Спам и фишинг

QR-коды в почтовом фишинге

QR-коды можно встретить повсюду: на плакатах и листовках, на экране платежного терминала, на ценниках и товарах, на исторических зданиях и памятниках. С их помощью делятся информацией, продвигают различные онлайн-ресурсы, оплачивают покупки и проходят верификацию. При этом в электронной почте QR-коды используются не сказать чтобы часто. Как правило, пользователи читают сообщения с телефона, не имея под рукой другого устройства, чтобы отсканировать код, поэтому в письмах рассылаются преимущественно обычные гиперссылки. Тем не менее, злоумышленники все активнее пользуются QR-кодами в почте.

В отличие от обычных фишинговых ссылок, которые довольно легко проверить и заблокировать, QR-код представляет проблему для защитных решений. Чтобы проанализировать его и узнать, что в нем закодировано, нужна дорогая и ресурсоемкая технология компьютерного зрения. Кроме того, если обычную ссылку пользователь может оценить перед тем, как нажать на нее, то узнать, куда ведет QR-код, не отсканировав его, нельзя.

Что такое QR-код?

QR-код (Quick Response code) — двумерный штриховой код, который состоит из нескольких квадратов и множества точек (модулей), расположенных в квадратной сетке на белом фоне. QR-коды можно прочитать с помощью устройства обработки изображений, которое определяет расположение кода по квадратам, а затем считывает закодированную в точках информацию. Помимо собственно кода в квадратном поле может быть предусмотрено место под декоративные элементы, например логотип организации.

В QR-коды можно поместить больше информации, чем в одномерные штрихкоды. Они часто используются для кодирования ссылок на определенные ресурсы, например каталог магазина, страницу оплаты товара или страницу с информацией об объекте.

Как злоумышленники используют QR-коды в почте

Мошенники используют QR-коды для сокрытия ссылок на фишинговые и скам-страницы. Первые попытки использования этого приема в мошеннических рассылках мы обнаружили в конце 2021 года. Это были скам-письма, имитирующие сообщения от служб доставки, таких как FedEx и DHL. Злоумышленники требовали от жертвы оплатить таможенные сборы, для чего нужно было отсканировать QR-код. Ссылка в коде вела на поддельную страницу ввода данных банковской карты. Кампания не была массовой, и где-то к середине 2022 года ее активность сошла на нет. Новые рассылки писем с QR-кодами мы увидели весной 2023 года. На этот раз атака была нацелена на логины и пароли корпоративных пользователей продукции Microsoft.

Злоумышленники отправляли жертвам письма с поддельным уведомлением о том, что пароль от рабочего почтового аккаунта скоро станет недействительным. Чтобы сохранить доступ к учетной записи, пользователю рекомендовали отсканировать QR-код. Одни письма приходили с бесплатных почтовых адресов, другие — с недавно зарегистрированных доменов. В некоторых сообщениях атакующие для большей убедительности украсили QR-код логотипом Microsoft Security.

Фишинговое письмо с QR-кодом

Фишинговое письмо с QR-кодом

После того как пользователь получает фишинговое письмо и сканирует QR-код, он попадает на поддельную форму входа в аккаунт, стилизованную под страницу входа Microsoft. Если он введет свои логин и пароль на этой странице, злоумышленники получат доступ к его аккаунту.

Фишинговая форма

Фишинговая форма

Помимо сообщений о необходимости срочно сменить пароль или актуализировать свои персональные данные, мы обнаружили рассылку о недоставленных письмах, которая также содержала QR-коды, ведущие на поддельную страницу ввода учетных данных от аккаунта Microsoft.

В письме на скриншоте ниже мошенники обошлись без логотипа на QR-коде, но вставили в тело письма строку This email is from a trusted source («это письмо из доверенного источника»), чтобы усыпить бдительность пользователя.

Сообщение о недоставленной почте

Сообщение о недоставленной почте

Часть страниц, открывающихся при сканировании QR-кода, расположена на IPFS-ресурсах. О том, как и зачем злоумышленники используют эту распределенную файловую систему, мы писали некоторое время назад.

Использование IPFS в QR-фишинге

Использование IPFS в QR-фишинге

Статистика

С июня по август 2023 года мы обнаружили 8878 фишинговых писем, содержащих QR-коды. Пик активности злоумышленников пришелся на июнь: 5063 письма. К августу объем рассылок сократился до 762 писем.

Динамика числа фишинговых писем с QR-кодами, июнь–август 2023 г. (скачать)

Выводы

Использование QR-кодов помогает злоумышленникам сразу в нескольких аспектах. Во-первых, они позволяют избежать обнаружения и блокировки писем, поскольку проверить содержимое QR-кода не так просто, а фишинговых ссылок в письме нет. При этом блокировать письмо за содержание QR-кода нельзя: хоть это и непопулярный элемент в электронной почте, QR-коды могут использоваться и в легитимных письмах — например, в автоподписи отправителя. Во-вторых, поскольку в письме нет ссылки, нет и необходимости регистрировать дополнительные аккаунты и домены, чтобы перенаправлять пользователя и таким образом скрывать фишинг. Наконец, большинство пользователей сканируют QR-коды при помощи камеры телефона и предпочитают быстрее разобраться с проблемой, поэтому могут и не обратить внимания на адрес открывшейся страницы, который в мобильном браузере не бросается в глаза.

С другой стороны, легитимные отправители редко используют QR-коды в своих рассылках, поэтому сам факт наличия такого кода в письме может вызвать у получателя подозрения. Кроме того, QR-код нужно чем-то отсканировать, а у пользователя может не оказаться под рукой второго устройства для этой цели. На данный момент мы наблюдаем не очень много рассылок с QR-кодами. Вероятнее всего, доля получателей таких писем, отсканировавших код, невысокая. Тем не менее легкость использования этого механизма позволяет предположить, что количество подобных атак в ближайшее время увеличится, а сами кампании станут более изощренными и персонализированными.

QR-коды в почтовом фишинге

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Эдуард

    Здравствуйте.
    Как было написано, то на сегодня не так много было выделено случаев с подставными QR-кодами. Плюс, не каждый захочет искать второе устройство (или оно вообще отсутствует), чтобы прочитать QR-код. И вот, что мне пришло в голову. Так как, это новшество, и оно не требует больших затрат на использование, то возможно те, кто этим занимается, «инвестировали» как на очень «упёртых» пользователей (читающих всё от корки до корки) или ждут ответных решений от компаний «оппонентах». Чтобы позже, отработать до «совершенства», этот механизм.
    До встречи.

    P.S. Каждая работа, с чего-то начинается.

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике