В 42 раза чаще: QR-коды стали новым оружием против бизнес-элиты

В последнем квартале 2023 года наблюдается резкий скачок атак с использованием QR-кодов, направленных преимущественно на корпоративных руководителей и менеджеров. Эксперты рекомендуют компаниям усилить защиту своих руководящих кадров цифровыми средствами.

Недавний отчёт компании Abnormal Security, специализирующейся на обеспечении безопасности электронной почты в облаке, демонстрирует, что фишинговые письма с QR-кодами успешно преодолевают спам-фильтры и достигают своих адресатов, в частности, пользователей Microsoft 365 и DocuSign.

По предоставленной аналитиками статистике, в четвёртом квартале 2023 года высшее руководство компаний в 42 раза чаще сталкивалось с фишинговыми атаками с использованием QR-кодов, чем обычные сотрудники. Менеджеры среднего звена также ощутили увеличение числа атак, хоть и в меньшем масштабе, сталкиваясь с фишингом на основе QR-кодов в пять раз чаще, согласно отчёту Abnormal.

«Если я злоумышленник, я хочу атаковать тех, кто может мне заплатить и у кого есть учётные данные, дающие доступ к самой интересной информации», — объясняет мотивы хакеров Майк Бриттон, главный информационный специалист по безопасности в Abnormal.

QR-коды, получившие широкое распространение во время пандемии, стали популярным средством для атак. Более четверти атак с QR-кодами (27%) в четвёртом квартале имитировали уведомления о многофакторной аутентификации (MFA), а примерно каждая пятая атака (21%) представляла собой фальшивые уведомления о совместном доступе к документам.

Фишинг с использованием QR-кодов особенно опасен, так как злоумышленники маскируют вредоносные ссылки в изображениях, что позволяет им обходить не только подозрения пользователей, но и большинство продуктов по обеспечению безопасности электронной почты. Кроме того, вредоносные QR-коды могут быть размещены в физическом пространстве, например, на стикерах, визитках и т.п. Всё это позволяет хакерам обойти цифровую защиту компаний, какой бы мощной она не была.

«Атаки используют врождённое доверие пользователей к QR-кодам, интегрируя их в повседневные предметы, такие как паркоматы или плакаты», — говорит Моник Бесенти, директор по продукту в компании по мобильной безопасности Zimperium.

Основной целью атак на руководителей является похищение учётных данных — имён пользователей и паролей. Фишинг учётных данных является самым популярным видом атак по электронной почте, составляя 73% всех атак и 84% атак с использованием QR-кода.

Несмотря на то, что с октября популярность фишинга с QR-кодами несколько снизилась, он всё равно навсегда останется в арсенале злоумышленников. Лучший способ защиты — обучение пользователей, считает Джон Геллин из компании Hoxhunt.

«Обучение важно, но мы обязательно столкнёмся с провалами, и для провала достаточно одной ошибки», — добавляет Бриттон из Abnormal Security, подчёркивая необходимость технических контролей в дополнение к обучению.