Sikkerhedseksperter har opdaget en ny QR-kode phishingkampagne, også kendt som "quishing", der udnytter Microsoft Sway til at hoste falske landingssider og stjæle legitimationsoplysninger, to-trins verifikationskoder og cookies.
Sway er en gratis cloud-baseret digital fortælle-app, lanceret i 2015 som en del af Microsoft 365 families af produkter. Det giver brugerne mulighed for at skabe og dele interaktive design til rapporter, personlige historier, præsentationer, dokumenter og meget mere.
Netskope Threat Labs, et cybersikkerhedsfirma, registrerede først quishing-svindel i juli 2024. Virksomheden opdagede en 2.000 gange stigning i cyberangrebskampagner på Sway, ved hjælp af en række taktikker for at omgå Microsofts cybersikkerhedsløsninger.
Disse bølger af cyberangreb sigtede primært mod teknologi, produktion og finansielle industrier, især i Asien og Nordamerika.
Microsoft QR-kode phishing-kampagner stammer fra e-mails, bekræfter Neskope.

Forskere fandt ud af, at e-mails sendt til Sway-brugere omdirigerede til phishing-landingssider hostet på sway.cloud.microsoft-domænet. Disse phishing-sider viste en falsk QR-kode , som brugerne blev opfordret til at scanne for at lede dem til andre skadelige websteder.
Da URL'en er indlejret i et billede, kan e-mailscannere, der kun kan scanne tekstbaseret indhold, omgås. Derudover kan en bruger, når de modtager en QR-kode, bruge en anden enhed, f.eks. deres mobiltelefon, til at skanne koden. Netskope-researchere observerede.
At opfordre brugere til at bruge deres mobiltelefoner til at scanne disse QR-koder er en almindelig svindelstrategi, da de fleste telefoner leveres med svagere sikkerhedsforanstaltninger.
Ondsindeende aktører har sandsynligvis nemt ved at omgå sikkerhedsforanstaltninger mod phishing på smartphones, da de ofte ikke er udstyret med antivirussoftware eller løsninger til slutpunktsovervågning og -respons, som normalt kun er til stede på computere.
Da sikkerhedsforanstaltningerne implementeret på mobile enheder, især personlige mobiltelefoner, typisk ikke er så strenge som på bærbare computere og stationære computere, er ofre derfor ofte mere sårbare over for misbrug. forskere tilføjede.
QR-kode phishing-kampagner udnyttede Cloudflare Turnstile for at undgå at blive opdaget.

Hvad gør disse svindelkampagner meget mere effektive, er brugen af pålidelig websoftware for at fremstå mere troværdige og undgå at blive opdaget for deres svindeltaktik.
Forskere bekræftede, at disse svindlere brugte Cloudflare Turnstile til at skjule deres landingssider for statiske URL-skannere og webfiltre. Det hjalp svindlerne med at opretholde en god reputation, hvilket gjorde dem uopdagede selv for værktøjer beregnet til at beskytte websteder mod bots.
Cyberangribere udnyttede også gennemsigtig phishing, der anvender adversary-in-the-middle angreb. Denne svindeltaktik stjal flerfaktor-autentificeringskoder gennem en lignende side, mens man samtidig logger ind på offerets legitime Microsoft-konto.
Ved at bruge taktikken med indloggede Microsoft-konti fik brugerne at tro, at de fik adgang til en legitim hjemmeside, hvilket gjorde, at de stolede og sænkede deres vagt.
Ved at bruge legitime cloud-applikationer giver angriberne troværdighed til ofrene, hvilket hjælper dem med at have tillid til det indhold, det serverer.
Desuden bruger en offer deres Microsoft 365-konto, som de allerede er logget ind på, når de åbner en Sway-side, hvilket kan hjælpe med at overbevise dem om dens legitimitet. Netskope-researchere bemærkede.
'Dette er ikke første gang': Microsoft Sway har en historik med phishing-angreb.
I april 2020 udførte skadelige aktører en lignende phishing-kampagne kaldet PerSwaysion, der målrettede Office 365-loginoplysninger ved hjælp af et phishing-kit inkluderet i en malware som en service-operation.
Sikkerhedsforskere fra Group-IB opdagede, at kampagnen udnyttede Microsoft Sway til at målrette mod højtstående embedsmænd og direktører i små til mellemstore finansielle tjenestevirksomheder, advokatfirmaer og ejendomsgrupper.
Over 156 legitimations blev høstet ved at kompromittere deres corporate e-mails. Mindst 20 af disse fiskede konti tilhører ledere fra forskellige virksomheder i USA, Canada, Tyskland, Hong Kong, Singapore, Holland og Storbritannien.
Beviser tyder på, at svindlere sandsynligvis bruger LinkedIn-profiler til at vurdere potentielle ofres situationer.
En sådan taktik reducerer muligheden for tidlig advarsel fra den nuværende offer kolleger og øger succesraten af den nye phishing cyklus. Gruppen-IB's forskere sagde.
QR-koders billedbaserede karakter udnyttes til at starte phishing-kampagner.

Forbedring af cybersikkerhedsforanstaltninger og modforanstaltninger forbliver en af de primære missioner for teknologivirksomheder som Microsoft og software- som-tjeneste-organisationer, der tilbyder en. gratis QR-kodegenerator Purchasing items online can be convenient and time-saving. Køb af varer online kan være praktisk og tidsbesparende.
Midt i udviklingen af mere stramme cybersikkerhedsforanstaltninger styrker ondsindede aktører imidlertid også deres fiskningskampagner og modforanstaltninger. De bliver klogere ved at udnytte hullerne i legitime cybersikkerhedsapps imod dem selv.
Som det demonstreres af disse phishing-angreb på Sway, ligger sårbaheden i trusler baseret på billeder, såsom QR-koder. De fleste email-scannere var kun kalibreret til at scanne tekstbaseret indhold, ikke webadresser i billeder.
At bruge QR-koder til at omdirigere ofre til phishingwebsites giver nogle udfordringer for forsvarerne.
Da URL'en er indlejret inde i et billede, kan e-mailskannere, der kun kan scanne tekstbaseret indhold, blive omgået. Netskope svarede igen.
Virksomheder skal genbesøge deres sikkerhedspolitikker og intensivere cybersikkerhed.
Fremskridt i phishing-kampagner signalerer organisationer om at gennemgå deres cybersikkerhedspolitikker vedrørende scanning og filtrering af web- og skytrafik. Bedre politikker betyder færre chancer for, at medarbejdere får adgang til skadelige websteder.
Samtidig anbefales det, at individuelle brugere tjekker URL'er, før de klikker. Endnu bedre er det at skrive websiden direkte i browserens adressefelt for at undgå at blive narret af QR-kode phishing-svindel.
QR-kode baseret phishing er for nylig blevet et stort problem og ser ud til usandsynligt at aftage. For nylig fandt Cofenses forskning en 331% stigning i rapporter om aktive trusler fra QR-koder. Max Gannon fra Cofense sagde.
Misbruget af Microsoft Sway i denne kampagne understreger yderligere, at trusselsaktører har en klar, let måde at omgå mange automatiserede sikkerhedskontroller på – blot misbrug en betroet delingstjeneste. Gannon tilføjede.