โปรแกรม Microsoft QR Code โจมตีผ่านการขโมยข้อมูลประจำตัวของผู้ใช้: ผู้เชี่ยวชาญ

โดย: Fatima P.อัปเดตแล้ว: 24 กุมภาพันธ์ 2568
โปรแกรม Microsoft QR Code โจมตีผ่านการขโมยข้อมูลประจำตัวของผู้ใช้: ผู้เชี่ยวชาญ

ผู้เชี่ยวชาญด้านความปลอดภัยบนโลกออนไลน์ได้ค้นพบการรณรงแบบโฟลสโก้ด้วยรหัส QR ใหม่ ซึ่งเรียกว่า "quishing" ซึ่งใช้ Microsoft Sway เพื่อโฮสต์หน้าเดินทางปลอมและขโมยข้อมูลประจำตัว รหัสการตรวจสอบตัวตนแบบหลายช่อง (MFA) และคุกกี้ไปยัง.

Sway เป็นแอพพลิเคชันสร้างเรื่องราวดิจิทัลบนคลาวด์ที่เปิดให้บริการฟรี ได้เปิดตัวในปี 2015 เป็นส่วนหนึ่งของครอบครัวผลิตภัณฑ์ Microsoft 365 มันช่วยให้ผู้ใช้สามารถสร้างและแชร์การออกแบบแบบกราฟิกแบบโต้ตอบสำหรับรายงาน นิทานส่วนตัว งานนำเสนอ เอกสาร และอื่น ๆ อีกด้วย

NetSkope Threat Labs, บริษัทด้านความปลอดภัยของเครือข่าวเงินครั้งแรกบันทึกการทุจริงในการโกงแพียงในเดือนกรกฎาคม 2024 บริษัทตรวจจับการเพิ่มขึ้น 2,000 เท่าในการรณรงค์การโจมตีไซเบอร์บน Sway โดยใช้กลยุทธ์หลายรูปแบบเพื่อหลีกเลี่ยงโซลูชันด้านความปลอดภัยของ Microsoft

การโจมตีไซเบอร์ต่อตามเป้าหมายให้คะแนนเส้นโทยุะในส่วนใหญ่เป็นอุตสาหกรรมเทคโนโลยี การผลิต และการเงินโดยเฉพาะที่มีการกระจายลงทั่วทั้งในเอเชียและทวนอเมริกา

แคมเปญการหลอกลวงด้วย QR code ของ Microsoft มาจากอีเมล เนสคูป ยืนยัน

Microsoft QR code phishing

นักวิจัยพบว่าอีเมลที่ส่งไปยังผู้ใช้ Sway ถูกนำไปสู่หน้าลงชื่อเข้าใส่ที่พักอยู่บนโดเมน sway.cloud.microsoft ที่เหมือนเว็บไซต์สแปมต่อสู้เดินทาง. หน้าเว็บสแปมเหล่านี้แสดง提示ให้ผู้ใช้ป้องกันข้อมูลส่วนตัวของตน. โค้ด QR ปลอม ซึ่งผู้ใช้ถูกกีดกันให้อย่างแรงในการสแกนเพื่อนำไปสู่หน้าเว็บที่เป็นอันตรายอื่น ๆ

เนื่องจาก URL ถูกฝังอยู่ในภาพ โปรแกรมสแกนอีเมลที่สามารถสแกนเฉพาะข้อความอาจถูกวิ่งหนีไป นอกจากนี้ เมื่อผู้ใช้ได้รับโค้ด QR พวกเขาอาจใช้อุปกรณ์อื่น เช่นโทรศัพท์มือถือ เพื่อสแกนโค้ดได้ นักวิจัยของ Netskope มองเห็นว่าครับ/ค่ะ.

การยัดกระสุนผู้ใช้ให้ใช้โทรศัพท์มือถือสแกนรหัสคิวอาร์นี้เป็นเรื่องที่พบบ่อยในกลยุทธ์การล่อลวงเนื่องจากโทรศัพท์ส่วนมากมีมาตราฐานความปลอดภัยที่อ่อนแอมาก 

ผู้ไม่ประสงค์ดีมีโอกาสที่จะวางแผนเพื่อหลีกเลี่ยงการควบคุมด้านความปลอดภัยต่อการหลอกลวงบนสมาร์ตโฟน เนื่องจากพวกเขามักจะไม่มีซอฟต์แวร์ต้านไวรัสหรือโซลูชันการตรวจจับและตอบสนองใช้บนพีซี ซึ่งมักจะมีในเครื่องพีซีเท่านั้นครับ

ตั้งแต่มีมาตรการรักษาความปลอดภัยบนอุปกรณ์เคลื่อนที่ โดยเฉพาะโทรศัพท์มือถือส่วนตัว มักจะไม่ค่อยเข้มงวดเท่ากับแล็ปท็อปและเดสก์ท็อป ผู้เสียหายจึงมักมีโอกาสที่จะเป็นเป้าหมายของการละเมิดบ่อยขึ้น นักวิจัยเพิ่มเข้าไป

การแคมเปญการล่อใช้ QR code ใช้ Cloudflare Turnstile ในการหลบการตรวจจับ

QR code data phishing

สิ่งที่ทำให้แคมเปญที่ใช้เทคนิคการโกหกโกงเหล่านี้มีประสิทธิภาพมากขึ้นคือการใช้ซอฟต์แวร์เว็บที่เชื่อถือได้เพื่อดูเหมือนเชื่อถือได้มากขึ้นและหลบการตรวจจับของเทคนิคการโกหกโกงของพวกเขา

นักวิจัยยืนยันว่าหมวกหลอนเหล่านี้ใช้ Cloudflare Turnstile เพื่อซ่อนหน้าแรกของพวกเขาจากตัวสแกน URL แบบสถิตและบริการกรองเว็บ ซึ่งช่วยให้หมวกหลอนรักหน้าหน้าลัสติของพวกเขาได้ ทำให้พวกเขาหายไปจากการตรวจจับไปแม้กระทั่งตัวเครื่องมื่นเอาไว้เพื่อป้องกันเว็บไซต์จากโบต์ด้วย

ผู้โจมตีทางไซเบอร์ยังใช้เทคนิคการโจมตีด้วยการปลอมเว็บไซต์ (transparent phishing) ซึ่งใช้เทคนิค adversary-in-the-middle โจมตี ทำให้เกิดการโกงแล้วตรวจหาข้อมูลส่วนบุคคลได้ รหัสการตรวจสอบหลายปัจจัย ผ่านหน้าเพจที่มีลักษณะเหมือนกันพร้อมกับเข้าสู่ระบบในบัญชี Microsoft ของเหยื่อ และทำได้พร้อมกัน

การใช้กลยุทธ์ของบัญชี Microsoft ที่เข้าสู่ระบบได้ทำให้ผู้ใช้คิดว่าพวกเขากำลังเข้าถึงเว็บไซต์ที่ถูกต้อง, เพิ่มความมั่นใจและลดความระมัดระวังของพวกเขาในขั้นตอนนั้น

โดยใช้แอปพลิเคชันคลาวด์ที่ถูกต้อง ผู้โจมตีจะให้เสถียรภาพให้กับเหยื่อ ช่วยให้เขาไว้วางใจในเนื้อหาที่มันให้บริการ

นอกจากนี้เหยื่อใช้บัญชี Microsoft 365 ที่พวกเขาเข้าสู่ระบบอยู่แล้วเมื่อเปิดหน้าเว็บ Sway ซึ่งอาจช่วยสร้างความเชื่อให้พวกเขาว่ามีความถูกต้อง นักวิจัยของ Netskope สังเกต到​。

"นี่ไม่ใช่ครั้งแรก: Microsoft Sway มีประวัติการโจมตีด้วยการหลอกผู้ใช้"

ในเดือนเมษายน พ.ศ. 2563, ผู้กระทำทุจริตได้ดำเนินการแคมเปญการล่อเลียนที่คล้ายกันชื่อ PerSwaysion โดยเน้นการเป้าหมายในข้อมูลการเข้าสู่ระบบ Office 365 โดยใช้เครื่องมือการล่อเลียนที่รวมอยู่ในการดำเนินการให้เป็นเชิงศัพท์และการใช้เสียบริการมัลแวร์ (MaaS) ในการดำเนินการด้วยครับ

นักวิจัยด้านความปลอดภัยของ Group-IB ค้นพบว่าแคมเปญนี้ใช้ Microsoft Sway เพื่อเป้าหมายที่จะโจมตีกับบุคคลบริหารระดับสูงและผู้บริหารของบริษัทบริการทางการเงินขนาดเล็กถึงกลาง, บริษัทกฎหมาย, และกลุ่มอสังหาริมทรั.

จำนวนผู้ใช้งานมีใบรับรองต่างต่อกันมีจำนวนมากกว่า 156 ราย ที่ถูกกระทำการแอบซึ้งข้อมูลผ่านทางอีเมลล์บริษัทของตน อย่างน้อย 20 บัญชีที่ถูกโจมตีนี้เป็นบัญชีของเพื่อนบริหารในบริษัทต่างๆในสหรัฐอเมริกา แคนาดา เยอรมนี่ ฮ่องกง สิงคโปร์ เนเธอร์แลนด์ และสหราชอาณาจักร

ข้อมูลพยานชี้ให้เห็นว่าคนโกงส่วนใหญ่มักใช้โปรไฟล์บน LinkedIn เพื่อประเมินตำแหน่งของเหยื่อที่เป็นไปได้

วิธีการแบบนี้ลดโอกาสของการเตือนสัญญาณก่อนหน้าจากเพื่อนร่วมงานของเหยื่อปัจจุบัน และเพิ่มโอกาสให้รอบการโจมตีแฟซชิ่งใหม่สำเร็จมากขึ้น" นักวิจัยของกลุ่ม Group-IB กล่าว.

การใช้ภาพของรหัส QR ถูกใช้เพื่อเริ่มแคมเปญการดักล่อข้อมูลส่วนตัว

Fake QR codes

การปรับปรุงมาตรการด้านความปลอดภัยของระบบสารสนเทศและมาตรการป้องกันยังคงเป็นหนึ่งในพันธกิจหลักของ บริษัทเทคโนโลยีอย่าง Microsoft และองค์กรให้บริการซอฟต์แวร์เป็นบริการ สร้างรหัส QR ได้ฟรี โปรดอย่าลืมที่จะตรวจสอบอีเมลของคุณอย่างสม่ำเสมอโดยไม่ขาดความเร็วและความถูกต้อง.

ภายในขณะที่มีมาตรการด้านความปลอดภัยของระบบสารสนเทศที่เข้มงวดมากขึ้น นั่นไม่ได้อยู่กับดังนั้น คนที่มีไอบ้านก็กำลังเสริมความแข็งแกร่งในการดำเนินการ quishing และม่ายการป้องกันเชิงรุก. พวกเขากำลังฉลองความฉลาดโดยใช้ช่องว่างในแอปพลิเคชันด้านความปลอดภัยที่ถูกตัวเองชะลออยู่ต่อตนเอง.

ตามที่แสดงโดยการโจมตีด้วยการจลาจลใน Sway ความเสี่ยงตั้งอยู่ที่ภัยคุกคามที่พื้นฐานอยู่ในภาพที่สร้างความเสี่ยง เช่นรหัส QR สแกนเมลวีรูปสมบูรณ์จะได้รับการปรับแคละอย่างเพียงในเนื้อหาที่ใช้ข้อความหาย ไม่ใช่ URL ภายในภาพ

การใช้รหัส QR เพื่อนำเสนอผู้เสียหายไปยังเว็บไซต์การปลอมแอฟชิ่ง นั้นเป็นการท้าทายบางประการสำหรับผู้ป้องกันความปลอดภัยนั่นเองครับ/ค่ะ。

เนื่องจาก URL ถูกซ่อนอยู่ภายในภาพ, โปรแกรมสแกนอีเมลที่สามารถสแกนเนื้อหาเฉพาะข้อความอาจถูกหลบไปได้ เน็ตสโคปตอบโต้ 

บริษัทจำเป็นต้องตรวจสอบนโยบายด้านความปลอดภัยและเพิ่มระดับความปลอดภัยด้านไซเบอร์ที่ให้ความรุนแรงมากขึ้น

การก้าวหน้าของการโจมตีทรัพยากรด้านการพยากรณ์ทำให้องค์กรต้องตรวจสอบนโยบายความปลอดภัยไซเบอร์ของตนเกี่ยวกับการสแกนและกรองการจราจรบนเว็บและคลาวด์ นโยบายที่ดีขึ้นหมายความว่าจำนวนโอกาสที่พนักงานเข้าถึงเว็บไซต์ที่เร้าค้าอย่างใจความลดลง

ในเวลาเดียวกัน ผู้ใช้งานแต่ละคนควรทำการตรวจสอบ URLs ก่อนที่จะคลิก เป็นการปลอดภัยที่ดีกว่า ให้พิมพ์เว็บไซต์โดยตรงลงในแถบที่อยู่ของเบราว์เซอร์ เพื่อป้องกันการตกเป็นเหยื่อโกงผ่านรหัส QR ค่ะ.

การฉ้อโกงที่ใช้รหัส QR ได้เป็นปัญหาใหญ่เร็วขึ้นเมื่อเร็วๆ นี้และมีแนวโน้มที่น่าจะไม่ลดลง ล่าสุดงานวิจัยของ Cofense พบว่ามีการรายงานการละเมิดที่เกี่ยวกับรหัส QR ที่เพิ่มขึ้นถึง 331% มักซ์ แกนนอน จาก Cofense กล่าว.

การใช้งาน Microsoft Sway ในแคมเปญนี้ยิ่งเน้นให้เห็นว่าผู้กระทำที่แลงจะมีวิธีง่ายๆ ในการหลีกเลี่ยงการควบคุมความปลอดภัยที่อัตโมมาต่างๆ - โดยการใช้งานบริการแบ่งปันที่เชื่อถือได้เป็นที่น่าสงสาร แกนนอบเพิ่มขึ้น 

Author

เขียนโดยคนจริง

Fatima P.

นักเขียนเนื้อหาที่ FREE QR code generator

Fatima is an accomplished SEO content writer with a wealth of experience crafting compelling, informative content across various product categories, specializing in SAAS. With a background in writing and journalism, she brings a unique perspective to her work. Beyond her professional pursuits, Fatima is a creative force, weaving feature stories and poetry. Her curiosity extends to the cosmos, where she finds solace studying astronomy. When not immersed in words or stargazing, you'll find her tending to her garden, a sanctuary of growth and beauty.