電郵中嵌入惡意QR Code的新型釣魚手法

電郵安全公司Abnormal Security近期揭露一款利用QR Code行騙的釣魚手法,詐騙犯透過在電郵中嵌入惡意QR Code誘使收件人掃描,以躲避一般可掃描惡意網址連結及相關附件之防護機制。

非營利組織商業改進局(Better Business Bureau,BBB)溝通長(Chief Communication Officer,CCO)Katherine Hutt分析,QR Code之所以能成為詐騙犯的避險機制有兩大原因:其一,在COVID-19疫情期間,以非接觸式的QR Code提供資訊,有助於減少肢體接觸及病毒傳播;其二,幾乎所有手機鏡頭都不需下載特定App就能掃描QR Code。此外,一般使用者不會像檢查電腦惡意軟體那般仔細查看手機,詐騙犯正是利用人們的這項心理因素。

部分惡意QR Code將收件人重新導向試圖竊取個資或憑證的釣魚網站,另一些則誘使收件人啟動支付App或關注惡意社群媒體帳號,這些詐騙案的共同點都是希望受騙者在未仔細檢查的情況下立刻掃描QR Code。

Abnormal Security威脅情報總監(director of threat intelligence)Crane Hassold表示,將QR Code使用於網路釣魚並非新鮮事,但置入電郵當中卻是首見。根據Abnormal Security威脅情報分析師Rachelle Chouinard撰寫的部落格文章,該公司偵測到的釣魚行動試圖蒐集Microsoft憑證,藉此使電郵收件人存取錯過的惡意語音電郵,再加上所有QR Code都是在發送當日創建,因此難以事前揭露並依安全漏洞清單識別。

Chouinard於文中提到,由於釣魚電郵來自合法帳戶且不包含惡意連結,因此安全平臺不易察覺,只有當帳戶持有人意識到帳戶遭盜用並理解惡意電郵之意圖,才能檢測到這類新穎的攻擊類型。然而,此類攻擊存在一項重大缺陷,如果用戶是透過手機開啟電郵,必須另以其他設備掃描QR Code,這將降低釣魚成功的機率。

相關連結:

Bradley Barth, QR codes offer scammers another avenue to circumvent traditional email security. SC Media.

檢自:

https://www.scmagazine.com/analysis/cybercrime/qr-codes-offer-scammers-another-avenue-to-circumvent-traditional-email-security  (Nov. 11 , 2021)

回到頂端