โปรแกรม Microsoft QR Code โจมตีผ่านการขโมยข้อมูลประจำตัวของผู้ใช้: ผู้เชี่ยวชาญ

ผู้เชี่ยวชาญด้านความปลอดภัยบนโลกออนไลน์ได้ค้นพบการรณรงแบบโฟลสโก้ด้วยรหัส QR ใหม่ ซึ่งเรียกว่า "quishing" ซึ่งใช้ Microsoft Sway เพื่อโฮสต์หน้าเดินทางปลอมและขโมยข้อมูลประจำตัว รหัสการตรวจสอบตัวตนแบบหลายช่อง (MFA) และคุกกี้ไปยัง.

Sway เป็นแอพพลิเคชันสร้างเรื่องราวดิจิทัลบนคลาวด์ที่เปิดให้บริการฟรี ได้เปิดตัวในปี 2015 เป็นส่วนหนึ่งของครอบครัวผลิตภัณฑ์ Microsoft 365 มันช่วยให้ผู้ใช้สามารถสร้างและแชร์การออกแบบแบบกราฟิกแบบโต้ตอบสำหรับรายงาน นิทานส่วนตัว งานนำเสนอ เอกสาร และอื่น ๆ อีกด้วย

NetSkope Threat Labs, บริษัทด้านความปลอดภัยของเครือข่าวเงินครั้งแรกบันทึกการทุจริงในการโกงแพียงในเดือนกรกฎาคม 2024 บริษัทตรวจจับการเพิ่มขึ้น 2,000 เท่าในการรณรงค์การโจมตีไซเบอร์บน Sway โดยใช้กลยุทธ์หลายรูปแบบเพื่อหลีกเลี่ยงโซลูชันด้านความปลอดภัยของ Microsoft

การโจมตีไซเบอร์ต่อตามเป้าหมายให้คะแนนเส้นโทยุะในส่วนใหญ่เป็นอุตสาหกรรมเทคโนโลยี การผลิต และการเงินโดยเฉพาะที่มีการกระจายลงทั่วทั้งในเอเชียและทวนอเมริกา

แคมเปญการหลอกลวงด้วย QR code ของ Microsoft มาจากอีเมล เนสคูป ยืนยัน

Microsoft QR code phishing

นักวิจัยพบว่าอีเมลที่ส่งไปยังผู้ใช้ Sway ถูกนำไปสู่หน้าลงชื่อเข้าใส่ที่พักอยู่บนโดเมน sway.cloud.microsoft ที่เหมือนเว็บไซต์สแปมต่อสู้เดินทาง. หน้าเว็บสแปมเหล่านี้แสดง提示ให้ผู้ใช้ป้องกันข้อมูลส่วนตัวของตน. โค้ด QR ปลอม ซึ่งผู้ใช้ถูกกีดกันให้อย่างแรงในการสแกนเพื่อนำไปสู่หน้าเว็บที่เป็นอันตรายอื่น ๆ

เนื่องจาก URL ถูกฝังอยู่ในภาพ โปรแกรมสแกนอีเมลที่สามารถสแกนเฉพาะข้อความอาจถูกวิ่งหนีไป นอกจากนี้ เมื่อผู้ใช้ได้รับโค้ด QR พวกเขาอาจใช้อุปกรณ์อื่น เช่นโทรศัพท์มือถือ เพื่อสแกนโค้ดได้ นักวิจัยของ Netskope มองเห็นว่าครับ/ค่ะ.

การยัดกระสุนผู้ใช้ให้ใช้โทรศัพท์มือถือสแกนรหัสคิวอาร์นี้เป็นเรื่องที่พบบ่อยในกลยุทธ์การล่อลวงเนื่องจากโทรศัพท์ส่วนมากมีมาตราฐานความปลอดภัยที่อ่อนแอมาก 

ผู้ไม่ประสงค์ดีมีโอกาสที่จะวางแผนเพื่อหลีกเลี่ยงการควบคุมด้านความปลอดภัยต่อการหลอกลวงบนสมาร์ตโฟน เนื่องจากพวกเขามักจะไม่มีซอฟต์แวร์ต้านไวรัสหรือโซลูชันการตรวจจับและตอบสนองใช้บนพีซี ซึ่งมักจะมีในเครื่องพีซีเท่านั้นครับ

ตั้งแต่มีมาตรการรักษาความปลอดภัยบนอุปกรณ์เคลื่อนที่ โดยเฉพาะโทรศัพท์มือถือส่วนตัว มักจะไม่ค่อยเข้มงวดเท่ากับแล็ปท็อปและเดสก์ท็อป ผู้เสียหายจึงมักมีโอกาสที่จะเป็นเป้าหมายของการละเมิดบ่อยขึ้น นักวิจัยเพิ่มเข้าไป

การแคมเปญการล่อใช้ QR code ใช้ Cloudflare Turnstile ในการหลบการตรวจจับ

QR code data phishing

สิ่งที่ทำให้แคมเปญที่ใช้เทคนิคการโกหกโกงเหล่านี้มีประสิทธิภาพมากขึ้นคือการใช้ซอฟต์แวร์เว็บที่เชื่อถือได้เพื่อดูเหมือนเชื่อถือได้มากขึ้นและหลบการตรวจจับของเทคนิคการโกหกโกงของพวกเขา

นักวิจัยยืนยันว่าหมวกหลอนเหล่านี้ใช้ Cloudflare Turnstile เพื่อซ่อนหน้าแรกของพวกเขาจากตัวสแกน URL แบบสถิตและบริการกรองเว็บ ซึ่งช่วยให้หมวกหลอนรักหน้าหน้าลัสติของพวกเขาได้ ทำให้พวกเขาหายไปจากการตรวจจับไปแม้กระทั่งตัวเครื่องมื่นเอาไว้เพื่อป้องกันเว็บไซต์จากโบต์ด้วย

ผู้โจมตีทางไซเบอร์ยังใช้เทคนิคการโจมตีด้วยการปลอมเว็บไซต์ (transparent phishing) ซึ่งใช้เทคนิค adversary-in-the-middle โจมตี ทำให้เกิดการโกงแล้วตรวจหาข้อมูลส่วนบุคคลได้ รหัสการตรวจสอบหลายปัจจัย ผ่านหน้าเพจที่มีลักษณะเหมือนกันพร้อมกับเข้าสู่ระบบในบัญชี Microsoft ของเหยื่อ และทำได้พร้อมกัน

การใช้กลยุทธ์ของบัญชี Microsoft ที่เข้าสู่ระบบได้ทำให้ผู้ใช้คิดว่าพวกเขากำลังเข้าถึงเว็บไซต์ที่ถูกต้อง, เพิ่มความมั่นใจและลดความระมัดระวังของพวกเขาในขั้นตอนนั้น

โดยใช้แอปพลิเคชันคลาวด์ที่ถูกต้อง ผู้โจมตีจะให้เสถียรภาพให้กับเหยื่อ ช่วยให้เขาไว้วางใจในเนื้อหาที่มันให้บริการ

นอกจากนี้เหยื่อใช้บัญชี Microsoft 365 ที่พวกเขาเข้าสู่ระบบอยู่แล้วเมื่อเปิดหน้าเว็บ Sway ซึ่งอาจช่วยสร้างความเชื่อให้พวกเขาว่ามีความถูกต้อง นักวิจัยของ Netskope สังเกต到​。

"นี่ไม่ใช่ครั้งแรก: Microsoft Sway มีประวัติการโจมตีด้วยการหลอกผู้ใช้"

ในเดือนเมษายน พ.ศ. 2563, ผู้กระทำทุจริตได้ดำเนินการแคมเปญการล่อเลียนที่คล้ายกันชื่อ PerSwaysion โดยเน้นการเป้าหมายในข้อมูลการเข้าสู่ระบบ Office 365 โดยใช้เครื่องมือการล่อเลียนที่รวมอยู่ในการดำเนินการให้เป็นเชิงศัพท์และการใช้เสียบริการมัลแวร์ (MaaS) ในการดำเนินการด้วยครับ

นักวิจัยด้านความปลอดภัยของ Group-IB ค้นพบว่าแคมเปญนี้ใช้ Microsoft Sway เพื่อเป้าหมายที่จะโจมตีกับบุคคลบริหารระดับสูงและผู้บริหารของบริษัทบริการทางการเงินขนาดเล็กถึงกลาง, บริษัทกฎหมาย, และกลุ่มอสังหาริมทรั.

จำนวนผู้ใช้งานมีใบรับรองต่างต่อกันมีจำนวนมากกว่า 156 ราย ที่ถูกกระทำการแอบซึ้งข้อมูลผ่านทางอีเมลล์บริษัทของตน อย่างน้อย 20 บัญชีที่ถูกโจมตีนี้เป็นบัญชีของเพื่อนบริหารในบริษัทต่างๆในสหรัฐอเมริกา แคนาดา เยอรมนี่ ฮ่องกง สิงคโปร์ เนเธอร์แลนด์ และสหราชอาณาจักร

ข้อมูลพยานชี้ให้เห็นว่าคนโกงส่วนใหญ่มักใช้โปรไฟล์บน LinkedIn เพื่อประเมินตำแหน่งของเหยื่อที่เป็นไปได้

วิธีการแบบนี้ลดโอกาสของการเตือนสัญญาณก่อนหน้าจากเพื่อนร่วมงานของเหยื่อปัจจุบัน และเพิ่มโอกาสให้รอบการโจมตีแฟซชิ่งใหม่สำเร็จมากขึ้น" นักวิจัยของกลุ่ม Group-IB กล่าว.

การใช้ภาพของรหัส QR ถูกใช้เพื่อเริ่มแคมเปญการดักล่อข้อมูลส่วนตัว

Fake QR codes

การปรับปรุงมาตรการด้านความปลอดภัยของระบบสารสนเทศและมาตรการป้องกันยังคงเป็นหนึ่งในพันธกิจหลักของ บริษัทเทคโนโลยีอย่าง Microsoft และองค์กรให้บริการซอฟต์แวร์เป็นบริการ สร้างรหัส QR ได้ฟรี โปรดอย่าลืมที่จะตรวจสอบอีเมลของคุณอย่างสม่ำเสมอโดยไม่ขาดความเร็วและความถูกต้อง.

ภายในขณะที่มีมาตรการด้านความปลอดภัยของระบบสารสนเทศที่เข้มงวดมากขึ้น นั่นไม่ได้อยู่กับดังนั้น คนที่มีไอบ้านก็กำลังเสริมความแข็งแกร่งในการดำเนินการ quishing และม่ายการป้องกันเชิงรุก. พวกเขากำลังฉลองความฉลาดโดยใช้ช่องว่างในแอปพลิเคชันด้านความปลอดภัยที่ถูกตัวเองชะลออยู่ต่อตนเอง.

ตามที่แสดงโดยการโจมตีด้วยการจลาจลใน Sway ความเสี่ยงตั้งอยู่ที่ภัยคุกคามที่พื้นฐานอยู่ในภาพที่สร้างความเสี่ยง เช่นรหัส QR สแกนเมลวีรูปสมบูรณ์จะได้รับการปรับแคละอย่างเพียงในเนื้อหาที่ใช้ข้อความหาย ไม่ใช่ URL ภายในภาพ

การใช้รหัส QR เพื่อนำเสนอผู้เสียหายไปยังเว็บไซต์การปลอมแอฟชิ่ง นั้นเป็นการท้าทายบางประการสำหรับผู้ป้องกันความปลอดภัยนั่นเองครับ/ค่ะ。

เนื่องจาก URL ถูกซ่อนอยู่ภายในภาพ, โปรแกรมสแกนอีเมลที่สามารถสแกนเนื้อหาเฉพาะข้อความอาจถูกหลบไปได้ เน็ตสโคปตอบโต้ 

บริษัทจำเป็นต้องตรวจสอบนโยบายด้านความปลอดภัยและเพิ่มระดับความปลอดภัยด้านไซเบอร์ที่ให้ความรุนแรงมากขึ้น

การก้าวหน้าของการโจมตีทรัพยากรด้านการพยากรณ์ทำให้องค์กรต้องตรวจสอบนโยบายความปลอดภัยไซเบอร์ของตนเกี่ยวกับการสแกนและกรองการจราจรบนเว็บและคลาวด์ นโยบายที่ดีขึ้นหมายความว่าจำนวนโอกาสที่พนักงานเข้าถึงเว็บไซต์ที่เร้าค้าอย่างใจความลดลง

ในเวลาเดียวกัน ผู้ใช้งานแต่ละคนควรทำการตรวจสอบ URLs ก่อนที่จะคลิก เป็นการปลอดภัยที่ดีกว่า ให้พิมพ์เว็บไซต์โดยตรงลงในแถบที่อยู่ของเบราว์เซอร์ เพื่อป้องกันการตกเป็นเหยื่อโกงผ่านรหัส QR ค่ะ.

การฉ้อโกงที่ใช้รหัส QR ได้เป็นปัญหาใหญ่เร็วขึ้นเมื่อเร็วๆ นี้และมีแนวโน้มที่น่าจะไม่ลดลง ล่าสุดงานวิจัยของ Cofense พบว่ามีการรายงานการละเมิดที่เกี่ยวกับรหัส QR ที่เพิ่มขึ้นถึง 331% มักซ์ แกนนอน จาก Cofense กล่าว.

การใช้งาน Microsoft Sway ในแคมเปญนี้ยิ่งเน้นให้เห็นว่าผู้กระทำที่แลงจะมีวิธีง่ายๆ ในการหลีกเลี่ยงการควบคุมความปลอดภัยที่อัตโมมาต่างๆ - โดยการใช้งานบริการแบ่งปันที่เชื่อถือได้เป็นที่น่าสงสาร แกนนอบเพิ่มขึ้น