Major U.S. energy org targeted in QR code phishing attack
2023/08/16 BleepingComputer — 米国の著名なエネルギー会社などを標的とするフィッシング・キャンペーンが観測されているが、この攻撃では、悪意の電子メールを受信トレイに送り込み、セキュリティを回避するために、 QR コードが使用されているという。このキャンペーンに関連する、約 1,000通ほどの電子メールの 29% は、米国の大手エネルギー会社を標的としている。その他の攻撃は、製造業 (15%)/保険 (9%)/テクノロジー (7%)/金融サービス (6%) などの企業に対して行われている。
このキャンペーンを発見した Cofense によると、この規模で QR コードが使用されたのは、今回が初めてのことだという。以前にもまして、多くのフィッシング詐欺師たちが、攻撃手段としての QR コードの有効性を試していると示唆される。
Source: Cofense
Cofense は、このキャンペーンで標的とされたエネルギー企業の名前を挙げていないが、米国を拠点とする大手だと述べている。
フィッシングで用いられる RQ コード
この攻撃は、受信者が Microsoft 365 のアカウント設定を更新するために、アクションを起こす必要があると主張する、フィッシング・メールから始まるという。
メールには PNG/PDF の添付ファイルが取り込まれ、受信者に促されるのはアカウント確認のための QR コード・スキャンである。また、緊急性を強調するために、2~3日以内に、このステップを完了させる必要があると記載されている。
Source: Cofense
このフィッシング・メールでは、既知の悪質なリンクをスキャンするメール・セキュリティ・ツールを回避するために、画像に埋め込まれた QR コードが使用される。
このキャンペーンの QR コードはセキュリティを回避するためのものであり、Bing/Salesforce/Cloudflare Web3 サービスへのリダイレクトを介して、ターゲットを Microsoft 365 フィッシング・ページへと誘導する。
このチェーンを構成する、QR コード内へのリダイレクト URL の隠蔽および、正規サービスの悪、フィッシング・リンクでの base64 エンコーディングの利用は、すべての検知の回避と、メール保護フィルタの通過において有効である。
フィッシングにおける QR コード
過去における QR コード悪用は、小規模ではあるが、フランスやドイツでのフィッシング・キャンペーンで用いられたことがある。詐欺師たちは QR コードを用いて人々を騙し、スキャンさせ、金銭を盗むという、悪質な Web サイトにリダイレクトさせている。
2022年1月には FBI も、サイバー犯罪者が QR コードを使って認証情報や金融情報を盗むケースが増えていると警告している。
たしかに、QR コードには防御を回避する効果があるが、被害者を騙してアクションを引き起こさせる必要があるため、十分に訓練された人材であれば、この種の攻撃を容易に防御できるだろう。
また、最近のスマートフォンに搭載されている大半の QR コード・スキャナーは、保護措置として、ブラウザを起動する前に送信元の URL を確認するよう、ユーザーに求めるようになっている。
Cofense では、一般的なトレーニングとは別に、フィッシング対策の一環として、画像認識ツールの使用を推奨している。
QR コードという、とても便利で効率の良いシステムですが、そのコードの発行元が偽装されると、とんでもない結果を招いてしまいます。その詐欺の手口は、2023/05/08 の「QR コードで $20,000 を盗まれる:偽のアンケートで Android マルアプリに感染」でも解説されていますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.