Saldırganlar, Microsoft kimlik bilgilerini çalmayı amaçlayan kötü amaçlı QR kodlarıyla donanmış toplamda 1.000’den fazla e-posta gönderen bir kimlik avı kampanyasıyla büyük bir ABD enerji şirketini hedef aldı.
Cofense tarafından Mayıs ayında keşfedilen kampanya, hem PNG görüntü eklerini hem de Microsoft Bing ve tanınmış iş uygulamalarıyla (Salesforce ve CloudFlare’in Web3 hizmetleri dahil) ilişkili yönlendirme bağlantılarını gömülü QR kodlarıyla birlikte kullandı.
Mesajlar, bir aciliyet duygusu uyandırmayı, Microsoft güvenlik uyarılarını yanıltmayı ve alıcıların hesaplarının iki faktörlü kimlik doğrulama (2FA) ve çok faktörlü kimlik doğrulama (MFA) ile ilişkili güvenlik ayarlarını güncellemeleri gerektiğini iddia etmeyi amaçlayan tuzaklar kullandı. Mesajlarda yer alan resimler ve bağlantılar, sonunda kurbanları bir Microsoft kimlik bilgileri kimlik avı sayfasına gönderdi.
Kampanya birden çok sektörü etkilerken, en büyük ABD enerji şirketi kimlik avı e-postalarından aslan payını aldı ve oradaki çalışanlar, kötü amaçlı QR kodları içeren 1.000’den fazla e-postanın %29’undan fazlasını aldı. Hedeflenen diğer ilk dört sektör arasında kimlik avı mesajlarının %15’ini alan imalat; sigorta (%9), teknoloji (%7) ve finansal hizmetler (%6). Cofense, enerji şirketinin adını açıklamadı.
Üstelik devam eden kampanya hızla yayılıyor. Cofense’ye göre, kampanyanın hacmi Mayıs ayından bu yana %2.400’den fazla arttı ve aylık ortalama büyüme yüzdesi %270’in üzerinde.
Cofense’de siber tehdit istihbaratı analisti ve raporun yazarı olan Nathaniel Raymond, “Kampanya, Haziran ortasında/sonunda etkinlik için bir test aşaması olabilecek bir süreci temsil ediyor” diye açıklıyor. “Ardından, Cofense, kısa bir süre için kimlik bilgisi kimlik avı için kullanılan QR kodlarında önemli bir artış gözlemledi.”
Ancak Temmuz ortasına kadar, araştırmacılar QR kod kullanımında Ağustos’a kadar uzanan istikrarlı bir artış eğilimi gözlemlediler, diye ekliyor.
Nadir ama Başarılı
Saldırganlar genellikle oltalama e-postalarında QR kodlarını kullanmazlar, çünkü bir tuzağa düşmek için bir kurbanla etkileşime geçmek açısından fazladan bir adıma ihtiyaç duyarlar ve bu nedenle başarı şansını engelleyebilirler.
Raymond, “QR kodlarını, özellikle daha büyük kimlik avı kampanyalarında, kimlik bilgileri kimlik avını mobil cihaz gibi tarama özelliklerine sahip bir cihaz aracılığıyla iletmekle sınırlı olduğundan, görmek nadirdir” diyor.
Yine de, yalnızca bir kimlik avı bağlantısı veya doğrudan bir e-postaya gömülü kötü amaçlı dosya göndermeye göre birçok avantajı olduğunu söylüyor. Bunun nedeni, QR kod teslim yöntemlerinin bir gelen kutusuna ulaşma şansının çok daha yüksek olmasıdır.
Raymond, “Bu kampanya, içine QR kodu katıştırılmış bir PDF veya resim dosyası ekinden yararlanıyor” diyor. “Bu, e-postaların Güvenli E-posta Ağ Geçitlerini (SEG’ler) atlamasını kolaylaştırıyor. SEG’ler genellikle QR kodlarını tarayamadıkları, ancak bağlantıları tarayabildikleri için, QR kodlarının normal kimlik bilgisi kimlik avı kampanyalarına göre anında bir avantajı var.”
Araştırmacılar, kampanyanın kimlik avı e-postalarının büyük bir kısmının, Microsoft kimlik bilgisi kimlik avı bağlantıları veya katıştırılmış bir QR kodu aracılığıyla kimlik avı yönlendirmeleri sağlayan PNG resim ekleri içerdiğini ve bunların çoğunun Bing yönlendirme URL’leri olduğunu buldu. Bing, Microsoft’un sahip olduğu meşru bir etki alanı olsa da – ve bu URL’ler başlangıçta pazarlama amaçlıydı – kötü amaçlar için de kullanılabilirler.
O QR Kodunu Tarama
Gelişmiş kimlik avı tekniklerini geliştikçe fark etmeleri için çalışanları eğitmek, hedeflenenlerin dolandırılmalarını önlemeye yardımcı olabilir.
Raymond, “QR kodları ve bunların günlük e-posta işlemlerinde ne kadar nadir oldukları söz konusu olduğunda, eğitimli bir çalışan hemen şüphelenir,” diyor. “Bu nedenle, düzenli çalışan eğitimlerinin uygulanması zorunludur.”
Aslında, QR kodlarını kullanan bir kimlik avı kampanyası tarafından ele geçirilmekten kaçınmanın en kolay yolu, bir kişinin kurumsal hesabında görünen e-postalarda bulunan, yabancı kullanıcılardan gelen bilinmeyen kodları taramamaktır.
Raymond, “Genel tavsiye açısından, bu, ‘güvenmediğiniz bağlantıları tıklamayın’ ifadesinin bir uzantısıdır” diyor. “Güvenmediğiniz sürece, özellikle taranan QR kodlarından gelen bağlantıları takip etmeyin.”