Kötü amaçlı e-postaları gelen kutularına kaydırmak ve güvenliği atlamak için QR kodlarını kullanan, ağırlıklı olarak ABD’deki önemli bir enerji şirketini hedef alan bir kimlik avı kampanyası gözlemlendi.
Bu kampanyaya atfedilen 1.000 e-postanın yaklaşık üçte biri (%29) büyük bir ABD enerji şirketini hedef alırken, geri kalan girişimler imalat (%15), sigortacılık (%9), teknoloji (%7), ve finansal hizmetler (%6).
Bu kampanyayı fark eden Cofense’ye göre, QR kodlarının bu ölçekte ilk kez kullanılması, daha fazla kimlik avı aktörünün bir saldırı vektörü olarak etkinliklerini test ediyor olabileceğini gösteriyor.
Kimlik avında QR kodları
Cofense, saldırının, alıcının Microsoft 365 hesap ayarlarını güncellemek için harekete geçmesi gerektiğini iddia eden bir kimlik avı e-postasıyla başladığını söylüyor.
E-postalar, alıcının hesabını doğrulamak için taraması istenen bir QR kodu içeren PNG veya PDF ekleri taşır. E-postalar ayrıca, aciliyet duygusu eklemek için hedefin bu adımı 2-3 gün içinde tamamlaması gerektiğini belirtir.
Tehdit aktörleri, bir iletiyi bilinen kötü amaçlı bağlantılar için tarayan e-posta güvenlik araçlarını atlamak için görüntülere gömülü QR kodlarını kullanır ve kimlik avı iletilerinin hedefin gelen kutusuna ulaşmasına olanak tanır.
Güvenlikten kaçınmak için bu kampanyadaki QR kodları, hedefleri bir Microsoft 365 kimlik avı sayfasına yönlendirmek için Bing, Salesforce ve Cloudflare’nin Web3 hizmetlerindeki yönlendirmeleri de kullanır.
Yeniden yönlendirme URL’sini QR kodunda gizlemek, yasal hizmetleri kötüye kullanmak ve kimlik avı bağlantısı için base64 kodlaması kullanmak, bunların tümü, algılamadan kurtulmaya ve e-posta koruma filtrelerinden geçmeye yardımcı olur.
Kimlik avında QR kodları
QR kodları, geçmişte Fransa’da ve Almanya’da olmak üzere daha küçük ölçekte de olsa kimlik avı kampanyalarında kullanıldı.
Dolandırıcılar, insanları onları taramaları için kandırmak ve onları paralarını çalmaya çalışan kötü niyetli web sitelerine yönlendirmek için QR kodlarını da kullandı.
Ocak 2022’de FBI, siber suçluların kimlik bilgilerini ve finansal bilgileri çalmak için QR kodlarını giderek daha fazla kullandığı konusunda uyardı.
Korumaları atlatmadaki etkililiklerine rağmen, QR kodları kurbanın güvenliğinin aşılması için harekete geçmesini gerektirir, bu da iyi eğitimli personel lehine işleyen belirleyici bir hafifletici faktördür.
Ayrıca, modern akıllı telefonlardaki çoğu QR kodu tarayıcı, koruyucu bir adım olarak tarayıcıyı başlatmadan önce kullanıcıdan hedef URL’yi doğrulamasını isteyecektir.
Eğitimin yanı sıra Cofense, kuruluşların kimlik avına karşı koruma önlemlerinin bir parçası olarak görüntü tanıma araçlarını kullanmalarını öneriyor, ancak bunların tüm QR kodu tehditlerini yakalayacağı garanti edilmiyor.