Фишинг с изюминкой: QR-коды стали новым оружием в руках кибермошенников

По данным таких авторитетных компаний в сфере кибербезопасности, как HP, Darktrace, Malwarebytes и AusCERT, в последнее время мошенники все чаще используют QR-коды для проведения фишинговых атак. Этот метод получил название «квишинг» (от английского «quishing» — сочетание слов «QR code» и «phishing»).

Квишинговая атака чаще всего начинается с рассылки электронных писем с QR-кодом, после сканирования которого система перенаправляет пользователя на фишинговый сайт.

Мошенники обычно выдают себя за известные компании. Жертва, например, может получить уведомление после оплаты онлайн-покупки. Ее убеждают, что транзакция не прошла и нужно ввести данные банковской карты заново. Ничего не подозревающие покупатели заполняют форму и сами сообщают хакерам конфиденциальные сведения.

Если цель — сотрудник крупной компании, скорее всего QR-код перенаправит его на поддельную страницу входа в корпоративный аккаунт Microsoft 365. Как показало исследование AusCERT , в большинстве из таких сообщений отправителем указан руководитель жертвы.

Эксперты из Darktrace рассказали, какие признаки могут указывать на то, что письмо поддельное:

• Отправитель торопит вас — утверждает, что ситуация не терпит отлагательств и QR-код нужно отсканировать немедленно.
• Вам предлагают настроить двухфакторную аутентификацию (предложение может исходить, например, от IT-отдела компании) или активировать любые другие функции компьютера/браузера.
• Иногда такие письма приходят со взломанных легитимных аккаунтов.
• Письмо может имитировать сообщение от организации, которую компания-жертва недавно приобрела или присоединила к себе (это отличный способ завоевать доверие).

Письма практически не содержат текста, из-за этого внутренним фильтрам в почтовых сервисах очень трудно распознать их как спам. Более того, вредоносные QR-коды все же распространяются не только через электронную почту, но и в СМС, а также в социальных сетях.

Так насколько же эффективен квишинг на практике? Эксперимет, проведенный компанией Hoxhunt , показала следующее: из 600 000 сотрудников различных фирм только 36% успешно распознали угрозу в фишинговом послании с QR-кодом. Более половины просто ничего не заподозрили, а 5% даже отсканировали код или перешли по вредоносной ссылке.

Несмотря на то, что сейчас специалисты по кибербезопасности активно обсуждают технические способы блокировки подобных писем, очевидно, что этого недостаточно. Важно сделать упор на обучение сотрудников.

Квишинг — это обычный фишинг, но с изюминкой, поэтому стандартные советы по распознаванию фишинга по-прежнему актуальны. Но, чтобы себя обезопасить, пользователь может предварительно просмотреть URL за QR-кодом и использовать сканер с встроенными функциями безопасности.