17/8/2023
“Nie klikaj w linki w mailach. Włącz 2FA” – takie porady słyszy się coraz częściej. Niestety oszuści mogą wykorzystać właśnie motyw włączania 2FA w celu wykradania haseł i nie będzie to wymagać typowego klikania w linki. Ta technika oszustw znana jest od lat, ale wydaje się ostatnio zdobywać popularność.
Firma Cofense poinformowała o zidentyfikowaniu dużej kampanii phishingowej wykorzystującej kody QR. Jej celem było m.in. duże amerykańskie przedsiębiorstwo z branży energetycznej oraz inne firmy z branż: produkcyjnej, ubezpieczeniowej, technologicznej i finansowej. Wydaje się, że warto omówić zarówno tę konkretną kampanię jak i specyficzny rodzaj phishingu, który wykorzystuje kody skanowane telefonem. Już przed laty ukuto dla tego oszustwa termin qrishing, ale nie było powodów by często tego terminu używać.
Włącz 2FA! Użyj telefonu
W przypadku rzeczonej kampanii atakującej przedsiębiorstwo energetyczne pracownicy firmy dostawali e-maile z kodem w pliku PNG. Maile przekonywały, że w związku z procedurami bezpieczeństwa konieczne jest włączenie weryfikacji 2FA poprzez zeskanowanie kodu QR. Oczywiście po zeskanowaniu kodu należało się zalogować i tu był pies pogrzebany – kod kierował użytkownika do strony fałszywej, służącej wyłudzeniu danych uwierzytelniających.
Fragment maila z kampanią QRishingową zaobserwowaną przez Cofence
Przestępcy byli sprytni. Zastosowali link z przekierowaniem przez domenę Bing.com. Takie adresy URL, tworzone zwykle w celach marketingowych, zaczynają się od adresu bing.com, potem mają pewien ciąg znaków istotny dla działań marketingowych, a dopiero na końcu mają doklejony adres e-mail ofiary oraz link do strony docelowej zakodowany w Base64. Nie każdy pracownik biurowy wie o możliwości stworzenia takiego przekierowania, natomiast istnieje świadomość, że Bing.com to domena powiązana z Microsoftem.
Firmę Cofense zaniepokoiła nie tyle użyta technika (wcale nie nowatorska) ile wyraźny wzrost liczby wiadomości tego typu. W maju wynosił on 270% w ujęciu miesiąc do miesiąca. W czerwcu skoczył do 500%, a w kolejnym miesiącu o kolejne 155%. Dokładne mierzenie skuteczności takich kampanii właściwie nie jest możliwe, ale jeśli przez całe lato takich maili ciągle przybywa to wydaje się, że przestępcy wiążą z nimi duże nadzieje. Być może już wiedzą, że to się po prostu opłaca.
Dlaczego QRishing jest niebezpieczny?
Phishing oparty na kodach QR był znany jeszcze przed pandemią. W roku 2019 również firma Cofence informowała o atakach, w ramach których pracownicy pewnej firmy byli zachęcani do skanowania kodów QR w celu zapoznania się z dokumentem.
W tym przypadku atak był o tyle ciekawy, że zachęcał pracowników do używania osobistych urządzeń, które funkcjonowały poza systemem zabezpieczeń organizacji. To jest jedno, ale nie jedyne niebezpieczeństwo qrishingu. Są inne.
- Kody QR często nie zostaną wykryte przez systemy anty-phishingowe jako niebezpieczne linki w mailu.
- Kody QR mogą być dodatkowo ukryte w innych obrazach lub np. w dokumentach PDF w załączniku.
- Szkolenia z bezpieczeństwa często są nastawione na unikanie klikania w linki więc czynność skanowania kodu nie budzi złych skojarzeń.
Trudno też nie zauważyć, że coraz częściej mówi się ludziom “włączajcie 2FA” oraz “to wymaga dodatkowego urządzenia, np. telefonu”. To świetnie wpasowuje się w scenariusz pierwszej z opisanych kampanii.
Co robić? Jak żyć?
Po pierwsze warto pamiętać, że kody QR bywają niebezpieczne w różnych sytuacjach. Niedawno ostrzegaliśmy przed atakiem na parkomaty w Krakowie. Przestępcy próbowali zarobić umieszczając na tych urządzeniach kody kierujące rzekomo do strony pozwalającej na opłacenie parkingu. Interes chyba nie był zbyt dochodowy i policja szybko namierzyła złodziei, ale ta sytuacja dobrze obrazowała problem ze skanowaniem kodów. Nie zawsze wiesz gdzie kieruje taki kod i nawet jeśli nie zostaniesz okradziony od razu, możesz np. oddać swoje dane przestępcom. Powtórzymy poradę, którą już zamieszczaliśmy na naszych łamach:
do wszystkich kodów QR, tam samo jak do “skróconych” linków warto podejść z ostrożnością, ponieważ na pierwszy rzut oka, nie widać, gdzie nas przekierują.
Nie bez powodu w roku 2021 FBI oficjalnie ostrzegała przed oszustwami z użyciem kodów QR, zwłaszcza w kontekście oszustw na kryptowaluty oraz matrymonialnych. Nie należy jednak upraszczać tego ostrzeżenia do stwierdzenia “kody QR to zło”. Należy je raczej czytać w taki sposób, że coraz częściej w oszustwach socjotechnicznych pojawia się kod QR zamiast linku. Umożliwia to szybsze przeprowadzenie pewnych procedur i zwykle na ekranie telefonu, który pokazuje mniej szczegółów. Budowanie świadomości w tym obszarze może być istotne w kolejnych latach.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Przeczuwam, że qr kody znikną z mainstreamu podobnie jak linki w smsach
tam:=tak
Warto dodać, że powyższa grupa jest na tyle ogarnięta, że nie tylko kod QR jest obrazkiem, ale obrazkiem jest cała treść wiadomości phishingowej co utrudnia wykrycie na bazie słów w treści. Jednocześnie z drugiej strony do maili doklejane są jakieś randomowe bloki tekstu poniżej samego phishingu więc relacja ilości obrazków do tekstu też na nic sie tu zda.
Jednym ze sposobów, choć niezbyt wyrafinowanym na wykrywanie tego jest patrzenie na nietypowe logowania z urządzeń mobilnych albo śledzenie tych przekierowań – tyle, że to walka z wiatrakami;-)
Problemem jest narzucanie idiotycznych (pseudo idiotoodpornych) rozwiazan przez megacorpy. Notorycznie wymuszaja od uzytkownikow jakies dzialania i sie dziwia kiedy ci nie potrafia odroznic takiego wymuszenia ze strony oszustow. Dokladnie to samo bylo z ukrytymi linkami, najpierw wymuszaja klikanie bezmyslnie i niepotrzebnie ukrytych za innymi linkami a potem obwiniaja uzytkownikow (google ukryl faktyczne adresy, pojawily sie reklamy udajace rezultat wyszukiwanie – przypadek?). Do tego kazdy kto kozysta wzglednie bezpieczny sposob z komputera swietnie zdaje sobie sprawe jak bardzo korporacyjne zabezpieczenia nie lubia jak sie odstaje od stada i nie szasta wszystkimi dostepnymi informacjami o sobie na lewo i prawo (zeby sobie mogli sprawdzic bez wysilku, do czasu jak dorwie sie do nich oszust) i notorycznie sprawiaja problemy z tego powodu. Jak nie techniczne to blokady i bany za “podejrzane” czy “hakerskie” zachowania (doslownie, jedna firma nawyrzucala mi od hakerskich przestepcow przy okazji zablowania mnie, a potem sie okazalo ze autentykator nie lubi niektorych narzedzi administracyjnych – zeby bylo smieszniej, bez problemu da sie go odciac od tej informacji, czyli ochrona przeciw ewentualnym przestepcom jest zadna).
Najlepiej jak corpo wymaga instalowania lub samo instaluje spyware typu XDR.
Moje dane już tak wyciekły – znalazłem dumpa z moimi danymy w paczce jednej firmy oraz informacją, że blad w xdr
Dlatego używa się czytników kodów QR, które najpierw pokazują pełny adres i dopiero wtedy trzeba kliknąć przycisk “Otwórz URL”.
To nic nie da, w tym ataku URL prowadził do bing.com