Siber Suçlar, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
Barracuda, Saldırganların Tespit Edilmesi Zor QR Kodları Oluşturmak İçin ASCII Karakterleri Kullandığı Uyardı
Mathew J. Schwartz (euroinfosec) •
9 Ekim 2024
Dolandırıcılar, hain faaliyetleri tespit etmek ve engellemek için tasarlanan savunmaları daha iyi atlatmak amacıyla QR kodları oluşturma yaklaşımlarını değiştiriyor.
Ayrıca bakınız: Forrester Raporu: Dell PowerProtect Siber Kurtarmanın Toplam Ekonomik Etkisi™
Siber güvenlik firması Barracuda Networks, kullanıcıları kötü amaçlı sitelere yönlendirme girişimlerini engellemek üzere tasarlanmış optik karakter tanıma sistemlerinden kaçmak için oluşturulmuş kötü amaçlı QR kodlarıyla gelen kimlik avı e-postalarında bir artış gözlemlediğini bildirdi.
Saldırganlar bunu bir QR kodunun görüntüsünü eklemek yerine ASCII veya Unicode “tam blok” karakterlerini – █ – siyah ve şeffaf blokları görüntülemelerine izin vermeyen Basamaklı Stil Sayfaları ile birlikte kullanarak yapıyorlar. Bu kombinasyon, beklenen 49 x 49 piksel matrisi kullanılarak oluşturulan, çalışan bir QR kodu oluşturmalarına ve görüntülemelerine olanak tanıyor.
Barracuda, mesajların içeriğini dolandırıcılık belirtileri açısından inceleyen güvenlik araçları için, ASCII/Unicode tam blok karakterlerinin genellikle anlamsız metinler gibi görüneceğini, dolayısıyla muhtemelen alarmları tetikleyemeyeceklerini söyledi. Firma “güvenlik teknolojileri, bir kimlik avı saldırısında ASCII QR kodunun potansiyel kullanımını işaretlerse, en kolay seçeneğin kimlik avı e-postasının ekran görüntüsünü alıp QR kodunun arkasındaki URL’yi okumak için OCR motoruna iletmektir.”
Kimlik avı saldırılarının yaygın olmaya devam etmesinin temelinde suç inovasyonu yatmaktadır. FBI tarafından yönetilen ve internet bağlantılı suçlara ilişkin raporları toplayan İnternet Şikayet Merkezi’nin en son raporunda, 2023’te en çok bildirilen suç türünün, istenmeyen e-postalar, kısa mesajlar ve telefon görüşmeleri yoluyla kimlik avı ve kimlik sahtekarlığı içerdiği belirtiliyor.
Barracuda, 2023’ün dördüncü çeyreğinde kötü amaçlı QR kodlarını e-postayla gönderdi ve yaklaşık 20 posta kutusundan biri hedef alındı. “Bu saldırılar genellikle statik, görüntü tabanlı QR kodlarını içeriyordu” dedi. “Saldırganlar QR koduna kötü amaçlı bağlantılar yerleştirdi ve kullanıcıları kodu taramaya teşvik etti, bu da onları güvenilir bir hizmet veya uygulama gibi görünen sahte bir sayfaya yönlendirdi.”
Buna yanıt olarak, birçok kimlik avı karşıtı araç üreticisi, QR kodlarını yorumlama ve yönlendirildikleri URL’yi tanımlama yeteneği de dahil olmak üzere, gelen e-postalara OCR taramasını ekledi; bu noktada araçlar, hedef sitenin kötü amaçlı olup olmadığını değerlendirebilir ve eğer öyleyse onu engelleyebilir.
Bu araçları aşmaya yönelik bir diğer yenilik, kullanıcıları kötü amaçlı sitelere yönlendirmek için Blob URI’nin (diğer adıyla Blob URL’si veya Nesne URL’si) kullanılmasıdır.
Blob, tarayıcıda oluşturulan ve yalnızca bellekte bulunan, metin veya ikili veri olarak okunabilen ve genellikle dinamik bir URL oluşturmak için kullanılan bir ham veri parçasıdır.
Barracuda, dolandırıcıların, Air Canada, CapitalOne ve Chase gibi büyük markaların kimliğine bürünen ve e-posta alıcılarını hesaplarını incelemek için bir bağlantıya tıklamaya teşvik eden kimlik avı kampanyalarında Blob URI’lerini kullandıklarını söyledi. Gerçekte, bağlantı “onları bir Blob URI’si oluşturan ve tarayıcıyı hızlı bir şekilde yeni oluşturulan bağlantı adresine yönlendiren bir ara kimlik avı sayfasına yönlendiriyor” dedi.
“Blob URI’ler harici URL’lerden veri yüklemediğinden, geleneksel URL filtreleme ve tarama araçları başlangıçta içeriği kötü amaçlı olarak tanımayabilir” dedi.
Kimlik avı kampanyaları için kullanılan en son QR kodu hilelerine rağmen, düşük teknolojili istismarlar da yaygın olmaya devam ediyor. Fiziksel alanda dolandırıcılar, meşru QR kodlarını, kullanıcıların görsel olarak ayırt etmesi imkansız olan kötü amaçlı kodlarla örtmeye devam ediyor.
Diğer bir yaygın şema, hiçbirinin bulunmayacağı QR kodlarını eklemektir.
Kaliforniya’nın San Francisco Belediye Ulaşım Ajansı Perşembe günü “Fisherman’s Wharf’taki bir makine üzerinde QR kod çıkartmalarının” bildirildiğini ve ardından beş parkmetreye iliştirilmiş “sahtekarlık” çıkartmaları bulduğunu bildirdi. Meşru bir telefonla ödeme hizmetine ait olduğu iddia edilen çıkartmalar, bireyleri, belediyenin “devre dışı bırakıldığını” söylediği kötü amaçlı bir URL’ye yönlendirdi.
Şehrin parkmetreleriyle ödeme yapma kılavuzuna göre hiçbirinde resmi veya onaylanmış türde bir QR kodu bulunmayacak.