Техника атаки Квишинг (Quishing) является разновидностью фишинга, при которой используются QR-коды для маскировки вредоносных ссылок.
QR-коды стали полезным инструментом в арсенале злоумышленников, стремящихся преодолеть барьеры доступа, поскольку их легко использовать в атаках, их трудно обнаружить и предотвратить, и они хорошо помогают обмануть пользователей, заставив их отказаться от учетных данных. К счастью, специалисты по кибербезопасности могут предпринять эффективные шаги, чтобы смягчить этот растущий вектор атак.
Многие отраслевые источники, в том числе Perception Point , Check Point и AT&T , сообщают о резком росте в 2023 году кампаний по фишингу QR-кодов, также известных как квишинг. Это значительная и растущая тенденция, и хотя технически это не более чем украшение стандартной модели фишинга, у этой техники есть несколько особенностей, заслуживающих внимания.
Quishing работает путем кодирования информации, часто вредоносной ссылки, в вездесущий формат изображения QR-кода. Коды, выглядящие как техническая информация, часто помогают сотрудникам попасться на удочку мошенничества и усложняют обнаружение автоматизированным системам.
Почему квишинг становится все популярнее?
Поскольку платформы безопасности улучшают свои возможности борьбы с фишингом в целом, злоумышленники всегда ищут новые способы обойти защиту. Политики нулевого доверия и многофакторная аутентификация снижают эффективность фишинговых кампаний.
Для злоумышленника QR-коды дают ряд преимуществ, в том числе некоторые, которые ценятся законным бизнесом: их легко создавать и легко использовать. Злоумышленникам легко использовать бесплатные ресурсы для создания убедительных фишинговых писем, вложений и веб-сайтов с использованием QR-кода — механизм, который может повысить эффективность их усилий с минимальными усилиями.
QR-коды выглядят официально и представляют собой удобный и быстрый вариант для пользователей, что делает их исключительной приманкой, а также их сложнее обнаружить автоматическим системам, чем другие методы фишинга. Поскольку QR-код — это всего лишь изображение, в котором закодирована информация, его можно использовать для уменьшения количества вредоносных данных в электронном письме, тем самым делая его менее очевидной целью для спам-фильтров.
Их легко создать, и они более эффективны, чем фишинг URL-адресов, говорит Олеся Клевчук, директор по защите электронной почты в Barracuda. «Технологии сканирования URL-адресов и перезаписи URL-адресов неэффективны против атак с QR-кодом, поскольку просто нет ссылки для сканирования. Поскольку пользователям приходится сканировать QR-коды с помощью своих телефонов, эти атаки по сути перемещаются на совершенно новое устройство, которое часто находится за периметром безопасности компании.”
Защита от квишинга
С точки зрения защитника, опасность вредоносных QR-кодов существует как в человеческом элементе (они имеют вид легитимности и по своей конструкции очень просты), так и в машинном элементе (они скрывают фактическое содержание электронного письма или сообщения, усложняя обнаружение).
Решение проблемы требует нескольких разных подходов:
- Образование: убедитесь, что пользователи осведомлены о тенденции кишинга, и подчеркните, что QR-коды не являются показателем легитимности.
- Профилактика: Автоматизированные системы, фильтрующие электронную почту и URL-адреса, должны быть проверены и защищены от QR-кодов. Необходимо изучить существующее использование QR-кодов на предприятии, чтобы злоумышленникам было как можно сложнее их перехватить.
- Реагирование: Должны быть предусмотрены механизмы обнаружения и блокировки для защиты от компрометации учетных записей.
- Проверка: проведите пентесты на атаки с помощью QR-кода и симуляцию атак.
Образование и осведомленность
Как профессионалы, ориентированные на технологии, мы работаем над технологическим решением, но образование и осведомленность играют свою роль. Мы привыкли твердить о недоверии к электронной почте и подтверждать по второму каналу что-либо существенное. Квишинг добавляет важный элемент: QR-коды не являются каким-либо показателем легитимности.
QR-коды на удивление безобидны и привлекательны. Специалисты по безопасности должны дать понять, что к электронному письму с QR-кодом следует относиться с таким же подозрением, как и к любому другому. Не помешает напомнить сотрудникам не использовать пароли повторно, особенно между рабочими и личными учетными записями.
Предотвращение фишинга QR-кода
Обучение сотрудников должно сопровождаться усилением технологической защиты. Крайне важно убедиться, что системы сканирования настроены на обнаружение QR-кодов, их распаковку в виде вложений и поиск вредоносного контента.
QR-коды можно встраивать разными способами, в основном внутри или прикрепляя к другим документам, таким как файлы Word или PDF-файлы. Злоумышленники хитроумно использовали меньший размер QR-кода, чтобы обмануть сканирование, а специалистам по безопасности необходимо проверить у поставщиков, что QR-коды проверяются в их продуктах.
Внесение в белый или черный список доменов отправителей электронной почты — еще одна хорошая практика, которая может помочь в борьбе с фишингом в целом и с квишингом в частности.
Кросс-платформенная и мобильная безопасность
QR-коды часто инициируют взаимодействие между устройствами, при котором пользователь сканирует код своим мобильным устройством. В общем, мобильные устройства могут предлагать менее безопасную платформу, и этот переход может переключить пользователя из одной рабочей сети в другую. В последние годы привлечение пользователей к мобильным устройствам стало основной тактикой злоумышленников.
Атаки с использованием QR-кода делают упор на безопасность и политику взаимодействия между устройствами. Сюда входит междоменная безопасность, при которой пользователь может использовать личное устройство для сканирования компьютера компании или наоборот.
Необходимо учитывать ряд факторов, которые могут повлиять на устойчивость к подавляющим атакам, в том числе «сохранение жесткого контроля над сокращением URL-адресов и перенаправлениями, происходящими из их домена», — говорит Мэтью Вудиворд, главный исследователь по анализу угроз в Okta. Компаниям следует «обратить внимание на то, какие QR-коды они публикуют, и спросить себя: «Как кто-то мог бы злоупотребить этой ссылкой?» — говорит он.
Искусственный интеллект как угроза и инструмент
Вы можете быть уверены, что злоумышленники будут использовать ИИ для создания убедительных писем. Как говорит Клевчук из Barracuda: «Использование искусственного интеллекта и технологии распознавания изображений полезно для обнаружения этих атак. Обнаружение на основе искусственного интеллекта также будет искать другие сигналы, которые могут быть признаком вредоносного присутствия, такие как отправители, размер изображения, контент и т. д.».
Обнаружение с помощью машинного обучения важно, поскольку оно способно сформировать более широкую картину данного артефакта и сделать прогнозы о том, является ли он вредоносным или нет, за пределами того, что человек может предвидеть.
Моделирование атак Red Teaming и тестирование на проникновение
Организация должна проводить симуляцию атак, чтобы изучить реакцию своих сотрудников, технологий и службы безопасности. Включение QR-кодов в эти симуляции является важным шагом. Этот тип моделирования также может помочь выяснить, насколько хорошо организация реагирует на взлом, особенно в отношении обнаружения и блокировки скомпрометированных учетных записей.
«Нужно установить жесткий контроль, чтобы предотвратить захват учетных записей после входа в систему», — говорит Вудворд, — «отслеживая активные попытки вброса учетных данных и останавливая их на уровне идентификации, используя обнаружение взломанного пароля».
Роль многофакторной аутентификации
Многофакторная аутентификация может помочь смягчить последствия успешной атаки с использованием QR-кода, ограничив ущерб от компрометации учетных данных. Интересно, что фишинговые электронные письма с QR-кодом часто маскируются под электронные письма с многофакторной проверкой, и это следует учитывать при оповещении сотрудников.
QR-коды могут быть встроены различными способами для кодирования сканируемой информации. В случае хакеров обычно это фишинговый URL-адрес или загрузка вредоносного ПО.
Хотя до сих пор многие квишинговые кампании были нацелены на потребителей, по опыту мы знаем, что они распространятся на предприятия и государственные учреждения, что мы уже наблюдаем.
Источник: https://www.csoonline.com/article/1248084/the-alarming-rise-of-quishing-is-a-red-flag-for-cisos.html