主に米国の著名なエネルギー会社をターゲットとしたフィッシング キャンペーンが観察され、QR コードを使用して悪意のある電子メールを受信トレイに送り込み、セキュリティを回避しました。
このキャンペーンに関与したとされる 1,000 件の電子メールのうち、およそ 3 分の 1 (29%) は米国の大手エネルギー会社を標的としたもので、残りの試みは製造業 (15%)、保険業 (9%)、テクノロジー企業 (7%)、および金融サービス (6%)。
このキャンペーンを発見した Cofense 氏によると、QR コードがこの規模で使用されるのはこれが初めてであり、より多くのフィッシング攻撃者が攻撃ベクトルとしての有効性をテストしている可能性があることを示しています。
コフェンスはこのキャンペーンの対象となったエネルギー会社の名前は明らかにしなかったが、同社を米国に本拠を置く「大手」企業として分類した。
フィッシングにおける QR コード
Cofense 氏によると、この攻撃は、受信者が Microsoft 365 アカウントの設定を更新する必要があると主張するフィッシングメールから始まりました。
電子メールには、受信者がアカウントを確認するためにスキャンするよう求められる QR コードを含む PNG または PDF 添付ファイルが添付されています。電子メールには、ターゲットがこのステップを 2 ~ 3 日以内に完了する必要があることも記載されており、緊急性を高めています。
攻撃者は、画像に埋め込まれた QR コードを使用して、メッセージをスキャンして既知の悪意のあるリンクを見つける電子メール セキュリティ ツールをバイパスし、フィッシング メッセージがターゲットの受信トレイに到達できるようにします。
セキュリティを回避するために、このキャンペーンの QR コードは、Bing、Salesforce、Cloudflare の Web3 サービスのリダイレクトも使用して、ターゲットを Microsoft 365 フィッシング ページにリダイレクトします。
QR コード内のリダイレクト URL の非表示、正規サービスの悪用、フィッシング リンクの Base64 エンコードの使用はすべて、検出を回避し、電子メール保護フィルターを通過するのに役立ちます。
フィッシングにおける QR コード
QR コードは、小規模ではあるものの、 フランスやドイツなど、過去にもフィッシング キャンペーンに使用されてきました。
詐欺師はまた、QR コードを利用して人々をだましてスキャンさせ、お金を盗もうとする悪意のある Web サイトにリダイレクトします。
2022 年 1 月、 FBI は、サイバー犯罪者が資格情報や金融情報を盗むために QR コードを使用するケースが増えていると警告しました。
QR コードは保護を回避する効果があるにもかかわらず、依然として被害者が侵害を受けるために行動を起こす必要があり、これは十分な訓練を受けた担当者に有利に働く決定的な緩和要因となります。
また、最新のスマートフォンのほとんどの QR コード スキャナは、保護手順として、ブラウザを起動する前に宛先 URL を確認するようユーザーに要求します。
Cofense 氏は、トレーニングとは別に、組織がフィッシング対策の一環として画像認識ツールを使用することも提案していますが、これらのツールがすべての QR コードの脅威を検出できるとは限りません。
Comments