BIGFISH ENTERPRISE LIMITED
24 September 2024

การโจมตีฟิชชิ่งด้วย QR code สามารถหลบเลี่ยงระบบสแกนอีเมลความปลอดภัยและใช้ SharePoint เป็นเครื่องมือ

การโจมตีด้วย QR code ฟิชชิ่ง หรือที่เรียกว่า Quishing กำลังเติบโตอย่างรวดเร็ว เนื่องจากผู้ไม่ประสงค์ดีเปลี่ยนกลยุทธ์เพื่อหลบเลี่ยงการสแกนอีเมลเพื่อความปลอดภัย ผู้ไม่ประสงค์ดีได้เพิ่มระดับการหลบเลี่ยงในการพยายามฟิชชิ่งโดยการผสานรวม QR code ทำให้การแก้ปัญหาความปลอดภัยทั่วไปตรวจจับได้ยากขึ้น

โดยเวอร์ชันล่าสุดที่เรียกว่า "Quishing 2.0" ใช้วิธีการหลบเลี่ยงที่ซับซ้อนกว่าที่เคยมีมา

แคมเปญ Quishing ล่าสุดที่ค้นพบโดยทีมวิจัยความปลอดภัยของ Perception Point แสดงถึงความซับซ้อนของการโจมตีเหล่านี้ ผู้ไม่ประสงค์ดีใช้ประโยชน์จากระบบที่ได้รับความเชื่อถือสูง เช่น SharePoint และบริการสแกน QR ออนไลน์ โดยผสานรวมวิธีเหล่านี้เพื่อหลบเลี่ยงเกือบทุกโซลูชันความปลอดภัยทางอีเมลที่มีในปัจจุบัน

การสาธิตการโจมตี Quishing 2.0:

  1. Email Message: เป้าหมายได้รับอีเมลที่ดูเหมือนมาจากธุรกิจที่ถูกต้องตามกฎหมาย โดยอาจใช้โดเมนปลอมและการแอบอ้างเป็นคู่ค้าธุรกิจที่เชื่อถือได้ หัวเรื่องและไฟล์ PDF ที่แนบมาระบุว่าเป็นใบสั่งซื้อ (PO)

  2. PDF Attachment: ภายในเอกสาร PDF เป้าหมายจะเห็น QR code ขนาดใหญ่พร้อมคำแนะนำให้สแกนเพื่อดูใบสั่งซื้อทั้งหมด PDF ยังรวมถึงที่อยู่ของธุรกิจที่แอบอ้าง ทำให้ดูน่าเชื่อถือมากขึ้น

  3. QR Scanning Service (Me-QR): เมื่อเป้าหมายสแกนโค้ด QR พวกเขาจะถูกเปลี่ยนเส้นทางไปยัง me-qr.com ซึ่งเป็นบริการสร้างและสแกนโค้ด QR ที่ถูกต้องตามกฎหมาย หน้านี้ระบุว่าสแกนโค้ด QR สำเร็จแล้ว โดยมีปุ่มที่มีป้ายกำกับว่า "ข้ามโฆษณา" ขั้นตอนนี้จะเพิ่มความน่าเชื่อถืออีกชั้นหนึ่ง เนื่องจากใช้บริการที่เชื่อถือได้

  4. SharePoint Folder: การคลิกปุ่ม "ข้ามโฆษณา" จะนำผู้รับไปยังหน้า SharePoint จริง ซึ่งดูเหมือนว่าจะเชื่อมโยงกับธุรกิจที่มีการแอบอ้าง นี่คือจุดที่การโจมตีใช้ประโยชน์จากบริการที่เชื่อถือได้อย่างเต็มที่เพื่อปกปิดเจตนาที่เป็นอันตราย

  5. .url File and M365 Phishing Page: หากผู้รับคลิกที่ไฟล์ใน SharePoint พวกเขาจะถูกเปลี่ยนเส้นทางไปยังเพย์โหลดสุดท้าย: หน้า OneDrive ปลอม แบบฟอร์มเข้าสู่ระบบ Microsoft 365 ซึ่งออกแบบมาเพื่อขโมยข้อมูลประจำตัวของเหยื่อ จะปรากฏเหนือสิ่งที่ดูเหมือนเป็นไฟล์ใบแจ้งหนี้ที่สแกนจาก PO ในเบื้องหลัง

เทคนิคการหลบหลีก

Quishing 2.0 เกี่ยวข้องกับรหัส QR สองรหัส รหัส QR แรกหรือ "ไม่ดี" นำไปสู่หน้า SharePoint ที่ถูกต้องซึ่งเชื่อมโยงกับบัญชีธุรกิจที่ถูกบุกรุกหรือปลอมแปลง ซึ่งจะนำไปสู่หน้าฟิชชิ่งที่เป็นอันตราย

ผู้โจมตีอัปโหลดโค้ด QR นี้ไปยังบริการสแกน QR ออนไลน์ เช่น me-qr.com ซึ่งจะแยก URL และนำเสนอหลังจากโฆษณา ผู้คุกคามสร้างโค้ด QR “สะอาด” ที่สองจากหน้าผลลัพธ์/โฆษณานี้

รหัส QR “สะอาด” นี้เป็นรหัสที่เป้าหมายจะเห็นและโต้ตอบกับไฟล์แนบ PDF ในท้ายที่สุด ซึ่งปรากฏว่าถูกต้องตามกฎหมายโดยสมบูรณ์และข้ามการสแกนความปลอดภัยของอีเมลครั้งแรก

การรักษาความปลอดภัยอีเมลขั้นสูงของ Perception Point ใช้การวิเคราะห์ URL แบบไดนามิกและการมองเห็นของคอมพิวเตอร์เพื่อแยกย่อยเลเยอร์ของ Quishing 2.0 และระบุเนื้อหาที่เป็นอันตรายจริง

โมเดลการตรวจจับวัตถุขั้นสูงวิเคราะห์เนื้อหาของหน้าเว็บตามที่ผู้ใช้เห็น โดยตรวจจับองค์ประกอบที่คลิกได้ เช่น ปุ่มหรือแบบฟอร์มเข้าสู่ระบบ

เมื่อจับคู่กับ Recursive Unpacker แล้ว Perception Point จะคลิกผ่านองค์ประกอบเหล่านี้โดยอัตโนมัติเพื่อติดตามเส้นทางการโจมตีทั้งหมด โดยเผยให้เห็นเพย์โหลดที่เป็นอันตรายที่ซ่อนอยู่ใต้ชั้นของบริการและรหัส QR ที่ดูเหมือนถูกต้องตามกฎหมาย

สแต็กการตรวจจับแบบหลายชั้นนี้ให้การป้องกันแบบเรียลไทม์ที่แข็งแกร่งต่อการโจมตีทุกประเภท โดยเน้นถึงความต้องการโซลูชันความปลอดภัยขั้นสูงเพื่อต่อสู้กับภัยคุกคามที่พัฒนาตลอดเวลา

 

แหล่งที่มา: Cyber Security News