Търсене
Close this search box.

Увеличават се атаките с QR кодове

През последното тримесечие броят на имейл атаките, използващи QR кодове, нарасна, като нападателите се насочиха конкретно към корпоративни ръководители и мениджъри, което засили препоръките към компаниите да поставят допълнителни цифрови защити около своите бизнес лидери.

Още по-лошото е, че фишинг имейлите, използващи QR кодове (известни още като „quishing“), често могат да преминат през филтрите за спам, като атаките, насочени към потребителите на Microsoft 365 и DocuSign, успешно са попаднали във входящите пощенски кутии, според доклад, публикуван тази седмица от Abnormal Security, доставчик на облачна защита на имейли.

През четвъртото тримесечие на 2023 г. средностатистическият топ мениджър в C-suite е видял 42 пъти повече фишинг атаки, използващи QR кодове, в сравнение със средностатистическия служител. Другите ръководни длъжности също са претърпели увеличение на атаките, макар и значително по-малко, като тези ръководители, които не са от C-suite, са се сблъскали с пет пъти повече фишинг атаки, базирани на QR кодове, според доклада на компанията.

Като цяло данните показват, че нападателите имат в полезрението си изпълнителни директори – и други привилегировани потребители – казва Майк Бритън, CISO на Abnormal Security.

„Ако съм нападател, искам да атакувам хората, които имат възможност да ми плащат и имат пълномощия, които ми дават достъп до най-интересната информация“, казва той. „Или искам да се преструвам на тези хора, защото отново социалното инженерство изисква това доверие, [за да може жертвата да си помисли:] хей, този вицепрезидент по продажбите или този вицепрезидент по човешките ресурси ме моли да направя нещо, [което ги прави] обикновено по-склонни … да предприемат действия.“

Въпреки че QR кодовете съществуват от три десетилетия, те станаха много по-популярни по време на пандемията, тъй като ресторантите и други предприятия насочиха клиентите си към безконтактно и онлайн поръчване. В контекста на бизнеса един от основните случаи на използване на QR кодове е предлагането на връзки за улесняване на процеса на регистрация за многофакторно удостоверяване (MFA). Кибератаките се възползваха от тях: Повече от една четвърт от атаките с QR кодове (27%) през четвъртото тримесечие са били фалшиви известия за MFA, например, докато около една на всеки пет атаки (21%) са били фалшиви известия за споделен документ, според доклада на Abnormal Security.

bar chart of qr attacks by role

Висшите ръководители виждат 42 пъти повече атаки, използващи QR кодове, отколкото обикновените служители. Източник: Abnormal Security

Тъй като нападателите скриват своята фишинг връзка в изображение, фишингът с QR код заобикаля подозренията на потребителите и някои продукти за защита на електронната поща. Освен това злонамерените QR кодове могат да се поставят на физически места с помощта на обикновен стикер, като по този начин се заобикаля изцяло цифровата сигурност.

„Атаките се възползват от присъщото доверие на потребителите към QR кодовете, като ги вграждат в предмети от ежедневието като паркинг метри или плакати“, казва Моник Бесенти, продуктов директор във фирмата за мобилна сигурност Zimperium. „Успеваемостта на фишинга с QR кодове ще надмине традиционните методи за фишинг, тъй като те често заобикалят типичните за потребителите задействащи механизми за подозрение, като например печатни грешки в URL адреса, което води до по-голяма вероятност за сканирането им.“

Още един начин за кражба на идентификационни данни на изпълнители

В по-голямата си част кишинг нападателите, които се фокусират върху изпълнителни директори, преследват идентификационните данни – потребителски имена и пароли – на привилегировани потребители. Измамата с идентификационни данни е най-популярната форма на имейл атака, която съставлява 73% от всички атаки чрез вектора и 84% от атаките, използващи QR код; и те често водят до по-значителни пробиви, казва Бритън от Abnormal Security.

„Основната цел е да се стигне до потребителя, за да се откраднат неговите идентификационни данни“, казва той. „След като имам вашите идентификационни данни, мога да нанеса много повече щети и то трайни. Ако имам вашите идентификационни данни, мога да вляза в профила ви, да видя на кого сте изпратили имейли, да изпратя имейли, представяйки се за вас, и да създам правила за филтриране на пощата.“

Последната точка е често срещан начин за злоупотреба с пълномощията за електронна поща, казва Бритън. Нападателят ще създаде правило за сляпо копие (BCC), което препраща всички имейли към акаунта на нападателя.

Освен това “ заплахите също така осъзнават, че често много хора имат достъп до пощенската кутия на ръководителя, например асистенти на ръководителя“, се посочва в доклада. „Следователно всяко лице, което знае данните за вход в пощенската кутия на високопоставен служител, представлява потенциална входна точка, която може да бъде използвана от нападателя.“

Преодоляването на quishing изисква технологии и обучение на хората

Добрата новина е, че от октомври насам фишингът с QR-кодове е намалял до голяма степен, след като е съставлявал 22% от фишинг атаките, според фирмата за управление на човешкия риск Hoxhunt. „От октомври миналата година насам наблюдаваме доказателства, че филтрите за електронна поща наваксват с техниката на QR фишинга“, казва Джон Гелин, ръководител на екипа за заплахи в Hoxhunt. „Тъй като все по-малко от тези атаки заобикалят филтрите за електронна поща, в резултат на това се наблюдава намаляване на тяхната популярност.“

Въпреки това, дори ако quishingът намалее, той ще остане инструмент за нападателите, по същия начин, по който съкратените URL адреси и спамът с изображения продължават да се използват при кибератаки. Най-добрият начин за защита на потребителите е да ги обучим, казва Гелин. Около 5 % от потребителите реагират на фишинг атака в рамките на първите няколко минути, което предполага, че добре обучените служители могат да помогнат за ограничаване на атаката.

„Както показа тенденцията за QR фишинг, някои заплахи винаги ще се промъкват дори и през най-усъвършенстваните филтри“, казва той. „В този момент от човешкия слой зависи да разполага с уменията и инструментите за ефективно справяне със заплахата.“

Обучението е важно, но тъй като един-единствен провал може да има значително въздействие, е необходим технически контрол, казва Бритън от Abnormal Security.

„Има някои фишинг атаки, които съм виждал, че дори трябва да поискам второ мнение от хората, защото изглеждат толкова истински“, казва той. „Как мога да очаквам, че човек от отдел „Човешки ресурси“ ще се справя с това всеки път? Как мога да очаквам от счетоводителя? Как да очаквам от финансов анализатор?“

„Обучението е важно, но ще се провалим, а е достатъчен само един провал“, казва той.

 

Източник: DARKReading

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
Бъдете социални
Още по темата
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
05/04/2024

Секторът на нефта и газа е ...

Анализаторите откриват, че ефективната фишинг кампания...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!