本文来自微信公众号“GoUpSec”。
今天,二维码广泛应用于零售、机场、酒吧、酒店、景点等日常场景,用于支付、认证和URL分享,但鲜为人知的是,貌似人畜无害的二维码正在成为黑客劫持手机和窃取数字身份的“物理木马”。
2023年,基于二维码的新型网络钓鱼活动开始流行。2024年,以二维码为攻击媒介的网络钓鱼活动(Quishing)正加速增长,主要原因是人们对二维码的固有信任仍未打破,人们习惯毫无戒备,不假思索地扫描二维码。网络犯罪分子利用用户对二维码的这种信任在二维码中“投毒”(嵌入恶意链接指向钓鱼网站或者恶意软件)。
二维码成为黑客热门目标
二维码在东亚多国早已普及,但直到新冠疫情刺激,二维码应用才开始在全球爆发式增长。目前,全球主流社交媒体平台纷纷为用户提供分享个人资料的二维码功能,以此带来更多流量和广告收入。
根据Ivanti的调查,2022年至今二维码的使用量增长了43.2%,2023年有约3.314亿个二维码被兑换。Abnormal的调查显示,2023年超过四分之三(83%)的美国消费者在手机上使用二维码支付账单,并且80%的美国二维码用户认为二维码是安全的。64%的受访者认为使用二维码进行日常非接触式交易来更方便(对于欧美用户来说,对二维码态度的转变主要受到疫情影响)。
二维码的便利性和普及性使得它们看起来无害,这导致用户对恶意二维码普遍缺乏基本的防范意识。Ivanti的调查发现,71%的用户无法区分合法或恶意的二维码,17%的用户被重定向到可疑网站。
用户的信任和薄弱的安全意识使得二维码成为黑客的热门目标,黑客在暗网和Telegram频道中大量发布二维码攻击教学视频。在暗网提供勒索软件即服务(RaaS)的犯罪团伙也开始热衷于将二维码嵌入到电子邮件和钓鱼网站中来提高受害者的点击率。
17%的高级攻击使用二维码作为攻击媒介
Abnormal Security的研究发现,在针对客户环境的所有高级攻击中,有17%的攻击都以二维码为主要攻击媒介,这些攻击旨在进行凭证网络钓鱼、勒索和发票支付欺诈攻击。过去一年,随着攻击者不断优化攻击手段并扩大攻击规模,基于二维码的攻击暴增了400%。
一个令人不安的趋势是:越来越多的攻击者开始在钓鱼邮件中植入恶意二维码,链接到貌似合法的网站(例如知名企业的官网),然后提示用户输入登录名、密码和特权访问凭据信息。
Abnormal的报告显示,冒充受信任实体(包括银行、快递服务和政府机构)的网络钓鱼电子邮件数量大幅增加。攻击者积极利用社会工程技术引诱受害者扫描恶意二维码,将其重定向到恶意网站,窃取用户账号或用恶意软件感染用户设备。随着基于身份攻击的主流化,越来越多的攻击者热衷于窃取尽可能多的企业员工身份和特权访问凭证,以访问银行、金融机构和机密企业网络。
防御二维码攻击需采取多层策略
网络犯罪分子热衷使用恶意二维码的一个主要原因是传统电子邮件安全产品往往无法检测到二维码网络钓鱼攻击。电子邮件安全厂商Abnormal Security首席信息安全官Mike Britton表示:“随着攻击者不断创新,二维码攻击呈上升趋势,原因它往往比传统攻击手段更有效。它们很难被发现,因为与传统的电子邮件攻击不同,它们的文本内容很少,而且没有明显的URL。这大大减少了传统安全工具可分析的信号数量。”
为了进一步提高攻击成功率,攻击者还会利用企业内部被盗邮件账户来发送钓鱼邮件,传播恶意软件、尝试接管帐户并窃取身份,进而渗透整个公司网络。
对于CISO来说,二维码已经成为2024年需要重点关注的威胁之一,需要采取多层纵深方法进行防御。例如,结合统一端点管理(UEM)和基于人工智能的平台(可以识别典型电子邮件模式来建立正常行为基线)构建多重屏障来防止二维码攻击。
一些电子邮件安全厂商也纷纷推出了可防范二维码攻击的新功能,例如解析二维码链接并与基于人工智能的行为分析等相结合,针对每个用户的典型电子邮件模式构建了一个适应性模型,以建立正常行为的基线,通过检测包含二维码的电子邮件中的异常情况增强企业检测和阻止恶意二维码的能力。
统一端点管理是关键
一些受访CISO表示,二维码攻击已出现在雷达中,并正在使用端点管理来应对风险。UEM是遏制二维码风险以及类似间谍技术的关键措施,因为UEM可为任何设备上的二维码提供分层保护。IBM、Ivanti和VMWare是受访CISO们提及最多的海外UEM提供商。
值得关注的是,Ivanti的UEM方案将无密码多重身份验证(零登录)和移动威胁防御(MTD)相结合,用户可以验证设备级别的安全性、建立用户上下文、验证网络以及检测和修复威胁,以确保只有授权用户、设备、应用程序和服务才能访问业务资源。
一家保险和金融服务公司的CISO表示,他们的基础设施面临的二维码风险无处不在,制定UEM策略至关重要。因为当员工出差、在客户和供应商办公室参加会议以及上下班时,会经常扫描二维码。UEM对于防范此类二维码野外攻击至关重要。
