近日，Cofense發(fā)現(xiàn)了一次專(zhuān)門(mén)針對(duì)美國(guó)能源公司的網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)，攻擊者利用二維碼將惡意電子郵件塞進(jìn)收件箱并繞過(guò)安全系統(tǒng)。

Cofense 方面表示，這是首次發(fā)現(xiàn)網(wǎng)絡(luò)釣魚(yú)行為者如此大規(guī)模的使用二維碼進(jìn)行釣魚(yú)攻擊，這表明他們可能正在測(cè)試用二維碼作為攻擊載體的有效性。

在歸因于該活動(dòng)的 1,000 封電子郵件中，約有三分之一（29%）是針對(duì)美國(guó)一家大型能源公司的，其余的則是針對(duì)制造業(yè)（15%）、保險(xiǎn)業(yè)（9%）、科技業(yè)（7%）和金融服務(wù)業(yè)（6%）的公司。

不過(guò)Cofense 并沒(méi)有透露此次活動(dòng)的目標(biāo)能源公司具體名稱(chēng)，只將其歸類(lèi)為美國(guó)的一家 "大型 "公司。

二維碼釣魚(yú)活動(dòng) 來(lái)源：Cofense Cofense

網(wǎng)絡(luò)釣魚(yú)中的二維碼

Cofense 方面稱(chēng)，攻擊開(kāi)始時(shí)會(huì)先發(fā)送一封釣魚(yú)電子郵件，提醒收件人必須盡快更新其 Microsoft 365 帳戶(hù)設(shè)置。郵件中的 PNG 或 PDF 附件會(huì)帶有二維碼，收件人會(huì)被提示掃描以驗(yàn)證其賬戶(hù)。為了增加緊迫感，郵件還指出收件人必須在 2-3 天內(nèi)完成這一步驟。

網(wǎng)絡(luò)釣魚(yú)電子郵件樣本 來(lái)源：Cofense Cofense

威脅行為者使用嵌入在圖片中的 QR 代碼繞過(guò)電子郵件安全工具，這些工具會(huì)掃描郵件中的已知惡意鏈接，從而使網(wǎng)絡(luò)釣魚(yú)郵件到達(dá)目標(biāo)收件箱。

為了規(guī)避安全問(wèn)題，釣魚(yú)活動(dòng)中的 QR 代碼還使用了必應(yīng)、Salesforce 和 Cloudflare 的 Web3 服務(wù)中的重定向功能，將目標(biāo)重定向到 Microsoft 365 釣魚(yú)頁(yè)面。

在 QR 代碼中隱藏重定向 URL、濫用合法服務(wù)以及為釣魚(yú)鏈接使用 base64 編碼都有助于逃避檢測(cè)和通過(guò)電子郵件保護(hù)過(guò)濾器。

重定向 URL 示例（Cofense）

網(wǎng)絡(luò)犯罪分子利用二維碼竊取憑證和財(cái)務(wù)信息

QR 碼過(guò)去也曾被攻擊者用于其在法國(guó)和德國(guó)的網(wǎng)絡(luò)釣魚(yú)活動(dòng)，盡管規(guī)模較小。此外，這些詐騙者還利用二維碼誘騙人們掃描，并將他們重定向到惡意網(wǎng)站，試圖竊取他們的錢(qián)財(cái)。

2022 年 1 月，美國(guó)聯(lián)邦調(diào)查局警告稱(chēng)，網(wǎng)絡(luò)犯罪分子越來(lái)越多地利用二維碼竊取憑證和財(cái)務(wù)信息。盡管二維碼能有效繞過(guò)保護(hù)措施，但它仍然需要受害者采取行動(dòng)才能被破解，這是一個(gè)有利于訓(xùn)練有素人員的決定性緩解因素。

此外，現(xiàn)代智能手機(jī)上的大多數(shù)二維碼掃描器都會(huì)要求用戶(hù)在啟動(dòng)瀏覽器前驗(yàn)證目標(biāo) URL，以此作為保護(hù)措施。

除培訓(xùn)外，Cofense 還建議企業(yè)使用圖像識(shí)別工具作為其網(wǎng)絡(luò)釣魚(yú)防護(hù)措施的一部分，盡管這些工具不能保證捕捉到所有 QR 代碼威脅。