员发现,攻击者利用QR码来诱使受害者点击恶意链接,这种攻击类型在过去几个月里显著增加。研究发现QR码激活威胁增加了331%。报告显示,“消费者对新产品的兴趣持续增长。”Max Gannon来自Cofense说。

在这场活动中滥用微软Sway进一步强调了威胁行为者拥有一种现成、简单的方式来绕过许多自动化安全控制的威胁。岗农补充。