Chuyên gia: Microsoft QR Code Phishing Nhắm Mục Tiêu Thông Tin Đăng Nhập của Người Dùng

Bởi: Fatima P.Đã cập nhật: 24 tháng 2, 2025
Chuyên gia: Microsoft QR Code Phishing Nhắm Mục Tiêu Thông Tin Đăng Nhập của Người Dùng

Các chuyên gia an ninh mạng đã phát hiện một chiến dịch lừa đảo QR code mới, còn được gọi là "quishing", sử dụng Microsoft Sway để lưu trữ các trang đích giả mạo và đánh cắp thông tin đăng nhập, mã xác minh đa yếu tố (MFA) và cookie.

Sway là một ứng dụng kể chuyện số dựa trên đám mây miễn phí được ra mắt từ năm 2015 như một phần của gia đình sản phẩm Microsoft 365. Nó cho phép người dùng tạo và chia sẻ thiết kế tương tác cho báo cáo, câu chuyện cá nhân, bài thuyết trình, tài liệu và nhiều hơn nữa.

Netskope Threat Labs, một công ty an ninh mạng, đã ghi nhận lần đầu tiên về vụ lừa đảo quishing vào tháng 7 năm 2024. Công ty phát hiện một sự tăng gấp 2.000 lần về các chiến dịch tấn công mạng trên Sway, sử dụng một loạt các chiến thuật để né tránh các giải pháp an ninh mạng của Microsoft.

Những loạt tấn công mạng này chủ yếu nhắm vào ngành công nghệ, sản xuất và tài chính, đặc biệt là tại châu Á và Bắc Mỹ.

Microsoft xác nhận các chiến dịch lừa đảo mã QR xuất phát từ email, Neskope xác nhận.

Microsoft QR code phishing

Các nhà nghiên cứu đã phát hiện ra rằng email gửi đến người dùng Sway đã được chuyển hướng đến các trang đích lừa đảo được lưu trữ trên tên miền sway.cloud.microsoft. Những trang đích lừa đảo này đã hiển thị một mã QR giả mạo mà người dùng được khuyến khích quét để dẫn họ đến các trang web độc hại khác.

Vì URL được nhúng bên trong một hình ảnh, các máy quét email chỉ có thể quét nội dung dựa trên văn bản có thể bị bỏ qua. Ngoài ra, khi người dùng nhận được một mã QR, họ có thể sử dụng một thiết bị khác, như điện thoại di động, để quét mã. Nhà nghiên cứu của Netskope đã quan sát.

Thúc đẩy người dùng sử dụng điện thoại di động để quét các mã QR này là một chiến lược lừa đảo phổ biến, vì hầu hết các điện thoại đi kèm với các biện pháp bảo mật yếu hơn.

Những kẻ tấn công ác ý có khả năng vượt qua các biện pháp kiểm soát bảo mật chống lại lừa đảo qua điện thoại thông minh, vì họ thường không trang bị phần mềm antivirus hoặc giải pháp Endpoint Detection and Response, thường chỉ có trên máy tính cá nhân.

Kể từ khi biện pháp bảo mật áp dụng trên thiết bị di động, đặc biệt là điện thoại cá nhân, thường không chặt chẽ như máy tính xách tay và máy tính để bàn, nạn nhân thường dễ trở nên dễ bị lạm dụng. các nhà nghiên cứu đã thêm vào.

Các chiến dịch lừa đảo mã QR đã tận dụng Cloudflare Turnstile để tránh phát hiện.

QR code data phishing

Những chiến dịch quishing trở nên hiệu quả hơn nhiều là nhờ việc sử dụng phần mềm web đáng tin cậy để trở nên đáng tin hơn và tránh bị phát hiện các chiêu thức lừa đảo của họ.

Những nhà nghiên cứu đã xác nhận những kẻ lừa đảo này đã sử dụng Cloudflare Turnstile để che giấu các trang đích của họ khỏi các trình quét URL tĩnh và dịch vụ lọc web. Điều này giúp kẻ lừa đảo duy trì một danh tiếng tốt, khiến họ trở nên không thể phát hiện ngay cả đối với các công cụ dự định bảo vệ các trang web khỏi bot.

Kẻ tấn công mạng cũng tận dụng phương pháp lừa đảo trong suốt, sử dụng các cuộc tấn công của kẻ thù ở giữa. Chiến thuật lừa đảo này đã đánh cắp mã xác minh đa yếu tố thông qua một trang web có vẻ giống nhau trong khi đồng thời đăng nhập vào tài khoản Microsoft hợp pháp của nạn nhân.

Sử dụng chiến thuật của các tài khoản Microsoft đã khiến người dùng nghĩ họ đang truy cập vào một trang web hợp lệ, tạo niềm tin và làm giảm cảnh giác của họ trong quá trình đó.

Bằng cách sử dụng các ứng dụng đám mây hợp lệ, kẻ tấn công mang lại sự đáng tin cậy cho nạn nhân, giúp họ tin tưởng vào nội dung mà nó cung cấp.

Hơn nữa, nạn nhân sử dụng tài khoản Microsoft 365 mà họ đã đăng nhập khi họ mở một trang Sway, điều này có thể giúp thuyết phục họ về tính hợp pháp của trang đó. Các nhà nghiên cứu Netskope chú ý.

Đây không phải lần đầu tiên: Microsoft Sway đã ghi nhận các cuộc tấn công lừa đảo.

Vào tháng 4 năm 2020, các hành động của những kẻ xấu đã triển khai một chiến dịch lừa đảo phishing tương tự được gọi là PerSwaysion, nhằm vào thông tin đăng nhập Office 365 bằng cách sử dụng một bộ công cụ phishing có trong một hoạt động malware-as-a-service (MaaS).

Nhóm nghiên cứu an ninh của Group-IB phát hiện rằng chiến dịch đã sử dụng Microsoft Sway để nhắm vào các quan chức cấp cao và giám đốc của các công ty dịch vụ tài chính của quy mô nhỏ đến trung bình, các văn phòng luật và các nhóm bất động sản.

Hơn 156 thông tin đăng nhập đã bị lấy trộm bằng cách xâm nhập vào email công ty của họ. Ít nhất 20 tài khoản bị lừa này thuộc về các nhà quản lý ở các công ty ở Mỹ, Canada, Đức, Hồng Kông, Singapore, Hà Lan và Anh.

Bằng chứng cho thấy những kẻ lừa đảo có thể sử dụng các hồ sơ LinkedIn để đánh giá vị trí của các nạn nhân tiềm năng.

Một chiến thuật như vậy giảm khả năng cảnh báo sớm từ đồng nghiệp của nạn nhân hiện tại và tăng tỷ lệ thành công của chu kỳ lừa đảo mới. Nhóm nghiên cứu của Group-IB cho biết.

Bản chất hình ảnh của mã QR được khai thác để triển khai các chiến dịch lừa đảo.

Fake QR codes

Nâng cao các biện pháp an ninh mạng và các biện pháp chống lại vẫn là một trong những nhiệm vụ chính của các công ty công nghệ như Microsoft và các tổ chức cung cấp phần mềm dưới dạng dịch vụ. máy tạo mã QR miễn phí Xin lưu ý rằng chúng tôi sẽ tạm ngưng cung cấp dịch vụ vào ngày mai để nâng cấp hệ thống.

Trong khi áp dụng các biện pháp bảo mật mạng nghiêm ngặt hơn, tuy nhiên, các đối tượng độc hại cũng đang tăng cường chiến dịch quishing và các biện pháp ngăn chặn. Họ trở nên thông minh hơn bằng cách tận dụng các lỗi trong các ứng dụng bảo mật mạng hợp pháp chống lại chính họ.

Như đã được chứng minh bằng các cuộc tấn công lừa đảo trên Sway, lỗ hổng nằm ở các đe dọa dựa trên hình ảnh, như mã QR. Hầu hết các chương trình quét email chỉ được điều chỉnh để quét nội dung dựa trên văn bản, không phải là URL trong hình ảnh.

Sử dụng mã QR để chuyển hướng nạn nhân đến trang web lừa đảo đặt ra một số thách thức đối với các người bảo vệ.

"Vì URL được nhúng trong hình ảnh, các trình quét email chỉ quét nội dung dựa trên văn bản có thể được bỏ qua." Netskope đã đáp lại.

Các công ty cần xem xét lại chính sách bảo mật của mình và tăng cường an ninh mạng

Tiến triển của các chiến dịch lừa đảo đánh dấu việc các tổ chức cần xem xét lại chính sách bảo mật mạng của mình về việc quét và lọc lưu lượng trên web và đám mây. Chính sách tốt hơn có nghĩa là cơ hội ít hơn cho nhân viên truy cập vào các trang web độc hại.

Cùng một lúc, người dùng cá nhân được khuyên nên kiểm tra URL trước khi nhấp chuột. Tốt hơn hết, gõ trang web trực tiếp vào thanh địa chỉ trình duyệt để tránh bị lừa bằng các chuỗi mã QR giả mạo.

Mã QR dựa trên lừa đảo đã trở thành một vấn đề lớn trong thời gian gần đây và có vẻ không giảm bớt. Gần đây, nghiên cứu của Cofense phát hiện một tăng 331% trong số báo cáo mối đe dọa hoạt động dựa trên mã QR. Max Gannon từ Cofense nói.

Việc lạm dụng Microsoft Sway trong chiến dịch này càng nhấn mạnh thêm rằng các đối tượng đe dọa đang có một cách dễ dàng để vượt qua nhiều bảo mật tự động - chỉ cần lạm dụng một dịch vụ chia sẻ tin cậy. Gannon thêm vào.

Author

Được viết bởi một con người

Fatima P.

Nhà viết nội dung tại FREE QR code generator

Fatima is an accomplished SEO content writer with a wealth of experience crafting compelling, informative content across various product categories, specializing in SAAS. With a background in writing and journalism, she brings a unique perspective to her work. Beyond her professional pursuits, Fatima is a creative force, weaving feature stories and poetry. Her curiosity extends to the cosmos, where she finds solace studying astronomy. When not immersed in words or stargazing, you'll find her tending to her garden, a sanctuary of growth and beauty.