QR-коды в почтовом фишинге

QR-коды можно встретить повсюду: на плакатах и листовках, на экране платежного терминала, на ценниках и товарах, на исторических зданиях и памятниках. С их помощью делятся информацией, продвигают различные онлайн-ресурсы, оплачивают покупки и проходят верификацию. При этом в электронной почте QR-коды используются не сказать чтобы часто. Как правило, пользователи читают сообщения с телефона, не имея под рукой другого устройства, чтобы отсканировать код, поэтому в письмах рассылаются преимущественно обычные гиперссылки. Тем не менее, злоумышленники все активнее пользуются QR-кодами в почте.

В отличие от обычных фишинговых ссылок, которые довольно легко проверить и заблокировать, QR-код представляет проблему для защитных решений. Чтобы проанализировать его и узнать, что в нем закодировано, нужна дорогая и ресурсоемкая технология компьютерного зрения. Кроме того, если обычную ссылку пользователь может оценить перед тем, как нажать на нее, то узнать, куда ведет QR-код, не отсканировав его, нельзя.

Что такое QR-код?

QR-код (Quick Response code) — двумерный штриховой код, который состоит из нескольких квадратов и множества точек (модулей), расположенных в квадратной сетке на белом фоне. QR-коды можно прочитать с помощью устройства обработки изображений, которое определяет расположение кода по квадратам, а затем считывает закодированную в точках информацию. Помимо собственно кода в квадратном поле может быть предусмотрено место под декоративные элементы, например логотип организации.

В QR-коды можно поместить больше информации, чем в одномерные штрихкоды. Они часто используются для кодирования ссылок на определенные ресурсы, например каталог магазина, страницу оплаты товара или страницу с информацией об объекте.

Как злоумышленники используют QR-коды в почте

Мошенники используют QR-коды для сокрытия ссылок на фишинговые и скам-страницы. Первые попытки использования этого приема в мошеннических рассылках мы обнаружили в конце 2021 года. Это были скам-письма, имитирующие сообщения от служб доставки, таких как FedEx и DHL. Злоумышленники требовали от жертвы оплатить таможенные сборы, для чего нужно было отсканировать QR-код. Ссылка в коде вела на поддельную страницу ввода данных банковской карты. Кампания не была массовой, и где-то к середине 2022 года ее активность сошла на нет. Новые рассылки писем с QR-кодами мы увидели весной 2023 года. На этот раз атака была нацелена на логины и пароли корпоративных пользователей продукции Microsoft.

Злоумышленники отправляли жертвам письма с поддельным уведомлением о том, что пароль от рабочего почтового аккаунта скоро станет недействительным. Чтобы сохранить доступ к учетной записи, пользователю рекомендовали отсканировать QR-код. Одни письма приходили с бесплатных почтовых адресов, другие — с недавно зарегистрированных доменов. В некоторых сообщениях атакующие для большей убедительности украсили QR-код логотипом Microsoft Security.

Фишинговое письмо с QR-кодом

После того как пользователь получает фишинговое письмо и сканирует QR-код, он попадает на поддельную форму входа в аккаунт, стилизованную под страницу входа Microsoft. Если он введет свои логин и пароль на этой странице, злоумышленники получат доступ к его аккаунту.

Фишинговая форма

Помимо сообщений о необходимости срочно сменить пароль или актуализировать свои персональные данные, мы обнаружили рассылку о недоставленных письмах, которая также содержала QR-коды, ведущие на поддельную страницу ввода учетных данных от аккаунта Microsoft.

В письме на скриншоте ниже мошенники обошлись без логотипа на QR-коде, но вставили в тело письма строку This email is from a trusted source («это письмо из доверенного источника»), чтобы усыпить бдительность пользователя.

Сообщение о недоставленной почте

Часть страниц, открывающихся при сканировании QR-кода, расположена на IPFS-ресурсах. О том, как и зачем злоумышленники используют эту распределенную файловую систему, мы писали некоторое время назад.

Использование IPFS в QR-фишинге

Статистика

С июня по август 2023 года мы обнаружили 8878 фишинговых писем, содержащих QR-коды. Пик активности злоумышленников пришелся на июнь: 5063 письма. К августу объем рассылок сократился до 762 писем.

Динамика числа фишинговых писем с QR-кодами, июнь–август 2023 г. (скачать)

Выводы

Использование QR-кодов помогает злоумышленникам сразу в нескольких аспектах. Во-первых, они позволяют избежать обнаружения и блокировки писем, поскольку проверить содержимое QR-кода не так просто, а фишинговых ссылок в письме нет. При этом блокировать письмо за содержание QR-кода нельзя: хоть это и непопулярный элемент в электронной почте, QR-коды могут использоваться и в легитимных письмах — например, в автоподписи отправителя. Во-вторых, поскольку в письме нет ссылки, нет и необходимости регистрировать дополнительные аккаунты и домены, чтобы перенаправлять пользователя и таким образом скрывать фишинг. Наконец, большинство пользователей сканируют QR-коды при помощи камеры телефона и предпочитают быстрее разобраться с проблемой, поэтому могут и не обратить внимания на адрес открывшейся страницы, который в мобильном браузере не бросается в глаза.

С другой стороны, легитимные отправители редко используют QR-коды в своих рассылках, поэтому сам факт наличия такого кода в письме может вызвать у получателя подозрения. Кроме того, QR-код нужно чем-то отсканировать, а у пользователя может не оказаться под рукой второго устройства для этой цели. На данный момент мы наблюдаем не очень много рассылок с QR-кодами. Вероятнее всего, доля получателей таких писем, отсканировавших код, невысокая. Тем не менее легкость использования этого механизма позволяет предположить, что количество подобных атак в ближайшее время увеличится, а сами кампании станут более изощренными и персонализированными.