Του Jeremy Fuchs, Cybersecurity Researcher/Analyst στην Check Point Software LTD
Κατά τη διάρκεια του καλοκαιριού, παρατηρήσαμε μια κάπως απροσδόκητη αύξηση των επιθέσεων phishing που βασίζονται σε κωδικούς QR.
Οι επιθέσεις ήταν όλες, αρκετά παρόμοιες. Ο κύριος στόχος ήταν να προκαλέσει τον τελικό χρήστη να σαρώσει τον κωδικό QR, οπότε και θα ανακατευθυνόταν σε μια σελίδα συλλογής διαπιστευτηρίων.
Αρκετά απλή, αλλά επιτυχημένη, καθώς πολλές λύσεις ασφαλείας ηλεκτρονικού ταχυδρομείου δεν είχαν προστασία κώδικα QR και πολλοί τελικοί χρήστες έχουν συνηθίσει να σαρώνουν κωδικούς QR. Αυτός είναι και ο λόγος για τον οποίο παρατηρήσαμε αύξηση αυτών των επιθέσεων 587% μεταξύ Αυγούστου και Σεπτεμβρίου.
Οι προμηθευτές ασφάλειας εργάστηκαν μανιωδώς για να αναπτύξουν νέες προστασίες για αυτές τις επιθέσεις. Και, όπως συμβαίνει πάντα, οι φορείς απειλών απάντησαν με τον ίδιο τρόπο με μια νέα παραλλαγή των επιθέσεων με κωδικό QR.
Σε αυτές τις επιθέσεις, οι χάκερ χρησιμοποιούν τον κώδικα QR με διαφορετικό τρόπο. Το αρχικό ζητούμενο είναι παρόμοιο, αλλά το πού πηγαίνει η αλυσίδα ανακατεύθυνσης διαφέρει αρκετά. Εν’ολίγοις, ο σύνδεσμος εξετάζει πού αλληλεπιδρά ο χρήστης με αυτόν και προσαρμόζεται ανάλογα. Άλλος σύνδεσμος εμφανίζεται αν ο χρήστης χρησιμοποιεί Ma και άλλος σε χρήστη ενός τηλεφώνου Android.
Ο τελικός στόχος είναι ο ίδιος – να εγκαταστήσει κακόβουλο λογισμικό στο τελικό σημείο του τελικού χρήστη, ενώ παράλληλα κλέβει διαπιστευτήρια. Αλλά με την προσαρμογή του προορισμού ανάλογα με τον τρόπο πρόσβασης του τελικού χρήστη, το ποσοστό επιτυχίας είναι πολύ υψηλότερο.
Σε διάστημα δύο εβδομάδων τον Ιανουάριο, παρατηρήσαμε έναν αριθμό τέτοιων επιθέσεων, λίγο μικρότερο από 20.000.
Σε αυτή την ενημέρωση για τις επιθέσεις, οι ερευνητές της Harmony Email αναφέρουν πώς οι χάκερς μεταφέρουν τις επιθέσεις με QR codes στο επόμενο επίπεδο.
Η Επίθεση
Οι χάκερς στέλνουν κωδικούς QR με δρομολόγηση υπό όρους ανάλογα με τη συσκευή.
- Vector: Email
- Τύπος: QR Code, Conditional Redirection, Συγκομιδή Credential
- Τεχνικές: BEC 3.0
- Στόχος: Οποιοσδήποτε τελικός χρήστης
Παράδειγμα Email
Αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου ξεκινά ως μια αρκετά τυπική επίθεση phishing που βασίζεται σε κώδικα QR. Το ζητούμενο είναι να δείτε την ετήσια δήλωση εισφορών 401K σαρώνοντας τον κωδικό QR. Θα σας δώσει το υπόλοιπο του λογαριασμού σας για το έτος.
Το ενδιαφέρον σε αυτή την επίθεση είναι αυτό που συμβαίνει στη συνέχεια.
Ο κώδικας QR έχει ένα υπό όρους σημείο προορισμού, με βάση το πρόγραμμα περιήγησης, τη συσκευή, το μέγεθος της οθόνης και άλλα. Ανάλογα με τις παραμέτρους, ο κωδικός QR θα κατευθύνει σε μια διαφορετική σελίδα.
Ο σύνδεσμος στο μήνυμα ηλεκτρονικού ταχυδρομείου είναι ο ίδιος:
Ωστόσο, ανάλογα με τον προορισμό, το αποτέλεσμα αλλάζει:
Ουσιαστικά, υπάρχουν τέσσερα επίπεδα περιπλοκότητας. Το ένα είναι ο ίδιος ο κωδικός QR. Η διεύθυνση URL που ενσωματώνεται στον κωδικό QR μοιάζει να πηγαίνει σε έναν τομέα της Apple, αλλά αντ’ αυτού ανακατευθύνεται αλλού. Στη συνέχεια, υπάρχει μια τυφλή ανακατεύθυνση σε έναν άλλο τομέα. Αυτός ο τομέας έχει αυτόματους ελέγχους για να δει αν έρχεστε από ένα πρόγραμμα περιήγησης ή μια μηχανή σάρωσης και θα ανακατευθύνει ανάλογα.
Υπάρχει επίσης ένα payload εκεί μέσα που έχει τεχνικές anti-reverse engineering, έτσι ώστε αν προσπαθήσετε να το αποκρυπτογραφήσετε, θα καταναλώσει άπειρους πόρους.
Εδώ είναι ένα άλλο παράδειγμα. Αυτό ενσωματώνει τον κωδικό QR σε ένα PDF, το οποίο επισυνάπτεται στο email.
Αυτό συνδέεται με μια σειρά ύποπτων δραστηριοτήτων, και πάλι γύρω από τη σύνδεση με ένα πρόγραμμα για τη συνεχή αποστράγγιση πόρων. Σας οδηγεί επίσης σε μια ψεύτικη σελίδα σύνδεσης της Microsoft.
Και εδώ είναι μια άλλη παραλλαγή:
Σε όλα αυτά, ο σύνδεσμος στον κωδικό QR και ο σύνδεσμος στον οποίο σας ανακατευθύνει είναι διαφορετικοί.
Τεχνικές
Η ανακατεύθυνση σε μια επίθεση δεν είναι απαραίτητα νέα, αν και η χρήση της σε QR Codes είναι συναρπαστική.
Με την πλοήγηση στην ανακατεύθυνση υπό όρους, οι χάκερ είναι σε θέση να αυξήσουν την ικανότητα επιτυχία τους. Συνήθως, τα προεπιλεγμένα επίπεδα ασφαλείας θα εξετάσουν μια ανακατεύθυνση και αν η πρώτη είναι καθαρή, θα την αφήσουν να περάσει. (Αυτό συνέβη σε αυτή την επίθεση).
Εδώ είναι που μπαίνει στο παιχνίδι η δύναμη της ολοκληρωμένης λύσης ασφαλείας. Με μια ολοκληρωμένη λύση ασφαλείας, πολλαπλά επίπεδα μπορούν να λειτουργήσουν για την αποτροπή αυτών των επιθέσεων.
Σε αυτό το παράδειγμα, μια λύση ασφάλειας ηλεκτρονικού ταχυδρομείου μπορεί να την εμποδίσει εξετάζοντας ύποπτη συμπεριφορά, όπως αποστολέας για πρώτη φορά, ανάλυση κειμένου και άλλα. Η ασφάλεια του προγράμματος περιήγησης μπορεί να την αποκλείσει με την επιθεώρηση του ιστότοπου και την εξομοίωση τυχόν ενεργειών. Η ασφάλεια κινητών τηλεφώνων μπορεί να την αποκλείσει κατά την πραγματική σάρωση του κωδικού QR. Το anti-malware μπορεί να προσομοιώσει το αρχείο και να καταλάβει τι θα συμβεί. Η ασφάλεια μετά την παράδοση μπορεί να εξετάζει συνεχώς νέες πληροφορίες, σαρώνοντας και εξομοιώνοντας συνεχώς τη διεύθυνση URL.
Αυτές οι επιθέσεις είναι δύσκολο να σταματήσουν επειδή θέτουν σε κίνδυνο τόσα πολλά διαφορετικά επίπεδα. Έχοντας όμως όλα τα επίπεδα, αυξάνεται η δυνατότητα να σταματήσετε την επίθεση.
Βέλτιστες Πρακτικές: Οδηγίες και Συστάσεις
Για να προφυλαχθούν από αυτές τις επιθέσεις, οι επαγγελματίες ασφαλείας μπορούν να κάνουν τα εξής:
- Να εφαρμόσουν ασφάλεια που χρησιμοποιεί τεχνητή νοημοσύνη για να εξετάζει πολλαπλούς δείκτες phishing
- Να εφαρμόσουν ασφάλεια με δυνατότητα αποκωδικοποίησης επιθέσεων με κωδικούς QR
- Να εφαρμόζουν ασφάλεια με πολλαπλά επίπεδα προστασίας.