Microsoft kimlik bilgilerini elde etmek amacıyla çeşitli sektörleri hedefleyen QR kodlarını kullanan bir kimlik avı kampanyası tespit edildi.
“En dikkate değer hedef, ABD merkezli büyük bir Energy şirketi, kötü amaçlı QR kodları içeren 1000’den fazla e-postanın yaklaşık %29’unu gördü. Cofense’de siber tehdit istihbaratı analisti Nathaniel Raymond, kampanya trafiğinin sırasıyla %15, %9, %7 ve %6’sını alan Üretim, Sigorta, Teknoloji ve Finansal Hizmetlerin hedeflendiği diğer ilk 4 sektör olduğunu söyledi.
QR kodları ile kimlik avı
Saldırı, kurbanların bir PNG veya PDF eki içeren bir kimlik avı e-postası almasıyla başlar ve onlardan Microsoft hesap güvenlik ayarlarını güncellemelerini veya bir QR kodu tarayarak hesaplarına 2 faktörlü kimlik doğrulama eklemelerini ister.
Aciliyet duygusu eklemek için kurbanlardan görevi 2-3 gün içinde tamamlamaları istenir.
QR kod resim örnekleri. (Kaynak: Cofense)
Gömülü QR kodlarının çoğu, Bing yönlendirme URL’lerine yol açar.
Raymond, “Güvenilir etki alanlarını kötüye kullanmak, şaşırtma taktikleri kullanmak ve URL’leri bir PNG veya PDF ekine katıştırılmış QR kodlarının içine gizlemekle birleştiğinde, e-postaların güvenliği atlayıp gelen kutularına girmesini sağlamaya yardımcı olur” dedi.
“Kampanyanın tamamı birçok alandan oluşmasına rağmen, QR Kodlarında kullanılan genel kampanya kimlik avı bağlantılarının %26’sını oluşturan Bing yönlendirme URL’leri kampanyanın en büyük bölümünü paylaştı ve ardından %15’ini Salesforce uygulama URL’si aldı.”
Saldırılarda QR kodları kullanmanın artıları ve eksileri
Ekim 2022’den bu yana günlük olayları gösteren analizlerle QR kod tarama dolandırıcılığı kampanyalarında bir artış oldu.
QR kodlarını tehdit aktörleri için pratik kılan şey, kötü amaçlı bağlantıları gizleyebilmeleri veya görüntülerin içinde gizlenerek e-posta tarama çözümlerini atlayabilmeleridir. Yine de kurbanların mobil cihazlarında bir QR kod tarayıcı ile taramaları gerekiyor, bu da onlara URL’yi açmaya devam etmeden önce görme ve kontrol etme fırsatı veriyor.
“QR tarayıcılar ve görüntü tanıma gibi otomasyonlar ilk savunma hattı olabilse de, QR kodunun alınacağı her zaman garanti edilmiyor. Özellikle bir PNG veya PDF dosyasına gömülüyse,” dedi Raymond.
“Bu nedenle, çalışanların aldıkları e-postalardaki QR kodlarını taramamaları konusunda eğitilmesi de zorunludur. Bu, hesapların ve işletmelerin güvenliğinin güvende kalmasını sağlamaya yardımcı olacaktır.”