二維碼無處不在,你可以在海報和傳單、ATM 屏幕、價簽和商品甚至建築物上看到它們,人們用它們來分享信息,推廣各種在線資源,然而,你卻很少在電子郵件中看到二維碼。用戶無需掃描即可在手機上直接閱讀信息,因爲大多數信件都帶有普通的超鏈接,但攻擊者正越來越多地通過電子郵件發送的二維碼來實施攻擊。
與易于檢查和屏蔽的釣魚鏈接不同,二維碼是安全解決方案中令人頭疼的問題。分析二維碼并找出其中包含的信息,需要昂貴且資源豐富的計算機視覺技術。更糟糕的是,雖然一個普通的鏈接隻需看一眼就可以整理出來,但使用二維碼,在掃描之前,你無法判斷它會把你重定向到哪裏。
二維碼也稱快速響應碼,是一種二維矩陣條形碼,由幾個正方形和多個點(模塊)組成,排列在白色背景上的正方形圖案中,可以使用圖像處理設備來掃描 QR 碼。它将首先通過正方形識别代碼的位置,然後讀取點中編碼的信息,除了實際的代碼外,方形區域還可以容納裝飾元素,例如公司徽标。
二維碼比 1D 條形碼能夠編碼更多的數據,它們通常用于編碼指向各種資源的超鏈接,例如商店目錄、結賬頁面或建築信息頁面。
電子郵件中的惡意二維碼
攻擊者使用二維碼對網絡釣魚和詐騙頁面的鏈接進行編碼,研究人員在 2021 年底注冊了第一次使用該技巧進行惡意電子郵件活動的嘗試。這些都是模仿聯邦快遞(FedEx)和 DHL 等快遞服務公司電子郵件的詐騙信息,受害者會被誘騙通過掃描二維碼支付關稅,編碼的鏈接正在重定向到一個僞造的銀行卡數據輸入頁面。這場活動的規模不大,并到 2022 年年中有所減少。研究人員在 2023 年春季觀察到的以二維碼爲特色的新電子郵件活動,與第一次不同的是,這次是針對微軟産品企業用戶的登錄名和密碼。
攻擊者向受害者發送信息,告知他們的公司電子郵件帳戶密碼即将過期,爲了保留對賬戶的訪問權限,用戶需要掃描二維碼。一些電子郵件将來自免費郵件地址,另一些則來自最近注冊的域名,在一些信息中,攻擊者在二維碼中添加了微軟安全标志,以提高可信度。
帶有二維碼的釣魚郵件
在收到釣魚郵件并掃描代碼後,用戶将被重定向到一個類似微軟登錄頁面的虛假登錄頁面,隻要輸入登錄名和密碼,攻擊者就可以訪問該帳戶。
除了敦促用戶更改密碼或更新個人數據的消息外,我們還檢測到一個未發送的電子郵件通知活動,該活動還使用二維碼重定向到虛假的微軟帳戶登錄頁面。
以下截圖所示的信件沒有二維碼标志,但帶有 " 此郵件來自可信來源 " 的字樣,讓用戶放松警惕。
未發送的郵件通知
掃描二維碼時看到的一些頁面位于 IPFS 資源中,攻擊者會用這種分布式文件系統發起攻擊。IPFS 是一種點對點的網絡協議,旨在創建持久且分布式存儲和共享文件的網絡傳輸協議,IPFS 網絡釣魚活動與傳統網絡釣魚活動類似,攻擊者模仿合法服務和軟件(如 DHL、DocuSign 和 Adobe)來增加進入目标收件箱的可能性。
統計數據
從 2023 年 6 月到 8 月,研究人員檢測到 8878 封包含二維碼的網絡釣魚郵件,惡意活動在 6 月份達到頂峰,有 5063 封信,到 8 月份減少到 762 封信。
2023 年 6 月至 8 月帶有二維碼的釣魚電子郵件數量趨勢
總結
攻擊者可以通過多種方式使用二維碼。首先,這些代碼使他們能夠避免安全措施檢測和屏蔽他們的電子郵件,查看二維碼内容并不容易,而且消息中沒有釣魚鏈接;此外,一封信不能僅僅因爲裏面有二維碼就被屏蔽,盡管二維碼不是一個流行的電子郵件元素,但二維碼也可以用于合法的通信,例如發件人的自動簽名;其次,由于消息中不包含鏈接,因此無需注冊額外的帳戶或域來重定向用戶,從而隐藏網絡釣魚;最後,大多數用戶使用智能手機攝像頭掃描二維碼,并希望盡快解決問題。因此,他們可能會忽略重定向到的頁面的地址行,因爲它在移動浏覽器中不太顯眼。
另一方面,合法發件人幾乎從不在郵件中使用二維碼,因此僅僅在電子郵件中出現二維碼就可能引發懷疑;此外,掃描二維碼需要另一個設備,而用戶可能沒有現成的設備。目前研究人員還沒有觀察到許多基于二維碼的攻擊活動,他們隻能假設實際掃描代碼的收件人不多。盡管如此,考慮到該機制的使用情況,預計這種攻擊在短期内會增加,且活動本身也會變得更加複雜,并針對特定目标進行調整。
