專家表示,微軟QR碼釣魚攻擊目標用戶憑證。

資訊安全專家發現了一個新的 QR 碼釣魚活動,也被稱為「quishing」,利用 Microsoft Sway 來託管虛假登錄頁面並竊取認證資料、多重驗證 (MFA) 代碼和Cookies。

Sway 是一個免費的基於雲端的數位故事應用程式,於 2015 年作為 Microsoft 365 產品系列的一部分推出。它允許使用者製作並分享互動設計,用於報告、個人故事、簡報、文件等。

網絡景觀威脅實驗室,一家資訊安全公司,於2024年7月首次記錄了釣魚詐騙陷阱。該公司發現在Sway上的網絡攻擊活動增加了2000倍,採用了多種策略來規避微軟的資訊安全解決方案。

這些連續的網絡攻擊主要針對科技、製造和金融行業,尤其是在亞洲和北美地區。

Netskope 證實,微軟 QR 碼釣魚行動來自電子郵件。

Microsoft QR code phishing

研究人員發現,發送給 Sway 使用者的電子郵件被重新導向至託管在 sway.cloud.microsoft 網域上的釣魚登錄頁面。這些釣魚頁面展示了... 假的 QR 碼 鼓勵使用者掃描以引導他們前往其他惡意網頁的 QR 碼。

由於 URL 被嵌入在圖片中,只能掃描基於文本內容的電子郵件掃描程式可能會被規避。此外,當使用者收到一個 QR 碼時,他們可能會使用另一個裝置,如手機,來掃描該 QR 碼。 Netskope 的研究人員觀察到。

促使用戶使用手機掃描這些QR碼是一種常見的欺詐策略,因為大多數手機都配備較弱的安全措施。

惡意行為者可能會繞過智慧手機上針對釣魚攻擊的安全控制,因為智慧手機通常沒有防毒軟體或終端檢測和回應解決方案,這些解決方案通常只存在於個人電腦上。

由於手機等移動裝置上實施的安全措施通常不如筆記型電腦和桌面電腦嚴格,因此受害者往往更容易受到虐待。 研究人員添加。

QR 碼釣魚活動利用 Cloudflare Turnstile 來避免被偵測到。

QR code data phishing

這些釣魚攻擊活動更為有效的原因在於利用可信任的網路軟體,使得其看起來更加可信並且避免被發現其詐騙手法。

研究人員證實這些騙徒使用Cloudflare Turnstile來隱藏他們的落地頁面,使其免受靜態URL掃描器和網絡過濾服務的影響。這幫助騙徒維護良好聲譽,使它們即使對於旨在保護網站免受機器人侵擾的工具也難以被偵測到。

網絡攻擊者還利用了透明釣魚攻擊,這種攻擊手法採用了中間人攻擊。這種欺騙手段被用來竊取 多因素驗證碼 通過一個看起來類似的網頁,同時登錄到受害者的合法微軟帳戶。

利用已登錄的 Microsoft 帳戶的策略,使用戶誤以為他們在訪問合法網站,從而獲得他們的信任,降低他們的戒心。

透過使用合法的雲應用程式,攻擊者為受害者提供可信度,幫助他們相信所提供的內容。

此外,當受害者在打開一個 Sway 頁面時使用他們已經登入的 Microsoft 365 帳戶,這可以幫助說服他們對其合法性的信任。 Netskope 研究人員指出。

這不是第一次:微軟 Sway 曾經有釣魚攻擊的記錄。

2020年4月,惡意行為者進行了一場名為 PerSwaysion 的類似釣魚活動,以針對 Office 365 的登入憑證,利用包含在恶意软件服務 (MaaS) 運營中的釣魚套件。

Group-IB 的安全研究人員發現該攻擊活動利用 Microsoft Sway 針對小至中型金融服務公司、律師事務所和房地產集團的高階官員和董事。

透過侵入其企業電子郵件,攻擊者竊取了超過156個證據,其中至少有20個被釣魚的帳戶屬於美國、加拿大、德國、香港、新加坡、荷蘭和英國各公司的主管。

證據顯示,騙子可能會使用 LinkedIn 檔案來評估潛在受害者的情況。

這樣的策略降低了當前受害者的同事及時警告的可能性,提高了新釣魚攻擊週期的成功率。 Group-IB 研究人員表示。

QR碼的基於圖像的特質被利用來發起釣魚攻擊。

Fake QR codes

提升資訊安全措施和對策仍然是科技公司如微軟和軟體即服務組織的主要使命之一。 免費QR碼生成器 在線。

在制定更嚴格的網絡安全措施期間,惡意行為者也正在加強其釣魚活動和對策。他們透過利用合法網絡安全應用程式的漏洞,變得更為聰明。

正如這些針對 Sway 的釣魚攻擊所證明的那樣,易受攻擊的地方在於基於圖像的威脅,例如 QR 碼。大多數電子郵件掃描器只校準為掃描基於文本的內容,而非圖像中的 URL。

使用 QR 碼將受害者重新導向釣魚網站對防禦者構成一些挑戰。

由於URL被嵌入圖片中,只能掃描文字內容的電子郵件掃描器可能會被規過。 Netskope反駁道。

公司需要重新檢視他們的安全政策並加強網絡安全。

進行釣魚攻擊活動逐漸增多,提醒組織檢討其關於網路和雲端流量掃描和過濾的資安政策。更完善的政策意味著員工進入惡意網站的機會減少。

同時,建議個別用戶在點擊前檢查網址。更好的方法是將網站直接輸入瀏覽器的地址欄,以避免上當受騙的QR碼釣魚騙局。

基於 QR 碼的釣魚近來已成為一個重大問題,並且似乎不太可能減少。最近,Cofense 的研究發現 QR 碼主動威脅報告增加了 331%。 Cofense 的 Max Gannon 表示。

在這次活動中濫用 Microsoft Sway 更進一步強調了威脅行為者可以輕易繞過許多自動安全控制的現成方法,就是簡單地濫用一個受信任的共享服務。 甘農補充道。