I en ny cybersikkerhedsrapport har forskere fra Cofense afsløret en omfattende phishing-kampagne, der anvender ondsindede QR-koder, med det primære formål at skaffe Microsoft-legitimationsoplysninger. Blandt målene var et fremtrædende amerikansk energiselskab blandt de berørte.
Udbredelsen af ​​QR-koder er steget siden fremkomsten af ​​COVID-19-pandemien. Tusindvis af restauranter og virksomheder har erstattet fysiske menuer og guider med disse maskinlæsbare billeder, som øjeblikkeligt trækker webindhold op, der indeholder den samme information. Men cyberkriminelle har hurtigt grebet denne tendens og lanceret kampagner, der distribuerer svigagtige QR-koder for at stjæle brugerdata.
Rapporten fra Cofense
Cybersikkerhedsfirmaet Cofense udgav en omfattende rapport i onsdags, der kaster lys over en kampagne, der startede i maj, rettet mod et bredt spektrum af industrier. Forbryderne sendte tusindvis af e-mails indlejret med ondsindede QR-koder til forskellige virksomheder, hvilket førte brugerne til en svigagtig Microsoft-legitimationsindsamlingsside.
Selvom kampagnens oprindelse forbliver uhåndgribelig, bemærkede rapportens forfatter, Cofense-analytiker Nathaniel Raymond, der ligheder med en tidligere kampagne, der er forbundet med enheder i Rusland. Raymond understregede, at kampagnens oprindelige omfang var relativt begrænset, men til sidst svulmede til et hidtil uset volumen og adskilte den. Han tilføjede, at mængden af ​​udsendte e-mails steg med cirka 270 % hver måned.
Selvom Raymond afholdt sig fra at afsløre identiteten på det energiselskab, han var målrettet mod, afslørede han, at omkring 29 % af de sporede e-mails var rettet mod netop dette selskab. Fremstillingssektoren tegnede sig for yderligere 15 % af e-mails, hvor forsikrings-, teknologi- og finansielle servicevirksomheder også oplevede betydelige dele af kampagnens trafik.
Raymond påpegede, at det er sandsynligt, at andre organisationer bliver ofre for den samme kampagne af trusselsaktører, selvom procenterne er afledt af de e-mails, som Cofense har observeret. E-mails lokkede ofre ved at foregive relevans for kontosikkerhedsopdateringer. QR-koden omdirigerede ofrene til en forfalsket Microsoft-side, hvor de anmodede om legitimationsoplysninger.
Skjulte phishing-links i QR-billedet
Forskerne understregede, at QR-koder i denne skala ikke har været et konventionelt værktøj for hackere. Ikke desto mindre kan trusselsaktører eksperimentere med denne metode på grund af dens effektivitet sammenlignet med mere sædvanlige links integreret i typiske phishing-e-mails. De fremhævede, at QR-koder har en væsentlig større sandsynlighed for at infiltrere en indbakke, da phishing-linket er skjult i QR-billedet, som igen er indlejret i et PNG-billede eller PDF-vedhæftet fil.
Forskerne bemærkede også, at arbejdsgivere typisk ikke regulerer de fleste mobile enheder, hvilket gør dem uden for det beskyttende omfang af virksomhedsmiljøet. SafeBreach CISO Avishai Avivi bemærkede, at rapporten betegner en spændende udvikling i ondsindede aktørers modus operandi. Han påpegede, at pandemien har gjort QR-koder udbredt, og brugere har vænnet sig til at scanne dem uden hensyntagen til potentiel ondskab.
Avivi advarede: "Denne tendens til at scanne enhver QR-kode, der præsenteres for brugeren, vækker bekymring, da nogle applikationer, herunder sikkerhedskontrol, også bruger QR-koder til at udføre forskellige opgaver." Han tilføjede, at ondsindede koder kan udnytte dette og potentielt omdirigere brugere til at udføre utilsigtede handlinger.