Microsoft QR-code Phishing richt zich op gebruikersreferenties: Experts

By: Fatima P.Last updated:February 27, 2025

Cybersecurity experts hebben een nieuwe QR-code phishingcampagne ontdekt, ook bekend als "quishing", die Microsoft Sway misbruikt om valse landingspagina's te hosten en referenties, multi-factor authenticatie (MFA) codes, en cookies te stelen.

Sway is een gratis op de cloud gebaseerde digitale verhalenvertel-app gelanceerd in 2015 als onderdeel van de Microsoft 365-familie van producten. Het stelt gebruikers in staat om interactieve ontwerpen te maken en te delen voor rapporten, persoonlijke verhalen, presentaties, documenten en meer.

Netskope Threat Labs, een cybersecuritybedrijf, registreerde de quishing zwendel voor het eerst in juli 2024. Het bedrijf ontdekte een 2.000-voudige toename in cyberaanvalcampagnes op Sway, waarbij een reeks tactieken werd gebruikt om de cybersecurityoplossingen van Microsoft te omzeilen.

Deze golven van cyberaanvallen richtten zich voornamelijk op de technologie-, fabricage- en financiële industrieën, vooral in Azië en Noord-Amerika.

Microsoft QR-code phishingcampagnes zijn afkomstig van e-mails, zo bevestigt Neskope.

Microsoft QR code phishing

Onderzoekers ontdekten dat e-mails die naar Sway-gebruikers werden verzonden, werden omgeleid naar phishinglandingspagina's gehost op het sway.cloud.microsoft domein. Deze phishingpagina's toonden een neppe QR-code die gebruikers werden aangemoedigd om te scannen om ze naar andere kwaadaardige webpagina's te leiden.

Aangezien de URL is ingesloten in een afbeelding, kunnen e-mailscanners die alleen tekstgebaseerde inhoud kunnen scannen worden omzeild. Bovendien kan een gebruiker, wanneer deze een QR-code ontvangt, een ander apparaat gebruiken, zoals hun mobiele telefoon, om de code te scannen. Onderzoekers van Netskope hebben waargenomen.

Het aansporen van gebruikers om hun mobiele telefoons te gebruiken om deze QR-codes te scannen is een veelvoorkomende oplichtingsstrategie, aangezien de meeste telefoons minder sterke beveiligingsmaatregelen hebben.

Kwaadwillende personen zullen waarschijnlijk beveiligingscontroles tegen phishing op smartphones omzeilen, aangezien deze vaak niet zijn uitgerust met antivirussoftware of Endpoint Detection and Response-oplossingen, die meestal alleen aanwezig zijn op pc's.

Doordat de beveiligingsmaatregelen die op mobiele apparaten zijn geïmplementeerd, met name persoonlijke mobiele telefoons, meestal niet zo streng zijn als die op laptops en desktops, zijn slachtoffers vaak kwetsbaarder voor misbruik. onderzoekers toegevoegd.

QR-code phishingcampagnes maakten gebruik van Cloudflare Turnstile om detectie te vermijden.

QR code data phishing

Wat deze quishing-campagnes aanzienlijk effectiever maakt, is het gebruik van vertrouwde websoftware om geloofwaardiger over te komen en detectie van hun oplichtingstactieken te ontwijken.

Onderzoekers hebben bevestigd dat deze oplichters Cloudflare Turnstile gebruikten om hun landingspagina's te verbergen voor statische URL-scanners en webfilteringsdiensten. Het hielp de oplichters om een goede reputatie te behouden, waardoor ze zelfs voor tools die bedoeld zijn om websites te beschermen tegen bots, onzichtbaar werden.

Cyberaanvallers maakten ook gebruik van transparante phishing, waarbij adversary-in-the-middle aanvallen worden ingezet. Deze oplichtingstactiek heeft gestolen. meervoudige authenticatiecodes door middel van een soortgelijke pagina terwijl tegelijkertijd wordt ingelogd op het legitieme Microsoft-account van het slachtoffer.

Door de tactiek van ingelogde Microsoft-accounts te gebruiken, dachten gebruikers dat ze toegang hadden tot een legitieme website, waardoor ze vertrouwen kregen en hun waakzaamheid verminderden.

Door legitieme cloudtoepassingen te gebruiken, geven aanvallers geloofwaardigheid aan slachtoffers, waardoor zij vertrouwen hebben in de inhoud die het serveert.

Bovendien gebruikt een slachtoffer hun Microsoft 365-account waarop ze al zijn ingelogd wanneer ze een Sway-pagina openen, dat kan hen helpen te overtuigen van de legitimiteit ervan. Onderzoekers van Netskope merkten op.

‘Dit is niet de eerste keer’: Microsoft Sway heeft een geschiedenis van phishing-aanvallen.

In april 2020 hebben kwaadwillende actoren een vergelijkbare phishingcampagne uitgevoerd genaamd PerSwaysion, gericht op het verkrijgen van inloggegevens voor Office 365 met behulp van een phishing-kit in een malware-als-een-dienst (MaaS)-operatie.

Groep-IB beveiligingsonderzoekers ontdekten dat de campagne gebruik maakte van Microsoft Sway om hoge functionarissen en directeuren van kleine tot middelgrote financiële dienstverleners, advocatenkantoren en vastgoedgroepen te targeten.

Meer dan 156 referenties zijn verzameld door hun zakelijke e-mails te compromitteren. Ten minste 20 van deze gehengelde accounts behoren toe aan leidinggevenden bij diverse bedrijven in de VS, Canada, Duitsland, Hongkong, Singapore, Nederland en het Verenigd Koninkrijk.

Bewijs wijst erop dat oplichters waarschijnlijk LinkedIn-profielen gebruiken om potentiële slachtoffers te beoordelen.

"Een dergelijke tactiek vermindert de mogelijkheid van vroegtijdige waarschuwing van de huidige collega's van het slachtoffer en verhoogt het succespercentage van de nieuwe phishingcyclus." Onderzoekers van Group-IB zeiden.

De op beeld gebaseerde aard van QR-codes wordt benut om phishingcampagnes te starten.

Fake QR codes

Het verbeteren van cybersecurity maatregelen en tegenmaatregelen blijft een van de belangrijkste missies van technologiebedrijven zoals Microsoft en software-as-a-service organisaties die een aanbieden. gratis QR-code generator Translate the following sentence into Dutch, ensuring that the meaning, tone, and style are preserved and provide only the translation: online. "instructions for setting up the new software will be available online."

Te midden van het ontwikkelen van strengere cybersecurity-maatregelen versterken kwaadwillende actoren echter ook hun phishingcampagnes en tegenmaatregelen. Ze worden slimmer door de zwakke plekken in legitieme cybersecurity-apps tegen henzelf te gebruiken.

Zoals aangetoond door deze phishingaanvallen op Sway, ligt de kwetsbaarheid in afbeeldingsgebaseerde bedreigingen, zoals QR-codes. De meeste e-mailscanners waren slechts gekalibreerd om tekstgebaseerde inhoud te scannen, niet de URL's binnen afbeeldingen.

Het gebruik van QR-codes om slachtoffers om te leiden naar phishingwebsites brengt enkele uitdagingen met zich mee voor verdedigers.

Aangezien de URL is ingebed in een afbeelding, kunnen e-mailscanners die alleen tekstgebaseerde inhoud kunnen scannen worden omzeild. Netskope reageerde.

Bedrijven moeten hun beveiligingsbeleid herzien en cybersecurity intensiveren.

Het opvoeren van phishingcampagnes signaleert organisaties om hun cybersecuritybeleid voor het scannen en filteren van web- en cloudverkeer te herzien. Betere beleidsmaatregelen betekenen minder kans dat werknemers kwaadaardige websites bezoeken.

Tegelijkertijd wordt individuele gebruikers geadviseerd om URL's te controleren voordat ze erop klikken. Nog beter is om de website rechtstreeks in de adresbalk van de browser in te typen om te voorkomen dat u slachtoffer wordt van QR-code phishing scams.

QR-code gebaseerde phishing is onlangs een groot probleem geworden en lijkt onwaarschijnlijk af te nemen. Onlangs vond het onderzoek van Cofense een toename van 331% in meldingen van actieve bedreigingen via QR-codes. Max Gannon van Cofense zei.

Het misbruik van Microsoft Sway in deze campagne benadrukt verder dat bedreigingsactoren een kant-en-klare, gemakkelijke manier hebben om veel geautomatiseerde beveiligingscontroles te omzeilen - eenvoudigweg een vertrouwde deel-service misbruiken. Gannon voegde toe.