本文來自微信公眾號“GoUpSec”。
今天,二維碼廣泛應用于零售、機場、酒吧、酒店、景點等日常場景,用于支付、認證和URL分享,但鮮為人知的是,貌似人畜無害的二維碼正在成為黑客劫持手機和竊取數字身份的“物理木馬”。
2023年,基于二維碼的新型網絡釣魚活動開始流行。2024年,以二維碼為攻擊媒介的網絡釣魚活動(Quishing)正加速增長,主要原因是人們對二維碼的固有信任仍未打破,人們習慣毫無戒備,不假思索地掃描二維碼。網絡犯罪分子利用用戶對二維碼的這種信任在二維碼中“投毒”(嵌入惡意鏈接指向釣魚網站或者惡意軟件)。
二維碼成為黑客熱門目標
二維碼在東亞多國早已普及,但直到新冠疫情刺激,二維碼應用才開始在全球爆發(fā)式增長。目前,全球主流社交媒體平臺紛紛為用戶提供分享個人資料的二維碼功能,以此帶來更多流量和廣告收入。
根據Ivanti的調查,2022年至今二維碼的使用量增長了43.2%,2023年有約3.314億個二維碼被兌換。Abnormal的調查顯示,2023年超過四分之三(83%)的美國消費者在手機上使用二維碼支付賬單,并且80%的美國二維碼用戶認為二維碼是安全的。64%的受訪者認為使用二維碼進行日常非接觸式交易來更方便(對于歐美用戶來說,對二維碼態(tài)度的轉變主要受到疫情影響)。
二維碼的便利性和普及性使得它們看起來無害,這導致用戶對惡意二維碼普遍缺乏基本的防范意識。Ivanti的調查發(fā)現,71%的用戶無法區(qū)分合法或惡意的二維碼,17%的用戶被重定向到可疑網站。
用戶的信任和薄弱的安全意識使得二維碼成為黑客的熱門目標,黑客在暗網和Telegram頻道中大量發(fā)布二維碼攻擊教學視頻。在暗網提供勒索軟件即服務(RaaS)的犯罪團伙也開始熱衷于將二維碼嵌入到電子郵件和釣魚網站中來提高受害者的點擊率。
17%的高級攻擊使用二維碼作為攻擊媒介
Abnormal Security的研究發(fā)現,在針對客戶環(huán)境的所有高級攻擊中,有17%的攻擊都以二維碼為主要攻擊媒介,這些攻擊旨在進行憑證網絡釣魚、勒索和發(fā)票支付欺詐攻擊。過去一年,隨著攻擊者不斷優(yōu)化攻擊手段并擴大攻擊規(guī)模,基于二維碼的攻擊暴增了400%。
一個令人不安的趨勢是:越來越多的攻擊者開始在釣魚郵件中植入惡意二維碼,鏈接到貌似合法的網站(例如知名企業(yè)的官網),然后提示用戶輸入登錄名、密碼和特權訪問憑據信息。
Abnormal的報告顯示,冒充受信任實體(包括銀行、快遞服務和政府機構)的網絡釣魚電子郵件數量大幅增加。攻擊者積極利用社會工程技術引誘受害者掃描惡意二維碼,將其重定向到惡意網站,竊取用戶賬號或用惡意軟件感染用戶設備。隨著基于身份攻擊的主流化,越來越多的攻擊者熱衷于竊取盡可能多的企業(yè)員工身份和特權訪問憑證,以訪問銀行、金融機構和機密企業(yè)網絡。
防御二維碼攻擊需采取多層策略
網絡犯罪分子熱衷使用惡意二維碼的一個主要原因是傳統(tǒng)電子郵件安全產品往往無法檢測到二維碼網絡釣魚攻擊。電子郵件安全廠商Abnormal Security首席信息安全官Mike Britton表示:“隨著攻擊者不斷創(chuàng)新,二維碼攻擊呈上升趨勢,原因它往往比傳統(tǒng)攻擊手段更有效。它們很難被發(fā)現,因為與傳統(tǒng)的電子郵件攻擊不同,它們的文本內容很少,而且沒有明顯的URL。這大大減少了傳統(tǒng)安全工具可分析的信號數量。”
為了進一步提高攻擊成功率,攻擊者還會利用企業(yè)內部被盜郵件賬戶來發(fā)送釣魚郵件,傳播惡意軟件、嘗試接管帳戶并竊取身份,進而滲透整個公司網絡。
對于CISO來說,二維碼已經成為2024年需要重點關注的威脅之一,需要采取多層縱深方法進行防御。例如,結合統(tǒng)一端點管理(UEM)和基于人工智能的平臺(可以識別典型電子郵件模式來建立正常行為基線)構建多重屏障來防止二維碼攻擊。
一些電子郵件安全廠商也紛紛推出了可防范二維碼攻擊的新功能,例如解析二維碼鏈接并與基于人工智能的行為分析等相結合,針對每個用戶的典型電子郵件模式構建了一個適應性模型,以建立正常行為的基線,通過檢測包含二維碼的電子郵件中的異常情況增強企業(yè)檢測和阻止惡意二維碼的能力。
統(tǒng)一端點管理是關鍵
一些受訪CISO表示,二維碼攻擊已出現在雷達中,并正在使用端點管理來應對風險。UEM是遏制二維碼風險以及類似間諜技術的關鍵措施,因為UEM可為任何設備上的二維碼提供分層保護。IBM、Ivanti和VMWare是受訪CISO們提及最多的海外UEM提供商。
值得關注的是,Ivanti的UEM方案將無密碼多重身份驗證(零登錄)和移動威脅防御(MTD)相結合,用戶可以驗證設備級別的安全性、建立用戶上下文、驗證網絡以及檢測和修復威脅,以確保只有授權用戶、設備、應用程序和服務才能訪問業(yè)務資源。
一家保險和金融服務公司的CISO表示,他們的基礎設施面臨的二維碼風險無處不在,制定UEM策略至關重要。因為當員工出差、在客戶和供應商辦公室參加會議以及上下班時,會經常掃描二維碼。UEM對于防范此類二維碼野外攻擊至關重要。