Бубен больше не помогает?
Image

Мы вскрываем схемы, пока их прячут

Чат для тех, кто чинит сети головой и руками. Реальный опыт, а не магия.

Платите за дорогой NGFW? Поздравляем, его обошли бесплатным HTML-тегом

QR HTML Internet Storm Center почта защита
Платите за дорогой NGFW? Поздравляем, его обошли бесплатным HTML-тегом
QR HTML Internet Storm Center почта защита

QR-код в письме может выглядеть обычным, но теперь он может быть собран из HTML и пройти мимо защиты.

image

Киберпреступники нашли неожиданный способ обойти защиту почтовых сервисов от вредоносных QR-кодов, и сделали это довольно изящно. Вместо привычных картинок они начали рассылать QR-коды, полностью собранные из HTML-кода. В результате письма выглядят безобидно, а системы безопасности часто просто не понимают, что перед ними скрытая фишинговая атака.

На новую кампанию обратили внимание специалисты Internet Storm Center при SANS Technology Institute. В конце декабря, с 22 по 26 число, в их почтовые ящики пришла серия фишинговых писем, в которых QR-коды были «нарисованы» с помощью HTML-таблиц, а не прикреплены в виде изображений, как это обычно бывает.

Фишинговое письмо с QR-кодом для якобы подтверждения и подписи документа, оформленное под официальное уведомление SANS.

QR-код, составленный из HTML-таблиц (Internet Storm Center)

Трюк оказался на удивление эффективным. Большинство существующих механизмов защиты ищут QR-коды именно в картинках, а здесь анализировать формально нечего. Как отмечают специалисты, такая техника позволяет обходить автоматическое обнаружение и анализ QR-кодов в электронных письмах.

Сами сообщения выглядели максимально просто. Несколько строк текста и QR-код, без лишних деталей. Получателей убеждали отсканировать код, чтобы якобы просмотреть и подписать документ. Визуально всё выглядело правдоподобно и не вызывало подозрений.

Технически каждый пиксель QR-кода представлял собой отдельную ячейку HTML-таблицы размером 35 на 35. Фон ячеек окрашивался в чёрный или белый цвет, формируя привычный узор. Для пользователя такой код выглядел почти нормально, разве что был немного сжат по вертикали.

После сканирования QR-кода жертва попадала на фишинговый сайт, предназначенный для кражи учётных данных. Хотя сам приём нельзя назвать новым, его использование в реальных атаках ещё раз показывает, насколько опасно полагаться на устоявшиеся предположения о том, как именно доставляется вредоносный контент.

Авторы исследования подчёркивают, что одними техническими мерами невозможно остановить все угрозы, особенно когда атаки используют сочетание технологий и социальной инженерии. В такой игре в кошки-мышки злоумышленники постоянно ищут и находят новые лазейки, и история с HTML-QR-кодами стала ещё одним наглядным примером.