През последното тримесечие броят на имейл атаките, използващи QR кодове, нарасна, като нападателите се насочиха конкретно към корпоративни ръководители и мениджъри, което засили препоръките към компаниите да поставят допълнителни цифрови защити около своите бизнес лидери.
Още по-лошото е, че фишинг имейлите, използващи QR кодове (известни още като „quishing“), често могат да преминат през филтрите за спам, като атаките, насочени към потребителите на Microsoft 365 и DocuSign, успешно са попаднали във входящите пощенски кутии, според доклад, публикуван тази седмица от Abnormal Security, доставчик на облачна защита на имейли.
През четвъртото тримесечие на 2023 г. средностатистическият топ мениджър в C-suite е видял 42 пъти повече фишинг атаки, използващи QR кодове, в сравнение със средностатистическия служител. Другите ръководни длъжности също са претърпели увеличение на атаките, макар и значително по-малко, като тези ръководители, които не са от C-suite, са се сблъскали с пет пъти повече фишинг атаки, базирани на QR кодове, според доклада на компанията.
Като цяло данните показват, че нападателите имат в полезрението си изпълнителни директори – и други привилегировани потребители – казва Майк Бритън, CISO на Abnormal Security.
„Ако съм нападател, искам да атакувам хората, които имат възможност да ми плащат и имат пълномощия, които ми дават достъп до най-интересната информация“, казва той. „Или искам да се преструвам на тези хора, защото отново социалното инженерство изисква това доверие, [за да може жертвата да си помисли:] хей, този вицепрезидент по продажбите или този вицепрезидент по човешките ресурси ме моли да направя нещо, [което ги прави] обикновено по-склонни … да предприемат действия.“
Въпреки че QR кодовете съществуват от три десетилетия, те станаха много по-популярни по време на пандемията, тъй като ресторантите и други предприятия насочиха клиентите си към безконтактно и онлайн поръчване. В контекста на бизнеса един от основните случаи на използване на QR кодове е предлагането на връзки за улесняване на процеса на регистрация за многофакторно удостоверяване (MFA). Кибератаките се възползваха от тях: Повече от една четвърт от атаките с QR кодове (27%) през четвъртото тримесечие са били фалшиви известия за MFA, например, докато около една на всеки пет атаки (21%) са били фалшиви известия за споделен документ, според доклада на Abnormal Security.
Висшите ръководители виждат 42 пъти повече атаки, използващи QR кодове, отколкото обикновените служители. Източник: Abnormal Security
Тъй като нападателите скриват своята фишинг връзка в изображение, фишингът с QR код заобикаля подозренията на потребителите и някои продукти за защита на електронната поща. Освен това злонамерените QR кодове могат да се поставят на физически места с помощта на обикновен стикер, като по този начин се заобикаля изцяло цифровата сигурност.
„Атаките се възползват от присъщото доверие на потребителите към QR кодовете, като ги вграждат в предмети от ежедневието като паркинг метри или плакати“, казва Моник Бесенти, продуктов директор във фирмата за мобилна сигурност Zimperium. „Успеваемостта на фишинга с QR кодове ще надмине традиционните методи за фишинг, тъй като те често заобикалят типичните за потребителите задействащи механизми за подозрение, като например печатни грешки в URL адреса, което води до по-голяма вероятност за сканирането им.“
В по-голямата си част кишинг нападателите, които се фокусират върху изпълнителни директори, преследват идентификационните данни – потребителски имена и пароли – на привилегировани потребители. Измамата с идентификационни данни е най-популярната форма на имейл атака, която съставлява 73% от всички атаки чрез вектора и 84% от атаките, използващи QR код; и те често водят до по-значителни пробиви, казва Бритън от Abnormal Security.
„Основната цел е да се стигне до потребителя, за да се откраднат неговите идентификационни данни“, казва той. „След като имам вашите идентификационни данни, мога да нанеса много повече щети и то трайни. Ако имам вашите идентификационни данни, мога да вляза в профила ви, да видя на кого сте изпратили имейли, да изпратя имейли, представяйки се за вас, и да създам правила за филтриране на пощата.“
Последната точка е често срещан начин за злоупотреба с пълномощията за електронна поща, казва Бритън. Нападателят ще създаде правило за сляпо копие (BCC), което препраща всички имейли към акаунта на нападателя.
Освен това “ заплахите също така осъзнават, че често много хора имат достъп до пощенската кутия на ръководителя, например асистенти на ръководителя“, се посочва в доклада. „Следователно всяко лице, което знае данните за вход в пощенската кутия на високопоставен служител, представлява потенциална входна точка, която може да бъде използвана от нападателя.“
Добрата новина е, че от октомври насам фишингът с QR-кодове е намалял до голяма степен, след като е съставлявал 22% от фишинг атаките, според фирмата за управление на човешкия риск Hoxhunt. „От октомври миналата година насам наблюдаваме доказателства, че филтрите за електронна поща наваксват с техниката на QR фишинга“, казва Джон Гелин, ръководител на екипа за заплахи в Hoxhunt. „Тъй като все по-малко от тези атаки заобикалят филтрите за електронна поща, в резултат на това се наблюдава намаляване на тяхната популярност.“
Въпреки това, дори ако quishingът намалее, той ще остане инструмент за нападателите, по същия начин, по който съкратените URL адреси и спамът с изображения продължават да се използват при кибератаки. Най-добрият начин за защита на потребителите е да ги обучим, казва Гелин. Около 5 % от потребителите реагират на фишинг атака в рамките на първите няколко минути, което предполага, че добре обучените служители могат да помогнат за ограничаване на атаката.
„Както показа тенденцията за QR фишинг, някои заплахи винаги ще се промъкват дори и през най-усъвършенстваните филтри“, казва той. „В този момент от човешкия слой зависи да разполага с уменията и инструментите за ефективно справяне със заплахата.“
Обучението е важно, но тъй като един-единствен провал може да има значително въздействие, е необходим технически контрол, казва Бритън от Abnormal Security.
„Има някои фишинг атаки, които съм виждал, че дори трябва да поискам второ мнение от хората, защото изглеждат толкова истински“, казва той. „Как мога да очаквам, че човек от отдел „Човешки ресурси“ ще се справя с това всеки път? Как мога да очаквам от счетоводителя? Как да очаквам от финансов анализатор?“
„Обучението е важно, но ще се провалим, а е достатъчен само един провал“, казва той.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.