2023 年
2023-09-26
QR Code 釣魚攻擊來襲,企業用戶應提高警覺
產品經理 張峰銘
自今年 3 月以來,email165 郵件防詐騙智慧中心觀察到一波新型態的 QR Code(Quick Response Code)釣魚信攻擊,在信件內文說明在職員工退稅資訊,請收件人盡快完成申報作業,並附上一張圖片,如果使用者以手機掃描,就會跳轉到釣魚網站,進而被竊取機敏資料。這種利用二維碼誘騙人們存取惡意網站或下載病毒的釣魚攻擊,被稱為 Quishing,意思就是 QR 碼釣魚(QR Code phishing)。如圖 1 所示,其實早在 2022 年 1 月,美國聯邦調查局透過其網路犯罪通報中心(Internet Crime Complaint Center,IC3)發布的新聞稿指出,網路罪犯利用二維碼技術竊取受害者的資金[1]。自新冠疫情(COVID-19)爆發以來,越來越多的店家使用 QR 碼進行交易。因為顧客都帶著智慧型手機,一些餐廳只提供電子菜單並直接線上點菜,紙本菜單只是備用。另外,有些電子錢包會使用二維碼以達成非接觸式支付。隨著人們在日常生活中越來越習慣於使用電子支付,犯罪份子也把 QR 碼當成釣魚攻擊的工具。本文將深入剖析 QR Code 釣魚攻擊的流程與手法。
【圖 1. FBI 警告網路罪犯以二維碼竊取受害者資金】
QR Code 釣魚信攻擊流程
【圖 2. 二維碼釣魚信攻擊流程】
圖 2 是釣魚信的攻擊流程,網路罪犯會事先精心打造極為相似的網站,接著將帶有惡意 QR 碼的郵件寄給擁有特殊權限的用戶,在郵件內文引導使用者透過手機掃描二維碼登入偽造的釣魚網站,使用 QR 碼是一種強迫用戶從電腦轉移到行動裝置的方法,一般而言,行動裝置的釣魚防護能力可能較為薄弱。一旦攻擊者成功竊取收件人的帳密資訊,就等同於得到特殊帳號的存取權限,犯罪份子可在未來針對企業組織發動更進階的攻擊,在 2023 年 Verizon 發佈的數據外洩調查報告(Data Breach Investigations Report)[2]指出,將近 61% 的攻擊事件與帳密外洩有關。以下章節將介紹幾種常見的 QR Code 釣魚信樣本。
QR Code 釣魚信的類型
範例 1:來自 IT 部門的帳號安全性更新通知
【圖 3. 帳號安全性更新通知】
圖 3 是偽造的帳號安全性更新通知,顯示名稱為「 IT Support」,但寄件人的電子郵件明顯與公司域名不同,信件內文說明因應最新的組織政策,需改善帳號的安全性,引導使用者透過手機掃描二維碼,並依照指示進行操作。如圖 4 所示,如果收件人用手機掃描後,會連到偽造的 Microsoft 網站登入頁,觀察網址為「ipfs.dweb.link」的服務,與 Microsoft 官方的登入網址不同。我們進一步將網址提交到 VirusTotal 上查詢,發現有多家的防毒廠商判為釣魚/惡意網址,但手機上的瀏覽器卻沒有任何警示,這也證實了行動裝置上的釣魚防護能力相比電腦來說更為薄弱。
【圖 4. QR Code 的網址被多家防毒廠商判為惡意】
範例 2:來自人資部門的退稅申報通知
【圖 5. 來自人資部門的退稅申報通知 】
圖 5 是偽造的退稅申報通知,寄件人名稱偽造成「人事通知郵箱」,但寄件人電子郵件與公司域名不吻合,而在信件內文說明有關在職員工退稅資訊,請收件人盡快完成申報作業,並附上一張 QR 碼圖片,若使用者以手機掃描,就會跳轉到偽造的信用卡交易網站,頁面上的教學步驟會誘導收件人輸入銀行帳務相關資訊,一但輸入完整的資料,就可能會造成用戶財務上的損失。
範例 3:Office 檔案中藏有惡意的二維碼
【圖 6. 帶有惡意 QR Code 的 Word 檔】
圖 6 是一個帶有惡意 QR 碼的 Office 檔案,在原始郵件中,內文沒有任何資訊,僅夾帶一個 docx 檔,攻擊者將所有的資訊轉移到 Word 檔中,企圖以這種方式繞過郵件防護系統的檢查機制。而在 Office 檔中則以兌換禮物的名義,誘導收件人掃描 QR Code,若使用者掃描之後,就會跳轉到釣魚頁面,使用者的財務相關資訊可能就會被竊取。此外,資安研究人員還發現,有些釣魚信件會將所有的文字內容轉為圖片,以規避垃圾信過濾引擎對郵件內文進行規則比對,這也提升了攔截的複雜度。
使用者如何避免 QR Code 釣魚信詐騙?
為了避免遭受二維碼釣魚攻擊,首先要建立正確的資安觀念,資安研究人員列出以下幾個重點提供企業作為參考:
• 掃描 QR 碼後,先用預覽功能檢查 URL 是否正確,因為釣魚 URL 可能與正確的 URL 非常相似。
• 經由二維碼連到的網站,若要求輸入個人帳密或財務資訊時要格外注意。
• 請勿透過掃碼的方式下載 App 應用程式,若要下載 App,請從應用程式商店下載以確保安全。
• 收到帶有電子支付方式的郵件時,若有任何疑慮,請主動聯繫商家並核對資訊。
【圖 7. MailGates QR Code 釣魚信解決方案】
由於市面上大部分的郵件安全匣道(SEG,Secure Email Gateways)產品,不會主動掃描郵件中的圖片,所以二維碼類型的釣魚信,可輕易繞過傳統的郵件防護檢查機制。在新版(6.1.7)的 MailGates 中,研發團隊分析各種釣魚郵件樣本特徵,並進一步將 QR Code 分析引擎整合到 Anti-Spam 過濾機制中,可偵測帶有二維碼的釣魚信攻擊,無論是郵件內嵌圖片、Office 及 PDF 檔內嵌圖片,系統都可解析圖片中的資訊,並即時查詢 SophosLabs 全球威脅情資,比對 URL 是否為惡意釣魚網址,可有效阻攔 QR Code 釣魚攻擊。
【圖 8. QR Code 釣魚信防護流程】
升級郵件閘道防護機制,阻斷 QR Code 釣魚攻擊
由這波新型態的釣魚攻擊,可得知網路罪犯的攻擊手法已經越來越複雜,面向也從單純的 URL 轉換到 QR 碼圖片,企業除了要強化組織成員的資安意識之外,還得依靠新型的郵件防護機制,傳統的過濾機制已經無法阻擋這類的攻擊,建議企業用戶導入含有 QR Code 釣魚防護機制的郵件安全閘道,強化企業郵件系統安全。
參考資料:
1. https://www.ic3.gov/Media/Y2022/PSA220118
2. 2023 Verizon Data Breach Investigations Report