Jak cyber-oszuści wykorzystują kody QR w kampaniach phishingowych
Kody QR po wybuchu pandemii koronawirusa przeżywają drugą młodość. Możliwość bezkontaktowej obsługi i szerokie możliwości zastosowania sprawiły, że użytkownicy przypomnieli sobie o tej, nieco już spowszedniałej, technologii. Niestety, cyberprzestępcy również.
Mało kto pamięta, że kody QR obchodzą w tym roku już 30. urodziny – wynaleziono je w 1994 r. Kod QR (ang. Quick Response) pozwala użytkownikowi – po zeskanowaniu czytnikiem w smartfonie – uzyskać dostęp do dodatkowych informacji i zasobów. Jest powszechnie stosowany przez firmy do komunikacji z klientami, stanowi jedno z narzędzi w arsenale marketerów, może być też używany w procesach logowania do usług online i potwierdzania tożsamości (funkcja ta jest obecna m.in. w aplikacji mObywatel).
Kody QR wróciły do łask w trakcie i po pandemii COVID-19 jako wygodny, bezkontaktowy sposób uzyskiwania ważnych informacji. Za ich pomocą były też kodowane tzw. paszporty covidowe. A ponieważ kody QR stały się bardziej powszechne, zwrócili na nie uwagę również cyberprzestępcy i operatorzy internetowych kampanii phishingowych.
Jak wynika z cyklicznych raportów publikowanych przez zespół Cisco Talos Incident Response, w 2023 r. nastąpił znaczny wzrost przypadków phishingu z wykorzystaniem kodów QR.
Przykładowo, w czwartym kwartale ub. roku specjaliści ds. reagowania na incydenty Cisco Talos po raz pierwszy zetknęli się z kampanią phishingową z użyciem kodów QR, w której ofiary były nakłaniane do skanowania kodów QR osadzonych w wiadomościach e-mail. Zeskanowanie takiego kodu powodowało uruchomienie złośliwego oprogramowania na urządzeniach mobilnych.
W innym ataku atakujący wysyłali ukierunkowane wiadomości e-mail (spear-phishing) ze złośliwymi kodami QR prowadzącymi do fałszywych stron logowania do usługi Microsoft Office 365, które wykradły dane logowania użytkownika po ich wprowadzeniu.
Kody QR zamiast linków
W atakach phishingowych napastnicy posługują się mniej lub bardziej ukierunkowanymi wiadomościami e-mail, których treść ma skłonić adresata do podjęcia określonej akcji. Autorzy kampanii wymierzonych w przedsiębiorstwa podszywają się w swoich wiadomościach pod organizacje lub osoby, które są przez ofiarę ataku znane bądź dobrze kojarzone. Ma to uwiarygadniać przekaz e-maila i zwiększać skłonność odbiorcy do wypełnienia instrukcji atakującego. Zwykle jest to kliknięcie linku w wiadomości lub otwarcie załącznika.
W przypadku ataków z użyciem kodu QR napastnicy osadzają kod w treści wiadomości i proszą o zeskanowanie go za pomocą urządzenia mobilnego. Podobnie jak w przypadku każdego innego kodu QR należy w tym celu posłużyć się aplikacją do skanowania kodów QR na urządzeniu mobilnym lub natywnie wbudowanym w system smartfona skanerem.
Po zeskanowaniu kod może przekierować użytkownika na kontrolowaną przez oszustów stronę internetową do złudzenia przypominającą prawdziwą stronę logowania, ale wykradającą dane uwierzytelniające. Może też prowadzić do złośliwego załącznika, który instaluje złośliwe oprogramowanie na urządzeniu docelowym.
Dlaczego to tak groźne
Wykorzystanie kodów QR w atakach jest szczególnie niebezpieczne, ponieważ wektor ataku zostaje przeniesiony z komputera na urządzenie mobilne. Komputer jest zwykle lepiej zabezpieczony przed zakusami cyberprzestępców z racji działającego w systemie oprogramowania antywirusowego. W sieciach korporacyjnych działają zaawansowane zapory sieciowe i inne wyspecjalizowane narzędzia, m.in. systemy detekcji włamań. Wszystko zaprojektowane z myślą o jak najwcześniejszym wykrywaniu potencjalnego zagrożenia i zapobieganiu mu.
W smartfonach i tabletach podobnych zabezpieczeń jest mniej (a na ogół nie ma ich wcale). Zarazem – jako osobiste urządzenia, z którymi się w zasadzie nie rozstajemy – zawierają znaczną ilość prywatnych danych i wrażliwych informacji, które powinny być bezwzględnie chronione przed wyciekiem.
Gdy ofiara skanuje smartfonem złośliwy kod QR, zmienia się powierzchnia ataku, ponieważ firmowe protokoły bezpieczeństwa przedsiębiorstwa i systemy monitorowania mają mniejszą kontrolę nad urządzeniami osobistymi. Ponadto nie wszystkie rozwiązania zabezpieczające pocztę e-mail mogą wykrywać złośliwe kody QR, tak jak w przypadku złośliwych załączników do wiadomości.
W czasach powszechnej pracy zdalnej smartfon stał się równoprawnym wobec komputera urządzeniem zapewniającym dostęp do firmowych zasobów. W badaniu Not (Cyber) Safe for Work z 2023 r. 97 proc. ankietowanych przyznało, że uzyskuje dostęp do swoich kont służbowych z urządzeń osobistych.
To sprawia niestety, że rośnie prawdopodobieństwo skutecznego ataku z użyciem ataku „na kod QR”. Jeżeli napastnicy będą w stanie przechwycić dane logowania lub pliki na urządzeniu końcowym, konsekwencje dla przedsiębiorstwa mogą być katastrofalne.
Jak się chronić przed atakiem
Zdaniem ekspertów z zespołu Cisco Talos podstawą zapobiegania atakom phishingowym opartym na kodach QR jest edukacja użytkowników. We wspólnej odpowiedzialności kadry zarządzającej i działu bezpieczeństwa jest odpowiednie przeszkolenie pracowników w zakresie zagrożeń związanych z atakami phishingowymi i coraz częstszym wykorzystywaniem kodów QR w złośliwych wiadomościach e-mail.
Chodzi zarówno o typowe przesłanki wskazujące na możliwość ataku, w tym literówki w adresach e-mail oraz literówki lub błędy gramatyczne w treści wiadomości, jak i sygnały ostrzegawcze specyficzne dla opisywanej metody ataku. Jest nią na przykład niska jakość obrazu lub rozmycie kodu osadzonego w e-mailu. Ponadto skanery kodów QR często zapewniają podgląd linku, do którego dany kod prowadzi. Użytkownicy powinni odwiedzać tylko zaufane strony internetowe z adresami URL, które rozpoznają. Alternatywnie, mogą użyć zarządzanego urządzenia do ręcznego wpisania żądanego docelowego adresu URL zamiast używać kodu QR jako metody nawigacji.
Nigdy nie należy też podawać danych osobowych, chyba że legalność kodu QR została potwierdzona z daną organizacją.
W ramach dodatkowej warstwy bezpieczeństwa eksperci Cisco Talos rekomendują też:
- Wdrożenie platformy zarządzania urządzeniami mobilnymi (MDM) lub podobnego narzędzia bezpieczeństwa mobilnego, takiego jak Cisco Umbrella, na wszystkich niezarządzanych urządzeniach mobilnych, które mają dostęp do informacji biznesowych. Zabezpieczenia warstwy DNS w narzędziu Cisco Umbrella są dostępne dla urządzeń z systemami Android i iOS, co zapewnia zespołom security dodatkową widoczność przy jednoczesnej ochronie prywatności posiadaczy urządzeń mobilnych.
- Implementacja rozwiązania zabezpieczającego pocztę e-mail, takiego jak Cisco Secure Email. W ostatnim czasie zostały do niego dodane nowe funkcje wykrywania kodów QR, w których adresy URL są wyodrębniane z kodów i analizowane tak, jak każdy inny adres URL zawarty w wiadomości e-mail.
- Stosowanie uwierzytelniania wieloskładnikowego (np. Cisco Duo) które może zapobiec kradzieży danych uwierzytelniających (za pomocą skradzionych loginów napastnicy mogą wysyłać jeszcze bardziej przekonujące wiadomości phishingowe, podszywając się pod zaufanych współpracowników).