Cybersicherheitsexperten haben eine neue QR-Code-Phishing-Kampagne entdeckt, die auch als "quishing" bekannt ist und Microsoft Sway ausnutzt, um gefälschte Landing Pages zu hosten und Anmeldedaten, Mehrfaktor-Authentifizierungscodes (MFA) und Cookies zu stehlen.
Sway ist eine kostenlose, cloudbasierte digitale Storytelling-App, die 2015 als Teil der Microsoft 365-Produktfamilie gestartet wurde. Sie ermöglicht es Benutzern, interaktive Designs für Berichte, persönliche Geschichten, Präsentationen, Dokumente und mehr zu erstellen und zu teilen.
Netskope Threat Labs, ein Cybersecurity-Unternehmen, hat den Quishing-Betrug erstmals im Juli 2024 erfasst. Das Unternehmen registrierte einen 2.000-fachen Anstieg von Cyberangriffskampagnen auf Sway und nutzte dabei eine Vielzahl von Taktiken, um die Cybersicherheitslösungen von Microsoft zu umgehen.
Diese Angriffswellen von Cyberattacken richteten sich hauptsächlich gegen die Technologie-, Fertigungs- und Finanzindustrien, insbesondere in Asien und Nordamerika.
Microsoft QR-Code-Phishing-Kampagnen stammen aus E-Mails, bestätigt Netskope.
Forscher fanden heraus, dass E-Mails, die an Sway-Benutzer gesendet wurden, auf Phishing-Landingpages umgeleitet wurden, die auf der Domain sway.cloud.microsoft gehostet wurden. Diese Phishing-Seiten zeigten eine fälschlicher QR-Code , zu denen Benutzer ermutigt wurden, um sie zu anderen bösartigen Webseiten zu führen.
Da die URL in einem Bild eingebettet ist, können E-Mail-Scanner, die nur Textinhalte scannen können, umgangen werden. Außerdem kann ein Benutzer, der einen QR-Code erhält, ein anderes Gerät, wie sein Mobiltelefon, verwenden, um den Code zu scannen. Netskope-Forscher haben beobachtet.
Benutzer dazu auffordern, ihre Mobiltelefone zu verwenden, um diese QR-Codes zu scannen, ist eine gängige Betrugsmasche, da die meisten Telefone über schwächere Sicherheitsvorkehrungen verfügen.
Bösartige Akteure sind wahrscheinlich in der Lage, Sicherheitskontrollen gegen Phishing auf Smartphones zu umgehen, da sie oft nicht mit Antivirensoftware oder Lösungen für Endpunkterkennung und -reaktion ausgestattet sind, die normalerweise nur auf PCs vorhanden sind.
Da die Sicherheitsmaßnahmen auf mobilen Geräten, insbesondere persönlichen Handys, typischerweise nicht so streng sind wie bei Laptops und Desktops, sind Opfer dann oft anfälliger für Missbrauch. Forscher hinzugefügt.
QR-Code-Phishing-Kampagnen nutzten Cloudflare Turnstile aus, um nicht entdeckt zu werden.
Was diese betrügerischen Kampagnen viel effektiver macht, ist die Verwendung von vertrauenswürdiger Websoftware, um glaubwürdiger zu erscheinen und die Entdeckung ihrer betrügerischen Taktiken zu umgehen.
Forscher bestätigten, dass diese Betrüger Cloudflare Turnstile nutzten, um ihre Zielseiten vor statischen URL-Scannern und Webfilterdiensten zu verbergen. Dadurch konnten die Betrüger ihre gute Reputation aufrechterhalten und blieben selbst für Tools, die Websites vor Bots schützen sollen, unentdeckt.
Cyberangreifer nutzten auch transparentes Phishing, das Zwischenangriffe nutzt. Diese Betrugstaktik ermöglichte es, mehrstufige Authentifizierungscodes über eine ähnlich aussehende Seite, während gleichzeitig in das legitime Microsoft-Konto des Opfers eingeloggt wird.
Durch die Taktik der angemeldeten Microsoft-Konten ließen die Benutzer denken, dass sie auf eine legitime Website zugreifen, was ihr Vertrauen gewann und ihre Wachsamkeit senkte.
Durch die Verwendung legitimer Cloud-Anwendungen geben Angreifer Glaubwürdigkeit an die Opfer weiter, was diesen hilft, dem bereitgestellten Inhalt zu vertrauen.
Zusätzlich nutzt ein Opfer sein Microsoft 365-Konto, in das es bereits eingeloggt ist, wenn es eine Sway-Seite öffnet, was dazu beitragen kann, es von deren Legitimität zu überzeugen. Netskope-Forscher stellten fest.
"Dies ist nicht das erste Mal": Microsoft Sway hat eine Historie von Phishing-Angriffen.
Im April 2020 führten bösartige Akteure eine ähnliche Phishing-Kampagne namens PerSwaysion durch, bei der sie Office-365-Anmeldeinformationen als Ziel hatten und dabei ein Phishing-Kit verwendeten, das in einer Malware-als-Service-Operation enthalten war.
Die Sicherheitsforscher von Group-IB entdeckten, dass die Kampagne Microsoft Sway einsetzte, um hochrangige Beamte und Direktoren von kleinen und mittelgroßen Finanzdienstleistungsunternehmen, Anwaltskanzleien und Immobiliengruppen ins Visier zu nehmen.
Über 156 Anmeldeinformationen wurden durch Kompromittierung ihrer Firmen-E-Mails abgegriffen. Mindestens 20 dieser gefischten Konten gehören zu Führungskräften verschiedener Unternehmen in den USA, Kanada, Deutschland, Hongkong, Singapur, den Niederlanden und dem Vereinigten Königreich.
Beweise deuten darauf hin, dass Betrüger wahrscheinlich LinkedIn-Profile nutzen, um potenzielle Opfer zu analysieren.
Eine solche Taktik reduziert die Möglichkeit einer frühzeitigen Warnung durch die Kollegen des aktuellen Opfers und erhöht die Erfolgsrate des neuen Phishing-Zyklus. Group-IB Forscher sagten.
Das bildbasierte Wesen von QR-Codes wird ausgenutzt, um Phishing-Kampagnen zu starten.
Die Verbesserung von Cybersicherheitsmaßnahmen und Gegenmaßnahmen bleibt eine der wichtigsten Aufgaben von Technologieunternehmen wie Microsoft und Software-as-a-Service-Organisationen, die eine anbieten. kostenloser QR-Code-Generator Translate the following sentence into German, ensuring that the meaning, tone, and style are preserved: "I will do my best to support you in completing this project." Translation: Ich werde mein Bestes geben, um dich bei der Fertigstellung dieses Projekts zu unterstützen.
Inmitten der Entwicklung strengerer Cybersicherheitsmaßnahmen verstärken jedoch auch bösartige Akteure ihre Phishing-Kampagnen und Gegenmaßnahmen. Sie werden schlauer, indem sie die Schwachstellen in legitimen Cybersicherheits-Apps gegen diese selbst verwenden.
Wie durch diese Phishing-Angriffe auf Sway gezeigt, liegt die Verwundbarkeit in bildbasierten Bedrohungen wie QR-Codes. Die meisten E-Mail-Scanner waren nur auf das Scannen von textbasierten Inhalten kalibriert, nicht auf URLs innerhalb von Bildern.
Die Verwendung von QR-Codes, um Opfer auf Phishing-Websites umzuleiten, stellt für Verteidiger einige Herausforderungen dar.
Da die URL in einem Bild eingebettet ist, können E-Mail-Scanner, die nur textbasierte Inhalte scannen können, umgangen werden. Netskope konterte.
Unternehmen müssen ihre Sicherheitsrichtlinien überprüfen und die Cybersicherheit verstärken.
Die Fortentwicklung von Phishing-Kampagnen signalisiert Organisationen, ihre Cybersicherheitsrichtlinien für Web- und Cloud-Verkehrsüberwachung und -filterung zu überprüfen. Bessere Richtlinien bedeuten geringere Chancen, dass Mitarbeiter auf bösartige Websites zugreifen.
Gleichzeitig wird Einzelpersonen empfohlen, URLs zu überprüfen, bevor sie darauf klicken. Noch besser ist es, die Website direkt in die Adressleiste des Browsers einzugeben, um sich vor QR-Code-Phishing-Betrug zu schützen.
QR-Code-basiertes Phishing ist in letzter Zeit zu einem großen Problem geworden und scheint unwahrscheinlich, abzunehmen. Kürzlich hat die Forschung von Cofense einen Anstieg von 331 % bei Berichten über aktive Bedrohungen durch QR-Codes festgestellt. Max Gannon von Cofense sagte.
Der Missbrauch von Microsoft Sway in dieser Kampagne unterstreicht weiterhin, dass Angreifer eine fertige, einfache Möglichkeit haben, viele automatisierte Sicherheitskontrollen zu umgehen - einfach einen vertrauenswürdigen Sharing-Dienst missbrauchen. Gannon hinzugefügt.
