最近、Cofense は米国のエネルギー会社を特にターゲットにしたフィッシング攻撃キャンペーンを発見しました。攻撃者は QR コードを使用して悪意のある電子メールを受信トレイに詰め込み、セキュリティ システムを回避しました。
コフェンス氏は、フィッシング攻撃者がQRコードを使用したこれほど大規模なフィッシング攻撃を確認したのは初めてだと述べ、攻撃ベクトルとしてQRコードを使用することの有効性をテストしている可能性があることを示唆した。
このキャンペーンによるものとされる 1,000 通の電子メールのうち、約 3 分の 1 (29%) は米国の大手エネルギー会社に向けられたもので、残りは製造業 (15%)、保険 (9%)、テクノロジー (7%)、金融サービスに向けられたものでした。 (6%) 企業。
しかし、コフェンスはキャンペーンの対象となったエネルギー会社の具体的な名前は明らかにせず、米国の「大手」企業として分類するだけだった。
QR コードフィッシング活動のソース: Cofense Cofense
フィッシングにおける QR コード
Cofense 氏によると、この攻撃は、受信者に Microsoft 365 アカウントの設定をできるだけ早く更新する必要があることを通知するフィッシングメールから始まりました。電子メールの PNG または PDF 添付ファイルには QR コードが含まれており、受信者はアカウントを確認するためにスキャンするよう求められます。緊急性を高めるために、電子メールには、受信者が 2 ~ 3 日以内にこの手順を完了する必要があることも記載されています。
フィッシングメールのサンプル ソース: Cofense Cofense
脅威アクターは、画像に埋め込まれた QR コードを使用して、メッセージをスキャンして既知の悪意のあるリンクを見つける電子メール セキュリティ ツールをバイパスし、フィッシング メッセージが標的の受信トレイに到達できるようにします。
セキュリティ上の懸念を回避するために、フィッシング キャンペーンの QR コードでは、Bing、Salesforce、Cloudflare の Web3 サービスのリダイレクト機能も使用され、ターゲットを Microsoft 365 フィッシング ページにリダイレクトしていました。
QR コード内のリダイレクト URL の非表示、正規サービスの悪用、フィッシング リンクへの Base64 エンコードの使用はすべて、検出を回避し、電子メール保護フィルターを通過するのに役立ちます。
リダイレクト URL の例 (Cofense)
サイバー犯罪者は QR コードを使用して認証情報と財務情報を盗みます
QR コードは、小規模ではあるものの、フランスやドイツでも過去に攻撃者によるフィッシング活動に使用されてきました。さらに、これらの詐欺師は QR コードを使用して人々をだましてスキャンさせ、悪意のある Web サイトにリダイレクトさせ、お金を盗もうとします。
2022 年 1 月、FBI は、サイバー犯罪者が資格情報や金融情報を盗むために QR コードを使用するケースが増えていると警告しました。QR コードは保護を回避するのに効果的ですが、解読するには被害者によるアクションが必要であり、訓練を受けた担当者に有利な決定的な緩和要素となります。
さらに、最新のスマートフォンのほとんどの QR コード スキャナでは、安全対策として、ブラウザを起動する前にターゲット URL を確認することがユーザーに要求されます。
Cofense では、トレーニングに加えて、企業がフィッシング防御の一環として画像認識ツールを使用することを推奨していますが、これらのツールがすべての QR コードの脅威を検出できるとは限りません。