网络安全专家发现了一种新的QR码网络钓鱼活动,也被称为“quishing”,利用Microsoft Sway托管虚假登陆页,并窃取凭证、多因素认证(MFA)码和cookies。
Sway是一个免费的基于云端的数字叙事应用,2015年作为Microsoft 365产品系列的一部分推出。 它允许用户创建和共享用于报告、个人故事、演示文稿、文档等的交互设计。
Netskope 威胁实验室是一家网络安全公司,首次记录了在 2024 年 7 月发生的网络欺诈骗局。该公司检测到在 Sway 平台上发生了网络攻击活动次数增加了 2,000 倍,攻击者使用了多种策略来规避微软的网络安全解决方案。
这些网络攻击主要针对科技、制造和金融等行业,尤其是亚洲和北美地区。
Netskope证实,微软二维码钓鱼活动起源于电子邮件。

研究人员发现,发送给Sway用户的电子邮件被重定向到位于sway.cloud.microsoft域上托管的网络钓鱼着陆页面。这些钓鱼页面展示了 假二维码 用户被鼓励进行扫描,并被引导前往其他恶意网页。
由于URL嵌入在图像中,只能扫描基于文本内容的电子邮件扫描工具可能会被绕过。此外,当用户收到一个QR码时,他们可能会使用另一台设备,例如他们的手机,来扫描该码。 Netskope的研究人员观察到。
促使用户使用他们的手机扫描这些二维码是一种常见的欺诈策略,因为大多数手机配备了较弱的安全措施。
恶意行为者很可能会绕过智能手机上针对钓鱼的安全控制,因为它们通常没有配备防病毒软件或终端检测与响应解决方案,这些通常只存在于个人电脑上。
由于移动设备,尤其是个人手机上实施的安全措施通常不像笔记本电脑和台式机那样严格,受害者往往更容易遭受滥用。 研究人员添加。
QR码钓鱼活动利用Cloudflare Turnstile 来避免被检测到。

这些钓鱼活动更加有效的原因在于利用值得信赖的网络软件,使得他们看起来更加可信,躲避检测其欺诈手法的过程。
研究人员确认这些骗子利用Cloudflare Turnstile来隐藏他们的落地页,使其难以被静态URL扫描器和网络过滤服务发现。这帮助骗子保持良好声誉,使它们难以被旨在保护网站免受机器人侵害的工具发现。
网络攻击者还利用了透明钓鱼,这种方法采用了中间人攻击。这种骗术偷取 多因素验证代码 通过一个长得很像的页面,同时登录到受害者的正版 Microsoft 账户。
利用使用登录 Microsoft 账户的策略,使用户认为他们正在访问一个合法的网站,从而获取他们的信任并降低他们的警惕。
通过使用合法的云应用程序,攻击者向受害者提供可信度,帮助他们相信其服务的内容。
此外,受害者在打开一个 Sway 页面时使用他们已经登录的 Microsoft 365 帐户,这有助于说服他们其合法性。 Netskope研究者指出。
“这不是第一次了:微软 Sway 已经有过网络钓鱼攻击的记录”
2020年4月,恶意行为者执行了一个类似的网络钓鱼攻击活动,名为PerSwaysion,以在恶意软件即服务(MaaS)操作中包含的网络钓鱼工具瞄准Office 365登录凭证。
Group-IB安全研究人员发现,该攻击利用微软Sway针对中小型金融服务公司、律师事务所和房地产集团的高级管理人员和董事。
逾156份证书被通过侵入其企业邮箱获取。至少有20个被钓鱼的账户属于美国、加拿大、德国、香港、新加坡、荷兰和英国各公司的高管们。
证据表明,骗子很可能会利用LinkedIn档案来评估潜在受害者的情况。
这种策略减少了当前受害者的同事们提早警告的可能性,提高了新的网络钓鱼攻击成功率。 Group-IB的研究人员表示。
利用二维码的图片特性来发动钓鱼攻击。

提高网络安全措施和应对措施仍然是像微软这样的技术公司和软件即服务组织的主要使命之一。 免费二维码生成器 在线。
在加强网络安全措施的同时,恶意行为者也在加强钓鱼攻击和对抗措施。他们正利用合法网络安全应用程序中的漏洞变得更聪明。
正如Sway上的这些钓鱼攻击所展示的那样,漏洞存在于基于图像的威胁,比如二维码。大多数电子邮件扫描器只校准用于扫描基于文本的内容,而非图像中的URL。
使用二维码将受害者重定向到钓鱼网站对防御者造成一些挑战。
由于URL嵌入在图片内部,只能扫描文本内容的电子邮件扫描器会被绕过。 Netskope反驳道。
公司需要重新审视他们的安全政策并加强网络安全。
推进网络钓鱼活动表明组织需要审查其针对网络和云流量扫描和过滤的网络安全政策。更好的政策意味着员工访问恶意网站的机会较少。
与此同时,建议个人用户在点击之前检查URL。最好直接在浏览器地址栏中键入网站,以避免受到二维码钓鱼诈骗的影响。
基于QR码的网络钓鱼最近已成为一个重大问题,并且看起来不太可能减少。最近,Cofense的研究发现QR码相关威胁报告增长了331%。 Max Gannon 来自Cofense说。
在这次活动中滥用微软Sway强调了威胁行为者可以轻松绕过许多自动安全控制的事实--只需滥用一个值得信赖的共享服务。 甘农补充道。