信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/布加迪。

近年來，二維碼的使用呈激增之勢。事實上，在2012年，97%的消費者還不知道二維碼是何物。而到了2022年第一季度，美國以2880960次二維碼掃描量領(lǐng)跑全球，這使得這些古怪的代碼成為了吸引新型的復雜網(wǎng)絡(luò)釣魚活動的一條途徑。

INKY最近發(fā)現(xiàn)了大量二維碼釣魚活動，不過在開始切入正文之前，先介紹一下二維碼基礎(chǔ)知識。如果你已經(jīng)是這方面的專家，請直接跳過這部分。

二維碼是怎么來的？

二維碼的演變過程非常有趣。首先問世的是條形碼，它是在20世紀60年代日本經(jīng)濟蓬勃發(fā)展時開發(fā)出來的。在此之前，收銀員不得不把每個產(chǎn)品的價格手動錄入到收銀機中。生意興隆，腕管綜合癥隨之普遍起來。后來業(yè)界找到了一種解決辦法。條形碼被光學傳感器掃描后，可以迅速向電腦發(fā)送產(chǎn)品和價格信息。缺點是條形碼只能容納大約20個字母數(shù)字字符的信息。最終，市場需要更多的信息，日本公司Denso Wave Incorporated于是在1994年應(yīng)勢發(fā)布了首個二維碼。

二維碼最大的突破出現(xiàn)在2002年，當時發(fā)布了一項可以讀取二維碼的手機功能。如今，二維碼被認為是一種必不可少的營銷工具。遺憾的是，二維碼對釣魚者來說似乎同樣不可或缺。

好吧，現(xiàn)在回到惡意二維碼網(wǎng)絡(luò)釣魚這個正題。

快速響應(yīng)還是快速檢索？

從技術(shù)上講，QR代表快速響應(yīng)，因為二維碼能夠在彈指之間提供信息。遺憾的是，網(wǎng)絡(luò)犯罪分子同樣可以快速檢索員工憑據(jù)。

INKY最近截獲了數(shù)百封二維碼網(wǎng)絡(luò)釣魚郵件，雖然這些竊取憑據(jù)的郵件來自幾個不同的黑客，但相似之處很明顯，包括如下：

1.使用基于圖像的網(wǎng)絡(luò)釣魚策略。

2.冒充微軟。

3.似乎來自收件人的組織內(nèi)部。

4.要求員工解決特定的賬戶問題，比如2FA設(shè)置、賬戶驗證或密碼更改。

5.傳達一種緊迫感。

6.未完成手頭任務(wù)的后果（確保密碼安全、避免賬戶鎖定、承擔責任）。

7.提示員工被告知掃描電子郵件中發(fā)現(xiàn)的惡意二維碼。

讓我們看幾個例子。

下面的例子來自一家日本零售商店的被劫持賬戶。INKY阻止了其中104個威脅到達收件人的收件箱。

圖1

下面這封郵件有點不同，它被發(fā)送給了174個INKY用戶，來自一家美國制造商的被劫持賬戶和幾個專門用來發(fā)送網(wǎng)絡(luò)釣魚郵件的iCloud賬戶。

圖2

下面所示的第三個例子來自一家在加拿大、法國和美國運營的數(shù)字營銷服務(wù)商的被劫持賬戶。INKY截獲了267封極具破壞性的釣魚郵件。

圖3

值得一提的是，這三封二維碼網(wǎng)絡(luò)釣魚郵件不是僅僅發(fā)給少數(shù)INKY客戶的。它們是“撒網(wǎng)并祈禱”（spray and pray）手法的一部分。釣魚者將其電子郵件發(fā)送給盡可能多的人（撒網(wǎng)），然后希望（祈禱）絕大多數(shù)收件人會落入騙局。在這種情況下，多個行業(yè)受到了攻擊。在迄今為止發(fā)現(xiàn)的545封郵件中，目標受害者都在美國和澳大利亞，他們包括非營利組織、多家財富管理公司、管理咨詢公司、土地測量公司和地板公司等。

故事并沒有到此結(jié)束。在上面的幾個例子中似乎是電子郵件文本的東西實際上完全不同。

基于圖像的釣魚郵件輕松繞過安全電子郵件網(wǎng)關(guān)（SEG）

惡意二維碼只是問題的一方面。如果沒有落實合適的電子郵件安全措施，這些危險的郵件就會因另一種已知的網(wǎng)絡(luò)釣魚策略（作為附件發(fā)送的基于圖像的文本消息）而不被發(fā)現(xiàn)。

安全電子郵件網(wǎng)關(guān)（SEG）和類似的安全系統(tǒng)旨在檢測表明網(wǎng)絡(luò)釣魚的基本文本線索。規(guī)避這種安全機制的一種方法是設(shè)計沒有文本的電子郵件。在這種情況下，上述例子實際上并不包含文本。沒錯，沒有文本。相反，文本被嵌入到圖像中，并附加到網(wǎng)絡(luò)釣魚郵件中。

這一招之所以切實可行，是由于大多數(shù)電子郵件客戶軟件自動將圖像文件直接顯示給收件人，而不是發(fā)送附有圖像的空白郵件。因此，收件人不知道他們看到的是文本的截圖，而不是帶有文本的HTML代碼。由于沒有鏈接或附件要打開，電子郵件讓人覺得很安全。

與SEG不同，INKY使用光學字符識別（OCR）從附加的電子郵件中提取文本，并將其與其他人工智能算法結(jié)合使用，以檢測電子郵件是否危險。

跟蹤惡意二維碼

INKY解碼了一個惡意二維碼，查看它將收件人帶到哪里。正如預測的那樣，掃描二維碼的受害者在不知情的情況下被帶到一個網(wǎng)絡(luò)釣魚網(wǎng)站，這樣他們的憑據(jù)就可以被盜取。他們很快覺得沒有問題，因為嵌在二維碼中的惡意鏈接含有收件人的電子郵件地址作為URL參數(shù)，一旦網(wǎng)絡(luò)釣魚網(wǎng)站加載，就會預先填充個人數(shù)據(jù)。簡而言之，一切都似曾相識。

作為解碼的一部分，我們將URL參數(shù)更改為“batman batman.com”，在本例中，我們訪問了hxxps://rtsp1[.]com?u=batman batman.com。

圖4

rtsp1[.]com是一個新創(chuàng)建的域名，被設(shè)置為重定向到y(tǒng)7y[.]online，這是另一個新創(chuàng)建的域名，托管一個微軟憑據(jù)收集網(wǎng)站。

圖5

微軟冒充網(wǎng)站接受了我們的虛假憑據(jù)。

圖6

如你在下面所見，谷歌Chrome瀏覽器警告y7y[.]online收集了我們輸入的虛假憑據(jù)。

圖7

最終，釣魚者將能夠輕松獲得易受攻擊的、未加保護的受害者的憑據(jù)。

結(jié)語

不妨總結(jié)一下二維碼網(wǎng)絡(luò)釣魚騙局中使用的一些策略。

技術(shù)概述

品牌冒充——使用知名品牌的元素，使電子郵件看起來好像來自這家公司。

憑據(jù)收集——當受害者以為自己登錄到某一個資源網(wǎng)站，但實際上往攻擊者擁有的對話框中輸入憑據(jù)時就會出現(xiàn)這種活動。

基于圖像的網(wǎng)絡(luò)釣魚——文本網(wǎng)絡(luò)釣魚信息嵌入到圖像中。

二維碼——將惡意URL隱藏起來，避免被收件人和安全軟件發(fā)現(xiàn)。

最佳實踐：指導和建議

只要被要求完成新的任務(wù)，收件人就應(yīng)該使用不同的通信方式來確認。

仔細檢查發(fā)件人的電子郵件地址。在本文中，電子郵件聲稱來自微軟和收件人的雇主，但發(fā)件人的域名與這些實體毫無關(guān)系。

不要掃描來歷不明的二維碼。通過二維碼訪問的網(wǎng)站可能隱藏有利用漏洞或竊取敏感數(shù)據(jù)的惡意代碼。

在使用二維碼訪問的網(wǎng)站上輸入財務(wù)和個人信息時要小心。

參考及來源：https://www.inky.com/en/blog/fresh-phish-malicious-qr-codes-are-quickly-retrieving-employee-credentials