現今 QR Code 釣魚(QR Code phishing,Quishing)的相關攻擊日益增加,早在 2022 年 1 月,美國聯邦調查局透過其網路犯罪通報中心(Internet Crime Complaint Center,IC3)發布的新聞稿就指出,網路罪犯集團利用 QR Code 竊取受害者的資金。自新冠疫情(COVID-19)爆發以來,越來越多的店家善用 QR Code 協助營運。為了減少疾病傳染機率,店家盡可能避免人與人的接觸,於是提供了電子菜單,讓點餐線上化,以及將付款方式改為電子支付。隨著這些變化,人們在日常生活中越來越習慣使用各種線上掃碼方式所提供的便利性。雖然在進入網路時代後,資安防護技術提升已經成為必備,民眾的網路安全知識也更上一層樓。只是,在科技的發展與資料流通的速度不斷加快的情況下,百密總有一疏,好用、快速、方便的功能,也可能變相讓不法份子更容易獲利。像是近期掌握科技趨勢的網路犯罪集團便將 QR Code 當成網路攻擊的利器,造成公司及民眾嚴重的損失。
在今年6 月,新一波以 Microsoft 名義發出的電子郵件開始出現在使用者收件匣中。此次攻擊總共發送超過1000封電子郵件,其中大約有三分之一(29%)針對一家美國大型能源公司,而其餘目標分佈於製造業(15%)、保險業(9%)、技術(7%)、和金融服務(6%)。這些訊息被精心打造成有著 Microsoft 標誌和官方相似的電子郵件格式,讓人深信不疑。郵件內容要求用戶更新其 Microsoft 365 雙重要素驗證(Two-factor authentication,2FA) 代碼,並附上一份包含QR Code的 PNG 或 PDF 附件,要求收件人必須在2-3天內完成此步驟,以增加緊迫感。使用者的行動裝置掃描 QR Code 後,將被帶到以 Microsoft 名義為介面的入口網站,並要求他們輸入憑證和多重要素驗證(Multi-factor authentication,MFA)代碼。在使用者輸入憑證後,該資訊將發送給攻擊者,使用者的帳戶以及個資將會受到威脅,接下來攻擊者會更進一步威脅受害者的其他敏感資料。專門防範釣魚的美國網路安全公司 Cofense 表示,這是在美國業界首次監測到如此大規模的 QR Code 網路釣魚攻擊,且從今(2023)年 5 月開始 QR Code 網路釣魚有成長的趨勢,與以往的數量相比已經暴增超過2400%。這表明近期網路釣魚攻擊者可能正在測試 QR Code 作為攻擊媒介的有效性。
為什麼 QR Code 是一個有力的網路釣魚攻擊媒介?
相較於連結式的攻擊能夠透過網址名稱初步判斷,QR Code 的攻擊掃碼者是無法事先判斷點擊後網站可能的面貌,因此能夠讓犯罪組織加以包裝惡意網站。此外,行動裝置一般而言對於網路釣魚攻擊的防護能力可能較為薄弱。 QR Code 釣魚攻擊讓犯罪者一旦攻擊成功竊取到帳密資訊,就等同於得到帳號的存取權限,讓犯罪者能夠在未來針對企業或組織發動更進一步的攻擊,是一種讓犯罪集團能夠多次不法獲利的網路攻擊。
避免落入QR Code 釣魚攻擊的相關策略
組織應採取深度的防禦方法來防止和減輕 QR Code 釣魚攻擊的影響。
- 訓練與教育使用者:
透過教育訓練的方式讓使用者了解到 QR Code 釣魚攻擊的危險性。提醒民眾與組織特別確認 QR Code 的來源,即使是來自您知道的機構或個人,並注意掃描 QR Code 後所導向的網頁,若網頁要求輸入個人帳密或財務資訊時更要格外注意。
- 採用硬體為基礎的 MFA:
YubiKey 等身分認證裝置能夠抵禦網路釣魚框架,例如 evilginx2 可中繼憑證和一次性密碼 MFA 代號。若硬體的 MFA 技術不可行,也能採用一些更可用的相關技術。
- 導入含有 QR Code 釣魚防護機制的郵件安全閘道:
市面上大部分的郵件安全匣道(Secure Email Gateways,SEG)產品並不會主動掃描郵件中的圖片,所以造成 QR Code 類型的釣魚郵件能夠繞過傳統防護檢查機制。
對於網路犯罪者來說只要能夠保持相對較高的投資報酬率,他們就會繼續展開電子郵件攻擊。因此,有效的安全策略應該採用多種工具和治理方式來降低多個層級的風險。從組織自我的提升、使用協助檢測的相關工具,到 MFA 和用戶教育,這些都能夠讓電子郵件成為網路犯罪者利潤較低的攻擊媒介,以此確保組織的安全。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:
Joshua Kamdjou(2023).QR-Code Phishing has multiplied: How detection helps security teams win.SC Media. 檢自:https://www.scmagazine.com/perspective/qr-code-phishing-has-multiplied-how-detection-helps-security-teams-win (Dec.8,2023)
資安人(2023).美國主要能源組織遭QR Code網路釣魚攻擊.資安人. 檢自:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10640 (Aug.20,2023)
Taylor Mei(2023).美國QR Code網路釣魚暴增2400%,能源公司、金融服務業紛紛中招.THE NEWS LENS. 檢自:
https://www.openfind.com.tw/taiwan/markettrend_detail.php?news_id=24817 (Aug.21,2023)
