QR-коды удобны для посещения веб-сайтов, загрузки приложений и просмотра меню в ресторанах. Именно поэтому они стали инструментом злоумышленников для кражи учетных данных, заражения мобильных устройств и вторжения в корпоративные системы.

«Мы наблюдаем взрывной рост целевых атак на мобильные устройства, в том числе фишинговых атак», отмечает Керн Смит, вице-президент по предпродажам в Америке в компании по мобильной безопасности Zimperium с штаб-квартирой в Далласе.

«Большинство фишинговых сайтов ориентированы на мобильные устройства», — говорит он. «Причина в том, что злоумышленники знают, что мобильные устройства наиболее уязвимы к фишинговым атакам».

«Фишинг с использованием QR-кодов- quishing- отличный вектор атаки для злоумышленников, потому что они могут широко распространять QR-коды, и многие корпоративные системы борьбы с фишингом не предназначены для сканирования QR-кодов», — говорит он.

Reliaquest, компания по автоматизации безопасности, облачной безопасности и управлению рисками с штаб-квартирой в Тампе, Флорида, отметила в недавнем отчете, что в сентябре число атак с использованием QR-кодов увеличилось на 51% за последние восемь месяцев.

«Этот всплеск по крайней мере частично обусловлен увеличением распространенности смартфонов с встроенными сканерами QR-кодов или бесплатными приложениями для сканирования: пользователи часто сканируют коды, даже не задумываясь о их легитимности», — говорится в отчете.
Эпидемия фишинга
Шьява Трипати, исследователь из Центра передовых исследований Trellix, создателя платформы для расширенного обнаружения и ответа в Милпитас, Калифорния, отмечает, что фишинг отвечает за более чем треть всех атак и нарушений.

«Атаки на основе QR-кодов не новы, но они становятся все более распространенными в крупных кампаниях, нацеленных на бизнес и потребителей. Только в третьем квартале Trellix выявила более 60 000 вредоносных образцов QR-кодов», — говорит исследователь.

Quishing в настоящее время находится в центре внимания многих организаций, утверждает Стив Джеффери, ведущий инженер по решениям в Fortra- международная компания по кибербезопасности и автоматизации. «Это представляет собой риск, который может обойти существующие средства безопасности, поэтому защита может быть в том, чтобы получатель полностью понимал угрозу и не попадался на удочку», — говорит он.

Переход по вредоносным URL-адресам все еще остается одним из основных рисков захвата учетных записей, продолжил он. Он привел данные от PhishLabs, принадлежащей Fortra, которые показали, что во втором квартале 2023 года более трех четвертей атак похищения учетных данных по электронной почте содержали ссылку, направляющую жертв на вредоносные веб-сайты.

«Quishing — это всего лишь новый вид атак фишинга», — сказал он. «Вместо гиперссылки на фальшивый или вредоносный веб-сайт злоумышленник использует QR-код для передачи URL-адреса. Поскольку большинство систем безопасности электронной почты не читают содержание QR-кодов, трудно предотвратить проникновение этих сообщений, отсюда и рост распространенности этого типа атаки».
Охота на учетные записи
Майк Бриттон, начальник по информационный безопасности Abnormal Security-глобального поставщика услуг по электронной почте- согласился, что quishing — это растущая проблема. Он ссылался на данные Abnormal, которые показали, что 17% всех атак, обходящих спам и нежелательные фильтры, используют QR-коды.

Он добавил, что данные его компании также показывают, что фишинг учетных данных составляет около 80% всех атак на основе QR-кодов, а мошенничество со счетами и вымогательство заканчивают топ-три типов атак.

«Использование QR-кодов — это привлекательная тактика атаки для злоумышленников, потому что конечное место, на которое QR-код направляет получателя, может быть трудно обнаружить», — сказал Бриттон.

«В отличие от традиционных атак по электронной почте», — продолжил он, — «текстового содержания минимум, и нет явного злонамеренного URL. Это значительно сокращает количество сигналов, доступных для традиционных средств безопасности для обнаружения и анализа с целью выявления атаки».

«Поскольку они легко уклоняются как от человеческого обнаружения, так и от обнаружения традиционными средствами безопасности, атаки с использованием QR-кода, как правило, работают лучше, чем более традиционные типы атак», — добавил он.

Встроенные угрозы QR-кодов

Рэнди Паргман, директор по обнаружению угроз в Proofpoint, предприятии по информационной безопасности в Саннивейле, Калифорния, подчеркивает, что главная причина, по которой злоумышленники предпочитают QR-коды обычным фишинговым URL-адресам или вложениям, заключается в том, что люди, сканирующие QR-коды, обычно делают это на своем личном телефоне, который, вероятно, не отслеживается службой безопасности.

«Это затрудняет компаниям узнавать, какие сотрудники взаимодействовали с фишинговыми сообщениями», — заметил он.

Он пояснил, что фишинговые атаки с использованием QR-кода трудно обнаружить, потому что фишинговый URL-адрес не так просто извлечь и отсканировать из QR-кода. Кроме того, большинство безвредных подписей электронной почты содержат логотипы, ссылки на социальные сети, встроенные в изображения, а также QR-коды, указывающие на легитимные веб-сайты.

«Таким образом, само наличие QR-кода еще не является надежным признаком фишинга», — считает Рэнди Паргман. «Многие законные маркетинговые кампании используют QR-коды, что позволяет зловредным QR-кодам сливаться с фоновым шумом».

Николь Кариньян, вице-президент стратегического кибер-ИИ в Darktrace, международной компании по кибербезопасности с элементами искусственного интеллекта, добавила, что увеличенное использование QR-кодов в фишинговых атаках — это яркий пример того, как злоумышленники переходят к методам, способным уклоняться от традиционных защит с большей ловкостью и эффективностью.

«Традиционные решения сканируют зловредные ссылки в легко находимых местах», — сказала она. «В отличие от этого поиск QR-кодов внутри электронных писем и определение их правильного места назначения требует строгих техник распознавания изображений для снижения рисков».

Лучшие практики для безопасности QR-кода
Кариньян отметила, что исследования Darktrace показывают, что атаки quishing часто сопровождаются высоко персонализированным нацеливанием и вновь созданными доменами отправителей, что еще больше снижает вероятность обнаружения электронных писем традиционными решениями безопасности электронной почты, полагающимися на подписи и известные списки для обнаружения злонамеренной активности.

«Самый распространенный метод социальной инженерии, сопровождающий вредоносные QR-коды, — это подражание внутренним ИТ-командам, в частности, электронным письмам, утверждающим, что пользователям необходимо обновить настройки двухфакторной аутентификации», — сказала она. «При настройке двухфакторной аутентификации для большинства инструкций требуется сканировать QR-код. Таким образом, атакующие теперь подражают этому процессу, чтобы уклониться от традиционных средств безопасной электронной почты».

Хотя существует много технологических решений для предотвращения потенциальных атак на основе QR-кода, для многих людей может сработать очень простое решение.

«Когда мы говорим с людьми о лучших практиках в отношении QR-кодов, одно из самых простых правил, которые вы можете соблюдать, — это спросить себя: находится ли этот QR-код в месте, где его мог поставить плохой человек?» — рекомендовал Кристофер Бадд, лидер команды X-Ops в Sophos, международной компании по сетевой безопасности и управлению угрозами.

«Если я иду по фудкорту в торговом центре и вижу табличку: ‘Сэкономьте 20% во всех магазинах сегодня. Отсканируйте этот код’. Если я вижу это, я не буду использовать этот QR-код. Я не знаю, кто поставил этот знак», — сказал он . «Когда речь идет о QR-кодах», — добавил он, — «вам нужно знать и доверять их источнику».