微軟QR碼釣魚網站瞄準用戶憑證:專家们

By: Fatima P.Last updated:October 04, 2024

網絡安全專家發現了一個新的 QR 碼釣魚攻擊活動,也被稱為 QR 碼詐騙活動。"quishing"利用 Microsoft Sway 來託管假登陸頁面並竊取憑證、多因素驗證(MFA)代碼和 cookies。

Sway是一個免費的基於雲端的數位故事應用程式,於2015年作為Microsoft 365產品家族的一部分推出。它允許使用者創建和分享互動設計,用於報告、個人故事、簡報、文件等。

Netskope Threat Labs是一家網絡安全公司,於2024年7月首次記錄到quishing詐騙活動。該公司發現在Sway上的網絡攻擊活動增加了2000倍,並使用各種戰術來繞過微軟的網絡安全解決方案。

這些一波波的網絡攻擊主要針對科技、製造和金融行業,特別是在亞洲和北美地區。

目錄

    1. 微軟 QR 碼釣魚活動源自電子郵件,Neskope 證實。
    2. QR碼釣魚活動利用Cloudflare Turnstile來避免被檢測。
    3. 這不是第一次:微軟 Sway 有釣魚攻擊的記錄
    4. QR碼的圖像特性被利用來發動釣魚攻擊活動。
    5. 公司需要重新檢討他們的安全政策並加強網絡安全措施。

微軟QR碼釣魚活動源自電子郵件,Neskope 證實。

Microsoft QR code phishing

研究人員發現發送給Sway用戶的電子郵件重定向到託管在Microsoft Sway上的釣魚登陸頁面。sway.cloud.microsoft域名。這些釣魚網頁顯示了一個類似的URL和頁面設計,以使其看起來像真正的網站。QR碼詐騙用戶被鼓勵掃描這個 QR 碼,將他們引導到其他惡意網頁。

由於 URL 嵌入在圖像中,僅能掃描基於文本的內容的電子郵件掃描器可能會被規避。此外,當使用者收到 QR 碼時,他們可能會使用另一個設備,例如他們的手機,來掃描該碼。Netskope的研究人員觀察到。

提示用戶使用他們的手機掃描這些 QR 碼是一種常見的詐騙策略,因為大多數手機配備的安全措施較弱。

惡意行為者很可能會繞過智能手機上針對釣魚的安全控制,因為它們通常不配備防病毒軟件或端點檢測和響應解決方案,這些解決方案通常僅存在於個人電腦上。

由於移動設備上實施的安全措施,尤其是個人手機,通常沒有筆記本電腦和桌面電腦嚴格,受害者通常更容易受到濫用。研究人員補充說。

QR code phishing campaigns took advantage of Cloudflare Turnstile to avoid detection

QR code quishing

這些騙取活動更為有效的原因在於使用可信的網頁軟體,使其看起來更可信,並且避免被檢測到其詐騙手法。

研究人員確認這些騙子使用了Cloudflare Turnstile來隱藏他們的登陸頁面,使其免受靜態URL掃描器和網絡篩選服務的檢測。這有助於騙子保持良好的聲譽,使他們即使對於旨在保護網站免受機器人侵害的工具也難以檢測到。

網絡攻擊者還利用透明釣魚,這種方法利用中間人攻擊。這種欺騙策略竊取了敏感信息。多因素驗證透過一個外觀相似的頁面輸入代碼,同時登錄受害者的合法Microsoft帳戶。

使用已登入的 Microsoft 帳戶的策略讓使用者誤以為他們正在訪問一個合法網站,從而取得他們的信任,降低他們的警惕。

通過使用合法的雲應用程序,攻擊者為受害者提供可信度,幫助他們相信其提供的內容。

此外,當受害者打開 Sway 頁面時,他們使用的是已經登入的 Microsoft 365 帳戶,這有助於說服他們關於其合法性。Netskope 研究人員指出。

這不是第一次:Microsoft Sway有釣魚攻擊的記錄

在2020年4月,惡意行為者進行了一個類似的釣魚攻擊活動,名為PerSwaysion,目標是使用包含在惡意軟件即服務(MaaS)操作中的釣魚工具包來獲取Office 365登錄憑證。

Group-IB 的安全研究人員發現,這個活動利用 Microsoft Sway 針對中小型金融服務公司、律師事務所和房地產集團的高層官員和董事進行攻擊。

超過156個憑證被入侵其企業郵件而被收集。至少有20個被釣魚的帳戶屬於美國、加拿大、德國、香港、新加坡、荷蘭和英國各公司的高管。

證據表明,詐騙者很可能會使用 LinkedIn 檔案來評估潛在的受害者位置。

這種策略減少了目前受害者的同事提前警告的可能性,同時提高了新的釣魚週期的成功率。Group-IB 的研究人員表示。

QR碼的圖像特性被利用來發起釣魚攻擊活動。

Fake QR code campaigns

提升網絡安全措施和對策仍然是像微軟這樣的技術公司和提供軟體即服務的組織的主要使命之一。免費QR碼生成器在線。

在制定更嚴格的網絡安全措施的同時,惡意行為者也在加強他們的釣魚活動和對策。他們通過利用合法網絡安全應用程序的漏洞來讓自己變得更聰明。

正如Sway上的這些釣魚攻擊所示,弱點在於基於圖像的威脅,如QR碼。大多數電子郵件掃描器只校準為掃描基於文本的內容,而不是圖像中的URL。

使用QR碼將受害者重定向到釣魚網站對防禦者構成一些挑戰。

由於URL嵌入在圖像中,只能掃描基於文本內容的電子郵件掃描器可以被繞過。Netskope反駁。

公司需要重新檢討其安全政策並加強網絡安全防護。

進行詐騙活動的增加提示組織檢討其網絡和雲端流量掃描和過濾的網絡安全政策。更好的政策意味著員工進入惡意網站的機會較少。

與此同時,建議個人用戶在點擊之前檢查URL。最好是將網站直接輸入瀏覽器的地址欄,以避免被QR碼釣魚詐騙所騙。

基於QR碼的釣魚最近已成為一個主要問題,並且似乎不太可能減少。最近,Cofense的報告發現,這種釣魚攻擊方式正在迅速增加。研究發現 QR 碼活動威脅增加了 331%。報告"Max Gannon來自Cofense說。

這次活動中對 Microsoft Sway 的濫用進一步強調了威脅行為者已經準備好且簡單地繞過許多自動安全控制的方法 - 只需濫用一個受信任的共享服務。Gannon 補充。