Η Microsoft QR Code Απάτη Στοχεύει στα Διαπιστευτήρια του Χρήστη: Ειδικοί

By: Fatima P.Last updated:February 27, 2025

Εμπειρογνώμονες στον κυβερνοχώρο ανακάλυψαν μια νέα εκστρατεία απάτης με QR κώδικες, γνωστή και ως "quishing", που εκμεταλλεύεται το Microsoft Sway για να φιλοξενήσει ψεύτικες σελίδες προσγείωσης και κλέβει διαπιστευτήρια, κωδικούς πολλαπλών παραγόντων επαλήθευσης (MFA) και cookies.

Το Sway είναι μια δωρεάν εφαρμογή ψηφιακού αφηγηματικού περιεχομένου βασισμένη στο cloud, που ξεκίνησε το 2015 ως μέρος της οικογένειας προϊόντων Microsoft 365. Επιτρέπει στους χρήστες να δημιουργούν και να μοιράζονται διαδραστικά σχέδια για αναφορές, προσωπικές ιστορίες, παρουσιάσεις, έγγραφα και άλλα.

Το Netskope Threat Labs, μια εταιρεία κυβερνοασφάλειας, κατέγραψε για πρώτη φορά το απάτημα quishing τον Ιούλιο του 2024. Η εταιρεία διέπραξε αύξηση 2.000 φορές στις καμπάνιες κυβερνοεπιθέσεων στο Sway, χρησιμοποιώντας μια πληθώρα τακτικών για να παρακάμψει τις λύσεις κυβερνοασφάλειας της Microsoft.

Αυτές οι σειρές κυβερνοεπιθέσεων στρεφόνταν κυρίως κατά των τεχνολογίας, της βιομηχανίας και του χρηματοοικονομικού τομέα, ιδιαίτερα στην Ασία και στη Βόρεια Αμερική.

Οι καμπάνιες αλιείας φαινομένου QR code της Microsoft ξεκίνησαν από email, επιβεβαιώνει η Neskope.

Microsoft QR code phishing

Οι ερευνητές ανακάλυψαν ότι τα emails που στάλθηκαν σε χρήστες του Sway ανακατευθύνονταν σε σελίδες φισαλινγκ που φιλοξενούνταν στον τομέα sway.cloud.microsoft. ψεύτικος κωδικός QR , τα οποία προτράπηκαν οι χρήστες να σκανάρουν για να τους οδηγήσουν σε άλλες κακόβουλες ιστοσελίδες.

Καθώς ο URL είναι ενσωματωμένος μέσα σε μια εικόνα, οι σαρώστες ηλεκτρονικού ταχυδρομείου που μπορούν μόνο να σαρώσουν περιεχόμενο βασισμένο σε κείμενο μπορεί να τον παρακάμψουν. Επιπλέον, όταν ένας χρήστης λαμβάνει έναν κώδικα QR, ενδέχεται να χρησιμοποιήσει άλλη συσκευή, όπως το κινητό τηλέφωνο του, για να σαρώσει τον κώδικα. Οι ερευνητές της Netskope παρατήρησαν.

Το να ωθείτε τους χρήστες να χρησιμοποιήσουν τα κινητά τους τηλέφωνα για να σκανάρουν αυτούς τους κωδικούς QR είναι μια κοινή στρατηγική απάτης, καθώς τα περισσότερα τηλέφωνα έρχονται με ασθενέστερα μέτρα ασφαλείας.

Οι κακόβουλοι δράστες είναι πιθανό να παρακάμψουν τους ελέγχους ασφαλείας κατά του phishing στα smartphones, καθώς συχνά δε διαθέτουν λογισμικό αντιιών ή λύσεις Endpoint Detection and Response, τα οποία συνήθως υπάρχουν μόνο στους Η/Υ.

Καθώς οι μέτρα ασφαλείας που εφαρμόζονται σε φορητές συσκευές, ιδιαίτερα σε προσωπικά κινητά τηλέφωνα, συνήθως δεν είναι τόσο αυστηρά όσο στους φορητούς υπολογιστές και τους επιτραπέζιους, οι θύματα είναι συχνά πιο ευάλωτα στην κακοποίηση. ερευνητές πρόσθεσαν

Οι καμπάνιες απάτης με QR κώδικα εκμεταλλεύτηκαν το Cloudflare Turnstile για να αποφευχθεί η ανίχνευση.

QR code data phishing

Αυτό που καθιστά αυτές τις καμπάνιες τα οποίαν αποσκοπούν στην απάτη πολύ πιο αποτελεσματικές είναι η χρήση αξιόπιστου λογισμικού για τον ιστό προκειμένου να φαίνονται πιο αξιόπιστες και να αποφεύγουν την ανίχνευση των απάτης.

Οι ερευνητές επιβεβαίωσαν ότι αυτοί οι απατεώνες χρησιμοποίησαν το Cloudflare Turnstile για να κρύψουν τις σελίδες προορισμού τους από σαρωτές στατικών URL και υπηρεσίες φιλτραρίσματος ιστού. Αυτό τους βοήθησε να διατηρήσουν μια καλή φήμη, κάνοντάς τους ανεντοπίστους ακόμη και από εργαλεία που προορίζονται να προστατεύουν τις ιστοσελίδες από bots.

Οι κυβερνοεπιτιθέμενοι εκμεταλλεύτηκαν επίσης το διαφανές ψαρέμα, το οποίο χρησιμοποιεί επιθέσεις ανταγωνιστή-στη-μέση. Cette tactique d'escroquerie άρπαξε κωδικοί πολλαπλών παραγόντων πιστοποίησης μέσω μιας σελίδας που μοιάζει με αυτήν ενώ ταυτόχρονα συνδέεται στο νόμιμο λογαριασμό του θύματος στη Microsoft.

Χρησιμοποιώντας την τακτική των συνδεδεμένων λογαριασμών Microsoft, έκαναν τους χρήστες να πιστεύουν ότι είχαν πρόσβαση σε νόμιμο ιστότοπο, κερδίζοντας έτσι την εμπιστοσύνη τους και χαμηλώνοντας τη φρουρά τους.

Χρησιμοποιώντας νόμιμες εφαρμογές στο cloud, οι επιτιθέμενοι παρέχουν αξιοπιστία στα θύματα, βοηθώντας τα να εμπιστευτούν το περιεχόμενο που παρέχει.

Επιπλέον, ένα θύμα χρησιμοποιεί το λογαριασμό του Microsoft 365 στον οποίο έχει ήδη συνδεθεί όταν ανοίγει μια σελίδα Sway, κάτι που μπορεί να τον πείσει για την αυθεντικότητά της. Οι ερευνητές της Netskope παρατήρησαν.

"Αυτή δεν είναι η πρώτη φορά": Το Microsoft Sway έχει ιστορικό επιθέσεων phishing.

Τον Απρίλιο του 2020, κακόβουλοι δράστες πραγματοποίησαν μια παρόμοια επίθεση με ψαρέμα (phishing) με την ονομασία PerSwaysion, στοχεύοντας τα διαπιστευτήρια σύνδεσης στο Office 365 χρησιμοποιώντας ένα phishing kit που περιλαμβάνεται σε μια λειτουργία malware-as-a-service (MaaS).

Οι ερευνητές ασφάλειας της Group-IB ανακάλυψαν ότι η εκστρατεία χρησιμοποίησε το Microsoft Sway για να στοχεύσει υψηλόβαθμους αξιωματούχους και διευθυντές μικρών και μεσαίων επιχειρήσεων στον χώρο των χρηματοοικονομικών υπηρεσιών, νομικών εταιρειών και ομάδων ακινήτων.

Πάνω από 156 διαπιστευτήρια συλλέχθηκαν με την παραβίαση των εταιρικών τους ηλεκτρονικών ταχυδρομείων. Τουλάχιστον 20 από αυτούς τους phishing λογαριασμούς ανήκουν σε διευθυντικά στελέχη σε διάφορες εταιρείες στις ΗΠΑ, τον Καναδά, τη Γερμανία, το Χονγκ Κονγκ, τη Σιγκαπούρη, τις Κάτω Χώρες και το Ηνωμένο Βασίλειο.

Τα στοιχεία υποδηλώνουν ότι οι απατεώνες πιθανόν να χρησιμοποιούν τα προφίλ στο LinkedIn για να αξιολογήσουν τη θέση των πιθανών θυμάτων.

Μια τέτοια τακτική μειώνει την πιθανότητα νωρίς προειδοποίησης από τους συναδέλφους του τρέχοντος θύματος και αυξάνει το ποσοστό επιτυχίας του νέου κύκλου spear-phishing. Οι ερευνητές της Group-IB δήλωσαν.

Η εικονική φύση των QR κωδικών χρησιμοποιείται για την έναρξη καμπανιών phishing.

Fake QR codes

Η βελτίωση των μέτρων κυβερνοασφάλειας και αντιμετώπισης παραμένει μία από τις κύριες αποστολές των τεχνολογικών εταιρειών όπως η Microsoft και οργανισμών λογισμικού ως υπηρεσία. δωρεάν δημιουργός QR κωδικών Translate the following sentence into Greek, ensuring that the meaning, tone, and style are preserved and provide only the translation: "Can you please help me with this translation?" Μπορείς να με βοηθήσεις με αυτήν τη μετάφραση;

Με την εξέλιξη όλο και πιο αυστηρών μέτρων κυβερνοασφάλειας, ωστόσο, οι κακόβουλοι δράστες ενισχύουν επίσης τις επιθέσεις τους quishing και τα αντίμετρά τους. Γίνονται πιο έξυπνοι αξιοποιώντας τα κενά στις νόμιμες εφαρμογές κυβερνοασφάλειας κατά τους ίδιους.

Όπως αποδείχθηκε από αυτές τις επιθέσεις phishing στο Sway, η ευπάθεια βρίσκεται στις απειλές που βασίζονται σε εικόνες, όπως οι κωδικοί QR. Τα περισσότερα σαρώματα email ήταν καλλιματρημένα μόνο για το σάρωση περιεχομένου που βασίζεται σε κείμενο, όχι σε URLs μέσα στις εικόνες.

Η χρήση κωδικών QR για την ανακατεύθυνση θυμάτων σε ιστότοπους phishing αντιμετωπίζει μερικές προκλήσεις για τους υπερασπιστές.

Καθώς ο σύνδεσμος URL είναι ενσωματωμένος μέσα σε μια εικόνα, οι σαρώσεις email που μπορούν να σαρώσουν μόνο περιεχόμενο βάσει κειμένου μπορούν να παρακαμφθούν. Το Netskope αποκρίθηκε.

Οι εταιρείες πρέπει να αναθεωρήσουν τις πολιτικές ασφαλείας τους και να ενισχύσουν την κυβερνοασφάλεια.

Η προώθηση καμπανιών phishing σηματοδοτεί στις οργανώσεις να εξετάσουν τις πολιτικές τους κυβερνοασφάλειας σχετικά με τον έλεγχο και διαχείριση της κυκλοφορίας δεδομένων στον ιστό και τον νέφους. Καλύτερες πολιτικές σημαίνουν λιγότερες πιθανότητες για τους εργαζομένους να έχουν πρόσβαση σε κακόβουλες ιστοσελίδες.

Ταυτόχρονα, συνιστάται στους μεμονωμένους χρήστες να ελέγχουν τις διευθύνσεις URL πριν κάνουν κλικ. Ακόμη καλύτερα, πληκτρολογήστε απευθείας την ιστοσελίδα στη γραμμή διευθύνσεων του προγράμματος περιήγησης για να αποφύγετε την πέφτηλη στην απάτη με QR κώδικες.

"Η απάτη βασισμένη σε κώδικες QR έχει γίνει πρόσφατα ένα μείζον πρόβλημα και φαίνεται απίθανο να μειωθεί. Πρόσφατα, ερευνητική έκθεση της Cofense βρήκε αύξηση 331% στις αναφορές ενεργών κινδύνων με QR κώδικα." Ο Max Gannon από την Cofense είπε.

Η κατάχρηση του Microsoft Sway σε αυτήν την καμπάνια υπογραμμίζει επιπλέον ότι οι απειλούμενοι φορείς έχουν έτοιμο, εύκολο τρόπο να παρακάμψουν πολλούς αυτοματοποιημένους ελέγχους ασφαλείας - απλά εκμεταλλευτείτε ένα αξιόπιστο υπηρεσία κοινής χρήσης. Πρόσθεσε ο Γκάνον.