quishing

Ваш корпоративний email-шлюз може аналізувати URL-адреси, запускати вкладення в пісочниці та позначати домени відправників, зареєстровані вчора. Він не може прочитати QR-код.

Це і є вся суть квішингу. Зловмисники вбудовують шкідливу URL-адресу в зображення QR-коду, вставляють його в електронний лист і дозволяють телефону отримувача зробити решту. Лист не містить клікабельного посилання. Немає підозрілого вкладення. Лише квадрат із чорно-білих пікселів, який ваші засоби безпеки сприймають як нешкідливий файл зображення.

Ця атака не нова, але вона швидко масштабувалась. Звіт про загрози Abnormal Security за 2024 рік показав, що кількість фішингових атак через QR-коди зросла більш ніж на 400% у другій половині 2023 року порівняно з аналогічним періодом 2022 року. HP Wolf Security задокументував корпоративні квішинг-кампанії, що імітували Microsoft 365, DocuSign та внутрішні HR-портали протягом 2024 року.

Що відрізняє квішинг від звичайного email-фішингу — це зміна пристрою. Жертва читає лист на ноутбуці, але сканує код телефоном. Цей телефон зазвичай знаходиться поза корпоративним периметром безпеки. Немає веб-проксі, немає DNS-фільтрації, немає виявлення на кінцевих точках. Зловмисник просто переніс усю атаку на некерований пристрій.