Квішинг: як QR-код фішинг обходить ваші email-фільтри

Ваш корпоративний email-шлюз може аналізувати URL-адреси, запускати вкладення в пісочниці та позначати домени відправників, зареєстровані вчора. Він не може прочитати QR-код.

Це і є вся суть квішингу. Зловмисники вбудовують шкідливу URL-адресу в зображення QR-коду, вставляють його в електронний лист і дозволяють телефону отримувача зробити решту. Лист не містить клікабельного посилання. Немає підозрілого вкладення. Лише квадрат із чорно-білих пікселів, який ваші засоби безпеки сприймають як нешкідливий файл зображення.

Ця атака не нова, але вона швидко масштабувалась. Звіт про загрози Abnormal Security за 2024 рік показав, що кількість фішингових атак через QR-коди зросла більш ніж на 400% у другій половині 2023 року порівняно з аналогічним періодом 2022 року. HP Wolf Security задокументував корпоративні квішинг-кампанії, що імітували Microsoft 365, DocuSign та внутрішні HR-портали протягом 2024 року.

Що відрізняє квішинг від звичайного email-фішингу — це зміна пристрою. Жертва читає лист на ноутбуці, але сканує код телефоном. Цей телефон зазвичай знаходиться поза корпоративним периметром безпеки. Немає веб-проксі, немає DNS-фільтрації, немає виявлення на кінцевих точках. Зловмисник просто переніс усю атаку на некерований пристрій.

Квішинг — це техніка фішингу, при якій зловмисники кодують шкідливу URL-адресу всередині QR-коду та доставляють його через електронну пошту, друк або фізичне розміщення. Термін поєднує “QR” та “phishing”. Коли хтось сканує код, його пристрій відкриває URL-адресу, яка зазвичай веде на сторінку збору облікових даних, завантаження шкідливого ПЗ або запит авторизації OAuth, призначений для викрадення доступу до облікового запису.

Причина, чому квішинг так добре працює проти організацій, є структурною. Платформи захисту електронної пошти працюють на основі URL-адрес та файлових сигнатур. QR-код не є ні тим, ні іншим. Це PNG або SVG зображення, вбудоване в тіло листа, і більшість email-шлюзів не декодують зображення для вилучення вбудованих URL-адрес. Навіть платформи, які додали сканування QR-кодів, мають проблеми з хибними спрацюваннями, оскільки легітимні QR-коди з’являються в маркетингових листах, запрошеннях на заходи та внутрішніх комунікаціях щодня.

Атака слідує передбачуваному шаблону, але кожен етап використовує різну прогалину в корпоративному захисті.

Зловмисник надсилає лист, який виглядає так, ніби прийшов від надійного джерела. Поширені приводи включають повідомлення про налаштування MFA в Microsoft 365, сповіщення про спільний доступ до документів SharePoint, підтвердження ознайомлення з HR-політиками та підтвердження доставки посилок. Тіло листа містить QR-код і текст, що спонукає отримувача його відсканувати. Іноді лист прямо зазначає, що посилання “працює лише на мобільних пристроях”, щоб виправдати формат QR.

На відміну від традиційного фішингу, лист не має вбудованої URL-адреси для перевірки засобами безпеки. QR-код відображається як вбудоване зображення. Деякі зловмисники йдуть далі і використовують ASCII-арт або QR-коди на основі HTML-таблиць, які навіть не реєструються як файли зображень під час сканування.

Отримувач сканує QR-код камерою телефону. Сучасні смартфони автоматично відкривають URL-адреси після сканування, що означає, що жертва може потрапити на фішингову сторінку, перш ніж встигне перевірити адресу призначення. Навіть обережні користувачі, які перевіряють попередній перегляд URL на екрані телефону, стикаються з проблемою: зловмисники використовують скорочувачі URL, ланцюги перенаправлень та легітимно виглядаючі домени, щоб адреса призначення виглядала безпечною протягом тієї півсекунди, поки вона видна.

Телефон відкриває сторінку, яка імітує вхід до Microsoft 365, запит Google Workspace або корпоративний SSO-портал. Сторінка виглядає справжньою. Вона запитує облікові дані. Якщо ціль їх вводить, зловмисник перехоплює ім’я користувача та пароль у реальному часі. Багато квішинг-наборів також проксують вхід до реального сервісу та перехоплюють код MFA, повністю обходячи двофакторну автентифікацію.

Це проксування в реальному часі — та ж техніка, яку використовують у фішингових фреймворках adversary-in-the-middle (AiTM). Різниця полягає в доставці: замість того, щоб надсилати клікабельне посилання, зловмисник надсилає QR-код.

Засоби захисту електронної пошти були створені для перевірки двох речей: URL-адрес та файлів. QR-коди не є ні тим, ні іншим.

Secure Email Gateway (SEG) аналізує тіло листа на наявність гіперпосилань, вилучає їх та перевіряє кожне за базами даних розвідки загроз, сервісами репутації URL та пісочницями реального часу. Нічого з цього не працює, коли URL-адреса закодована як матриця пікселів всередині зображення.

Деякі корпоративні email-платформи (Microsoft Defender for Office 365, Proofpoint, Abnormal Security) додали декодування зображень QR-кодів до своїх конвеєрів сканування з кінця 2023 року. Але рівень виявлення залишається нестабільним. Зловмисники вже адаптуються, використовуючи QR-коди, що перенаправляють через кілька скорочувачів URL, вбудовуючи QR-коди всередині PDF-вкладень замість вбудованих зображень, або розбиваючи QR-код на кілька фрагментів зображення, які візуально складаються разом, але плутають автоматичні сканери.

Фундаментальна проблема не в обмеженнях конкретного вендора. Справа в тому, що QR-коди переносять взаємодію з керованого десктопного браузера на некерований мобільний пристрій. Навіть якщо email-шлюз декодує QR-код і позначить URL, працівник все одно може сфотографувати QR-код з друкованої копії або спільного екрана, повністю обійшовши захист електронної пошти.

Електронна пошта — найпоширеніший канал доставки, але не єдиний.

Друковані матеріали. Зловмисники розміщують шкідливі QR-коди поверх легітимних на паркоматах, меню ресторанів, бейджах конференцій та публічних вивісках. ФБР випустило публічне попередження з цього приводу в січні 2022 року, після повідомлень про підроблені QR-коди на паркоматах у кількох містах США, що перенаправляли користувачів на шахрайські платіжні портали.

Внутрішні документи. Зловмисники, які отримали початковий доступ до корпоративної мережі, іноді вбудовують шкідливі QR-коди у внутрішні вікі-сторінки, спільні документи або повідомлення в Slack. Вони мають вищий рівень довіри, оскільки надходять “зсередини”.

Фізична пошта. QR-коди у фальшивих рахунках-фактурах, повідомленнях про відповідність або листах про реєстрацію пільг, надісланих на домашні адреси працівників. Це повністю обходить корпоративний захист електронної пошти і застає людей у контексті низької підозри. Швейцарський національний центр кібербезпеки (NCSC) попередив про хвилю таких атак у листопаді 2023 року, з фальшивими поштовими повідомленнями, що містили QR-коди для завантаження Android-шкідливого ПЗ.

Комбінації з соціальною інженерією. Квішинг добре поєднується з callback-фішингом. Лист містить номер телефону та QR-код. “Зателефонуйте нам або скануйте код для швидшого обслуговування.” Два канали атаки в одному листі, і жоден не містить традиційного фішингового посилання.

Більшість правил виявлення, які працюють для фішингу на основі посилань, не застосовуються до квішингу, оскільки немає посилання, на яке можна навести курсор. Вам потрібен інший контрольний список.

Запитайте, чому QR-код необхідний. Якщо лист від IT, HR або постачальника, запитайте себе: чому вони надсилають QR-код замість звичайного посилання? Внутрішні системи мають URL-адреси. Легітимні сервіси мають сторінки входу, до яких можна перейти безпосередньо. QR-код майже завжди непотрібний у контексті корпоративного листування.

Уважно перевірте відправника. Квішинг-листи імітують ті ж бренди, що й традиційний фішинг: Microsoft, Google, DocuSign, власний домен вашої компанії. Подивіться на фактичну адресу відправника, а не на відображуване ім’я. Якщо “Microsoft Security Team” пише з випадкового домену, це ваша відповідь.

Попередній перегляд перед переходом. Коли ви скануєте QR-код на більшості телефонів, URL-адреса з’являється ненадовго перед тим, як браузер відкриється. Прочитайте її. Якщо домен не відповідає організації, від імені якої стверджує лист, не натискайте. Якщо використовується скорочувач URL типу bit.ly або tinyurl, вважайте це підозрілим.

Перевірте через інший канал. Якщо лист каже, що вам потрібно повторно автентифікуватися або підтвердити свою особу, перейдіть до сервісу безпосередньо, ввівши URL самостійно. Не скануйте код. Це та ж порада, яка стосується смішингу та кожного іншого варіанту фішингу: ніколи не використовуйте спосіб зв’язку, наданий у самому підозрілому повідомленні.

Обидві атаки прагнуть до однакового результату, але йдуть різними шляхами.

Зміна пристрою — головне. Коли атака переходить на персональний телефон, організація втрачає видимість. Немає логів веб-проксі, немає записів DNS-запитів, немає телеметрії кінцевих точок. Крадіжка облікових даних відбувається на пристрої, який ваша команда безпеки не контролює.

Традиційне навчання з виявлення фішингу вчить працівників наводити курсор на посилання. Ця навичка марна проти QR-коду. Ваша навчальна програма повинна розглядати обидва типи атак окремо, оскільки евристики виявлення відрізняються.

Квішинг рідко є всією атакою. Це початковий крок доступу в довшому ланцюгу.

Найпоширеніший наступний крок — компрометація ділової електронної пошти. Зловмисник захоплює облікові дані працівника Microsoft 365 через квішинг-сторінку, входить з проксі, що відповідає географічному розташуванню жертви, щоб уникнути сповіщень про неможливу подорож, і починає надсилати листи зі скомпрометованого облікового запису. Ці листи несуть довіру справжнього внутрішнього відправника, що робить подальшу соціальну інженерію значно ефективнішою.

Квішинг також живить кампанії захоплення облікових записів. Щойно зловмисник має дійсні облікові дані та може перехоплювати токени MFA, він може отримати доступ до SharePoint, OneDrive, Teams та будь-якого іншого інтегрованого сервісу. Звідти сценарій збігається з тим, що ви бачите у випадках credential stuffing: витік даних, бічний рух і, в деяких випадках, розгортання програм-вимагачів.

Стандартне навчання з виявлення фішингу не готує працівників до атак через QR-коди. Навичка наведення курсору на посилання для перевірки URL — єдина найбільш поширена техніка виявлення фішингу, і вона абсолютно нерелевантна, коли URL закодована в зображенні.

Навчання з квішингу повинно розвивати окремий набір рефлексів.

Навчіть питанню “чому це QR-код?” Найефективніша єдина звичка — навчити працівників ставити під сумнів сам формат. Легітимні внутрішні комунікації майже ніколи не вимагають QR-коду. Якщо лист від IT просить вас відсканувати QR-код для оновлення облікових даних, формат — це і є тривожний сигнал.

Практикуйте попередній перегляд URL QR-коду. Більшість працівників не знають, що їхній телефон показує попередній перегляд URL перед відкриттям. Проведіть їх через цю поведінку на iOS та Android. Дайте їм попрактикуватися в скануванні безпечних QR-кодів та читанні адреси призначення перед натисканням.

Зверніть увагу на зміну пристрою. Працівники повинні розуміти, що сканування QR-коду з робочого листа на особистому телефоні переносить атаку за межі корпоративних засобів безпеки. Телефон не має веб-проксі, керованого браузера, захисту кінцевих точок від компанії. Цей контекст має значення.

Включіть квішинг у програму симуляцій. Надсилайте фішингові листи з QR-кодами як частину вашої регулярної програми симуляцій. Працівники повинні зіткнутися з ними в контрольованому середовищі, перш ніж зустріти справжню атаку. Наша вправа з QR-код фішингу симулює реалістичну корпоративну квішинг-спробу, щоб працівники могли попрактикуватися в ідентифікації та реагуванні.

Закріплюйте через різні канали. Оскільки квішинг також з’являється в друкованих матеріалах та фізичних місцях, навчання повинно виходити за межі електронної пошти. Навчіть працівників бути скептичними щодо QR-кодів на плакатах, роздаткових матеріалах конференцій і навіть кодів, прикріплених до обладнання. Якщо вони особисто не створювали або не очікували QR-код, вони повинні його перевірити перед скануванням.

Подивіться, як виглядає корпоративна квішинг-атака, перш ніж зіткнетеся зі справжньою. Спробуйте нашу безкоштовну вправу з QR-код фішингу та потренуйтеся виявляти шкідливі QR-коди в реалістичних сценаріях електронної пошти. Для ширшого охоплення перегляньте наш каталог навчання з безпеки з вправами на фішинг, смішинг, email-безпеку та соціальну інженерію.