近日，Cofense發(fā)現(xiàn)了一次專門針對美國能源公司的網(wǎng)絡(luò)釣魚攻擊活動，攻擊者利用二維碼將惡意電子郵件塞進收件箱并繞過安全系統(tǒng)。

Cofense 方面表示，這是首次發(fā)現(xiàn)網(wǎng)絡(luò)釣魚行為者如此大規(guī)模的使用二維碼進行釣魚攻擊，這表明他們可能正在測試用二維碼作為攻擊載體的有效性。

在歸因于該活動的 1,000 封電子郵件中，約有三分之一（29%）是針對美國一家大型能源公司的，其余的則是針對制造業(yè)（15%）、保險業(yè)（9%）、科技業(yè)（7%）和金融服務(wù)業(yè)（6%）的公司。

不過Cofense 并沒有透露此次活動的目標(biāo)能源公司具體名稱，只將其歸類為美國的一家 "大型 "公司。

二維碼釣魚活動 來源：Cofense Cofense

網(wǎng)絡(luò)釣魚中的二維碼

Cofense 方面稱，攻擊開始時會先發(fā)送一封釣魚電子郵件，提醒收件人必須盡快更新其 Microsoft 365 帳戶設(shè)置。郵件中的 PNG 或 PDF 附件會帶有二維碼，收件人會被提示掃描以驗證其賬戶。為了增加緊迫感，郵件還指出收件人必須在 2-3 天內(nèi)完成這一步驟。

網(wǎng)絡(luò)釣魚電子郵件樣本 來源：Cofense Cofense

威脅行為者使用嵌入在圖片中的 QR 代碼繞過電子郵件安全工具，這些工具會掃描郵件中的已知惡意鏈接，從而使網(wǎng)絡(luò)釣魚郵件到達目標(biāo)收件箱。

為了規(guī)避安全問題，釣魚活動中的 QR 代碼還使用了必應(yīng)、Salesforce 和 Cloudflare 的 Web3 服務(wù)中的重定向功能，將目標(biāo)重定向到 Microsoft 365 釣魚頁面。

在 QR 代碼中隱藏重定向 URL、濫用合法服務(wù)以及為釣魚鏈接使用 base64 編碼都有助于逃避檢測和通過電子郵件保護過濾器。

重定向 URL 示例（Cofense）

網(wǎng)絡(luò)犯罪分子利用二維碼竊取憑證和財務(wù)信息

QR 碼過去也曾被攻擊者用于其在法國和德國的網(wǎng)絡(luò)釣魚活動，盡管規(guī)模較小。此外，這些詐騙者還利用二維碼誘騙人們掃描，并將他們重定向到惡意網(wǎng)站，試圖竊取他們的錢財。

2022 年 1 月，美國聯(lián)邦調(diào)查局警告稱，網(wǎng)絡(luò)犯罪分子越來越多地利用二維碼竊取憑證和財務(wù)信息。盡管二維碼能有效繞過保護措施，但它仍然需要受害者采取行動才能被破解，這是一個有利于訓(xùn)練有素人員的決定性緩解因素。

此外，現(xiàn)代智能手機上的大多數(shù)二維碼掃描器都會要求用戶在啟動瀏覽器前驗證目標(biāo) URL，以此作為保護措施。

除培訓(xùn)外，Cofense 還建議企業(yè)使用圖像識別工具作為其網(wǎng)絡(luò)釣魚防護措施的一部分，盡管這些工具不能保證捕捉到所有 QR 代碼威脅。