18 октября 2023
QR-коды в почтовом фишинге
QR-коды можно встретить повсюду: на плакатах и листовках, на экране платежного терминала, на ценниках и товарах, на исторических зданиях и памятниках. С их помощью делятся информацией, продвигают различные онлайн-ресурсы, оплачивают покупки и проходят верификацию. При этом в электронной почте QR-коды используются не сказать чтобы часто. Как правило, пользователи читают сообщения с телефона, не имея под рукой другого устройства, чтобы отсканировать код, поэтому в письмах рассылаются преимущественно обычные гиперссылки. Тем не менее, злоумышленники все активнее пользуются QR-кодами в почте.
В отличие от обычных фишинговых ссылок, которые довольно легко проверить и заблокировать, QR-код представляет проблему для защитных решений. Чтобы проанализировать его и узнать, что в нем закодировано, нужна дорогая и ресурсоемкая технология компьютерного зрения. Кроме того, если обычную ссылку пользователь может оценить перед тем, как нажать на нее, то узнать, куда ведет QR-код, не отсканировав его, нельзя.
Что такое QR-код?
QR-код (Quick Response code) — двумерный штриховой код, который состоит из нескольких квадратов и множества точек (модулей), расположенных в квадратной сетке на белом фоне. QR-коды можно прочитать с помощью устройства обработки изображений, которое определяет расположение кода по квадратам, а затем считывает закодированную в точках информацию. Помимо собственно кода в квадратном поле может быть предусмотрено место под декоративные элементы, например логотип организации.В QR-коды можно поместить больше информации, чем в одномерные штрихкоды. Они часто используются для кодирования ссылок на определенные ресурсы, например каталог магазина, страницу оплаты товара или страницу с информацией об объекте.
Как злоумышленники используют QR-коды в почте
Мошенники используют QR-коды для сокрытия ссылок на фишинговые и скам-страницы. Первые попытки использования этого приема в мошеннических рассылках мы обнаружили в конце 2021 года. Это были скам-письма, имитирующие сообщения от служб доставки, таких как FedEx и DHL. Злоумышленники требовали от жертвы оплатить таможенные сборы, для чего нужно было отсканировать QR-код. Ссылка в коде вела на поддельную страницу ввода данных банковской карты. Кампания не была массовой, и где-то к середине 2022 года ее активность сошла на нет. Новые рассылки писем с QR-кодами мы увидели весной 2023 года. На этот раз атака была нацелена на логины и пароли корпоративных пользователей продукции Microsoft.
Злоумышленники отправляли жертвам письма с поддельным уведомлением о том, что пароль от рабочего почтового аккаунта скоро станет недействительным. Чтобы сохранить доступ к учетной записи, пользователю рекомендовали отсканировать QR-код. Одни письма приходили с бесплатных почтовых адресов, другие — с недавно зарегистрированных доменов. В некоторых сообщениях атакующие для большей убедительности украсили QR-код логотипом Microsoft Security.
После того как пользователь получает фишинговое письмо и сканирует QR-код, он попадает на поддельную форму входа в аккаунт, стилизованную под страницу входа Microsoft. Если он введет свои логин и пароль на этой странице, злоумышленники получат доступ к его аккаунту.
Помимо сообщений о необходимости срочно сменить пароль или актуализировать свои персональные данные, мы обнаружили рассылку о недоставленных письмах, которая также содержала QR-коды, ведущие на поддельную страницу ввода учетных данных от аккаунта Microsoft.
В письме на скриншоте ниже мошенники обошлись без логотипа на QR-коде, но вставили в тело письма строку This email is from a trusted source («это письмо из доверенного источника»), чтобы усыпить бдительность пользователя.
Часть страниц, открывающихся при сканировании QR-кода, расположена на IPFS-ресурсах.
Статистика
С июня по август 2023 года мы обнаружили 8878 фишинговых писем, содержащих QR-коды. Пик активности злоумышленников пришелся на июнь: 5063 письма. К августу объем рассылок сократился до 762 писем.
Выводы
Использование QR-кодов помогает злоумышленникам сразу в нескольких аспектах. Во-первых, они позволяют избежать обнаружения и блокировки писем, поскольку проверить содержимое QR-кода не так просто, а фишинговых ссылок в письме нет. При этом блокировать письмо за содержание QR-кода нельзя: хоть это и непопулярный элемент в электронной почте, QR-коды могут использоваться и в легитимных письмах — например, в автоподписи отправителя. Во-вторых, поскольку в письме нет ссылки, нет и необходимости регистрировать дополнительные аккаунты и домены, чтобы перенаправлять пользователя и таким образом скрывать фишинг. Наконец, большинство пользователей сканируют QR-коды при помощи камеры телефона и предпочитают быстрее разобраться с проблемой, поэтому могут и не обратить внимания на адрес открывшейся страницы, который в мобильном браузере не бросается в глаза.
С другой стороны, легитимные отправители редко используют QR-коды в своих рассылках, поэтому сам факт наличия такого кода в письме может вызвать у получателя подозрения. Кроме того, QR-код нужно чем-то отсканировать, а у пользователя может не оказаться под рукой второго устройства для этой цели. На данный момент мы наблюдаем не очень много рассылок с QR-кодами. Вероятнее всего, доля получателей таких писем, отсканировавших код, невысокая. Тем не менее легкость использования этого механизма позволяет предположить, что количество подобных атак в ближайшее время увеличится, а сами кампании станут более изощренными и персонализированными.
Первоисточник: Использование QR-кодов в почтовом фишинге | Securelist
Новости
Больше новостей«Лаборатория Касперского» и Институт системного программирования РАН создадут Центр конструктивной информационной безопасности
«Лаборатория Касперского» и Институт системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН) подписали соглашение о намерениях. Стороны договорились о создании Центра конструктивной информационной безопасности, а также о других направлениях взаимодействия.
29.10.2024
Читать
Kaspersky SD-WAN первым на рынке включили в реестр российского телекоммуникационного оборудования
Программно-аппаратные комплексы (ПАК), поставляемые в рамках решения Kaspersky SD-WAN ESR (K), получили статус телекоммуникационного оборудования российского происхождения — первыми среди аналогичных решений на рынке. Их включили в соответствующий реестр Минпромторга России.
15.12.2023
Читать
Ужесточение законодательства в сфере персональных данных: штрафы в 0,5 млрд и до 10 лет лишения свободы за нарушения
Четвертого декабря 2023 г. в Государственную думу было внесено два законопроекта: № 502104-8 и № 502113-8. Новые инициативы призваны дополнительно усилить защиту персональных данных граждан.
11.12.2023
Читать