Articolul explică noua metodă de phishing, cunoscută sub numele de Quishing 2.0, prin care atacatorii folosesc coduri QR pentru a evita scanerele de securitate ale e-mailurilor și pentru a abuza de servicii de încredere precum SharePoint.
TL;DR
- Metoda Quishing 2.0 folosește coduri QR pentru phishing.
- Codurile QR ajută atacatorii să evite soluțiile de securitate tradiționale.
- Campaniile recente utilizează tactici avansate pentru a apărea legitime.
- Atacurile implică servicii cunoscute, cum ar fi SharePoint și servicii de scanare QR online.
- Soluțiile avansate de securitate sunt necesare pentru a detecta și preveni aceste atacuri.
Ce este Quishing 2.0?
Quishing, sau phishing prin cod QR, este o metodă în care atacatorii încorporează coduri QR în campaniile de phishing pentru a adăuga un strat suplimentar de evitare, făcând mai dificilă detectarea de către soluțiile de securitate tradiționale. Versiunea avansată, Quishing 2.0, folosește tactici mai sofisticate pentru a apărea legitime și pentru a păcăli victimele.
Cum funcționează un atac Quishing 2.0?
-
Mesajul e-mail: Victima primește un e-mail care pare a proveni de la o companie reală, uneori cu un domeniu falsificat și cu imitarea unui partener de afaceri cunoscut. Subiectul e-mailului și fișierul PDF atașat sugerează că este o Comandă de Achiziție (PO).
-
Documentul PDF atașat: În documentul PDF, victima vede un cod QR mare, împreună cu instrucțiuni pentru a-l scana pentru a vizualiza comanda completă de achiziție.
-
Serviciul de scanare QR (Me-QR): Când victima scanează codul QR, este redirecționată către me-qr.com, un serviciu legitim de creare și scanare a codurilor QR. Această pagină arată că acest cod QR a fost scanat cu succes și are un buton etichetat „Skip Advertisement”.
-
Folderul SharePoint: Apăsarea butonului „Skip advertisement” conduce victima la o pagină reală SharePoint, aparent conectată cu afacerea imitată.
-
Fișierul .url și pagina de phishing M365: Dacă victima deschide fișierul din SharePoint, este redirecționată către payload-ul final: o pagină OneDrive falsă. Formularul de autentificare Microsoft 365 apare pentru a fura acreditările victimei.
Tehnica de evitare
Quishing 2.0 implică două coduri QR. Primul cod QR, sau „Bad”, duce la pagina legitimă SharePoint asociată cu un cont de afaceri compromis sau falsificat, care apoi conduce la pagina de phishing. Atacatorii generează un al doilea cod QR „Clean” de pe rezultatul paginii anunțului. Acest cod QR „Clean” este cel pe care victimele îl vor vedea în documentul PDF atașat, apărând complet legitim și evitând scanările inițiale de securitate ale e-mailurilor.
Protejarea împotriva Quishing
Soluțiile avansate de securitate, cum ar fi Perception Point’s Advanced Email Security, folosesc analiza URL dinamică și viziunea computerizată pentru a descompune straturile de Quishing 2.0 și pentru a identifica conținutul malițios. Aceste soluții includ și detectarea avansată a obiectelor și clicuri automate pentru a urmări întregul traseu al atacului, dezvăluind payload-urile malițioase ascunse sub straturi de servicii aparent legitime și coduri QR.
Pentru a se proteja împotriva unor astfel de atacuri, utilizatorii trebuie să fie atenți la e-mailurile care conțin coduri QR, să verifice întotdeauna sursa mesajului și să folosească soluții avansate de securitate care sunt capabile să detecteze și să prevină aceste tipuri de atacuri.
Sursa articolului:
https://cybersecuritynews.com/qr-phishing-email-security-sharepoint/