Статья QR-коды в почтовом фишинге

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
QR-коды можно встретить повсюду: на плакатах и листовках, на экране платежного терминала, на ценниках и товарах, на исторических зданиях и памятниках.


С их помощью делятся информацией, продвигают различные онлайн-ресурсы, оплачивают покупки и проходят верификацию. При этом в электронной почте QR-коды используются не сказать чтобы часто. Как правило, пользователи читают сообщения с телефона, не имея под рукой другого устройства, чтобы отсканировать код, поэтому в письмах рассылаются преимущественно обычные гиперссылки. Тем не менее, злоумышленники все активнее пользуются QR-кодами в почте.

В отличие от обычных фишинговых ссылок, которые довольно легко проверить и заблокировать, QR-код представляет проблему для защитных решений. Чтобы проанализировать его и узнать, что в нем закодировано, нужна дорогая и ресурсоемкая технология компьютерного зрения. Кроме того, если обычную ссылку пользователь может оценить перед тем, как нажать на нее, то узнать, куда ведет QR-код, не отсканировав его, нельзя.

sl-abstract-phishing-hook-mail-accounts-under-water-scaled-1-1200x600.jpg

Что такое QR-код?

QR-код (Quick Response code) — двумерный штриховой код, который состоит из нескольких квадратов и множества точек (модулей), расположенных в квадратной сетке на белом фоне. QR-коды можно прочитать с помощью устройства обработки изображений, которое определяет расположение кода по квадратам, а затем считывает закодированную в точках информацию. Помимо собственно кода в квадратном поле может быть предусмотрено место под декоративные элементы, например логотип организации.

В QR-коды можно поместить больше информации, чем в одномерные штрихкоды. Они часто используются для кодирования ссылок на определенные ресурсы, например каталог магазина, страницу оплаты товара или страницу с информацией об объекте.

Как злоумышленники используют QR-коды в почте

Мошенники используют QR-коды для сокрытия ссылок на фишинговые и скам-страницы. Первые попытки использования этого приема в мошеннических рассылках мы обнаружили в конце 2021 года. Это были скам-письма, имитирующие сообщения от служб доставки, таких как FedEx и DHL. Злоумышленники требовали от жертвы оплатить таможенные сборы, для чего нужно было отсканировать QR-код.
Ссылка в коде вела на поддельную страницу ввода данных банковской карты. Кампания не была массовой, и где-то к середине 2022 года ее активность сошла на нет. Новые рассылки писем с QR-кодами мы увидели весной 2023 года. На этот раз атака была нацелена на логины и пароли корпоративных пользователей продукции Microsoft.

Злоумышленники отправляли жертвам письма с поддельным уведомлением о том, что пароль от рабочего почтового аккаунта скоро станет недействительным.

Чтобы сохранить доступ к учетной записи, пользователю рекомендовали отсканировать QR-код. Одни письма приходили с бесплатных почтовых адресов, другие — с недавно зарегистрированных доменов. В некоторых сообщениях атакующие для большей убедительности украсили QR-код логотипом Microsoft Security.


Фишинговое письмо с QR-кодом

После того как пользователь получает фишинговое письмо и сканирует QR-код, он попадает на поддельную форму входа в аккаунт, стилизованную под страницу входа Microsoft. Если он введет свои логин и пароль на этой странице, злоумышленники получат доступ к его аккаунту.


Фишинговая форма

Помимо сообщений о необходимости срочно сменить пароль или актуализировать свои персональные данные, мы обнаружили рассылку о недоставленных письмах, которая также содержала QR-коды, ведущие на поддельную страницу ввода учетных данных от аккаунта Microsoft.

В письме на скриншоте ниже мошенники обошлись без логотипа на QR-коде, но вставили в тело письма строку This email is from a trusted source («это письмо из доверенного источника»), чтобы усыпить бдительность пользователя.


Сообщение о недоставленной почте

Часть страниц, открывающихся при сканировании QR-кода, расположена на IPFS-ресурсах. О том, как и зачем злоумышленники используют эту распределенную файловую систему, мы некоторое время назад.


Использование IPFS в QR-фишинге

Статистика

С июня по август 2023 года мы обнаружили 8878 фишинговых писем, содержащих QR-коды. Пик активности злоумышленников пришелся на июнь: 5063 письма. К августу объем рассылок сократился до 762 писем.


Выводы

Использование QR-кодов помогает злоумышленникам сразу в нескольких аспектах.

Во-первых, они позволяют избежать обнаружения и блокировки писем, поскольку проверить содержимое QR-кода не так просто, а фишинговых ссылок в письме нет. При этом блокировать письмо за содержание QR-кода нельзя: хоть это и непопулярный элемент в электронной почте, QR-коды могут использоваться и в легитимных письмах — например, в автоподписи отправителя.

Во-вторых, поскольку в письме нет ссылки, нет и необходимости регистрировать дополнительные аккаунты и домены, чтобы перенаправлять пользователя и таким образом скрывать фишинг. Наконец, большинство пользователей сканируют QR-коды при помощи камеры телефона и предпочитают быстрее разобраться с проблемой, поэтому могут и не обратить внимания на адрес открывшейся страницы, который в мобильном браузере не бросается в глаза.

С другой стороны, легитимные отправители редко используют QR-коды в своих рассылках, поэтому сам факт наличия такого кода в письме может вызвать у получателя подозрения. Кроме того, QR-код нужно чем-то отсканировать, а у пользователя может не оказаться под рукой второго устройства для этой цели. На данный момент мы наблюдаем не очень много рассылок с QR-кодами. Вероятнее всего, доля получателей таких писем, отсканировавших код, невысокая. Тем не менее легкость использования этого механизма позволяет предположить, что количество подобных атак в ближайшее время увеличится, а сами кампании станут более изощренными и персонализированными.

 
  • Теги
    qr-код qr-коды в почте почтовый фишинг
  • Сверху Снизу