Rosnąca popularność kodów QR – jak każdej innej technologii – została wykorzystana przez cyberprzestępców do tworzenia ataków phishingowych. W ciągu ostatniego roku liczba niektórych z nich rosła nawet o 270% miesięcznie. Co to jest kod QR, dlaczego tak łatwo nim manipulować i w jaki sposób może nas przed tymi manipulacjami ochronić Microsoft Defender dla Office 365?
Kod QR (od "Quick Response") to dwuwymiarowy kod kreskowy, który można zeskanować telefonem lub innym urządzeniem (mobilnym lub nie) wyposażonym w kamerę. Kody zawierają informacje, takie jak adresy URL witryn, informacje kontaktowe, informacje o produktach i nie tylko. Zwykle zabierają one użytkowników do witryn, plików lub aplikacji. Ale kiedy wykorzystują je cyberprzestępcy (bad actors), kody QR mogą wprowadzać użytkowników w błąd i prowadzić do przejęcia ich poświadczeń oraz danych.
Podobnie jak w innych technikach phishingu celem ataków opartych na QR jest skłonienie użytkownika do kliknięcia złośliwego linku, który wygląda na prawowity. Atakujący często używają minimalistycznych wiadomości e-mail, aby dostarczać złośliwe kody QR, które zachęcają do pozornie legalnych działań, takich jak resetowanie hasła lub weryfikacja uwierzytelniania dwuskładnikowego.
Znaki ostrzegawcze, które dostrzegą czujni użytkownicy na dużych ekranach, mogą umknąć uwadze użytkownikom smartfonów. Microsoft Defender for Office 365 wyszczególnia kluczowy zestaw wzorców, jakie charakteryzują phishing QR (quishing):
- Przekierowanie URL, gdzie kliknięcie lub stuknięcie zabiera nas nie tam, gdzie się spodziewaliśmy, ale pod przekierowany adres.
- Minimum lub brak tekstu, aby zmniejszyć ilość sygnałów do analizy i wykrywania przez machine learning.
- Wykorzystanie znanej i zaufanej marki, jej znajomości i reputacji, by zwiększyć prawdopodobieństwo interakcji.
- Różne przynęty społecznościowe, w tym uwierzytelnianie wieloskładnikowe, podpisywanie dokumentów i nie tylko.
- Osadzenie kodów QR w załącznikach.
W szczytowym okresie nasilenia Microsoft Defender for Office 365 blokował aż 3 miliony prób ataków phishingowych z użyciem QR dziennie. Teraz, dzięki zastosowaniu innowacyjnej ochrony, liczba ta zmalała do 200 tysięcy dziennie.
Ostatnio zaimplementowane i ulepszone środki ochrony w Microsoft Defender for Office 365 pomagają chronić przed quishingiem poprzez:
- Ulepszone wydobywanie adresów URL. Microsoft Defender dla Office 365 ma ulepszone możliwości wydobywania URL-i z kodów QR, co poprawia zdolność systemu do wykrywania i przeciwdziałania linkom phishingowym ukrytym w obrazach QR. Defender wyodrębnia ponadto metadane z kodów QR, co wzbogaca dane kontekstowe dostępne podczas oceny zagrożenia i pozwala wykryć podejrzane aktywności wcześnie w łańcuchu ataku.
- Zaawansowane przetwarzanie obrazów. Zaawansowane techniki przetwarzania obrazu na początkowym etapie procesu przepływu poczty pozwalają wydobyć i zarejestrować adresy URL ukryte w kodach QR. Ten proaktywny środek przerywa ataki, zanim zdążą naruszyć skrzynki pocztowe użytkowników końcowych, na najwcześniejszym możliwym etapie.
- Zaawansowane polowanie i zapobieganie zagrożeniom. Aby zapewnić wszechstronną odpowiedź na zagrożenia związane z QR w e-mailach, punktach końcowych i tożsamościach, dzięki zaawansowanym możliwościom wyszukiwania zagrożeń, zespoły bezpieczeństwa w różnych organizacjach są dobrze wyposażone, aby szczegółowo identyfikować i filtrować złośliwe działania powiązane z tymi kodami.
- Odporność użytkowników na phishing QR. Microsoft Defender for Office 365 rozszerzył swoje zaawansowane możliwości o zagrożenia oparte na kodach QR, utrzymując zgodność z platformami e-mail i określonymi technikami cyberataków. Systemy szkoleniowe symulacji ataków Microsoftu wraz ze standardową konfiguracją wyboru użytkownika, konfiguracją payloadu i harmonogramem mają teraz specjalistyczne payloady dla phishingu QR w celu symulacji autentycznych scenariuszy ataków.
Dowiedz się więcej z naszych artykułów: