今天�,二維碼廣泛應用于零售、機場��、酒吧�、酒店、景點等日常場景�,用于支付、認證和URL分享��,但鮮為人知的是���,貌似人畜無害的二維碼正在成為黑客劫持手機和竊取數(shù)字身份的“物理木馬”��。
2023年��,基于二維碼的新型網(wǎng)絡釣魚活動開始流行��。2024年��,以二維碼為攻擊媒介的網(wǎng)絡釣魚活動(Quishing)正加速增長���,主要原因是人們對二維碼的固有信任仍未打破�,人們習慣毫無戒備���,不假思索地掃描二維碼���。網(wǎng)絡犯罪分子利用用戶對二維碼的這種信任在二維碼中“投毒”(嵌入惡意鏈接指向釣魚網(wǎng)站或者惡意軟件)。
二維碼成為黑客熱門目標
二維碼在東亞多國早已普及��,但直到新冠疫情刺激��,二維碼應用才開始在全球爆發(fā)式增長���。目前��,全球主流社交媒體平臺紛紛為用戶提供分享個人資料的二維碼功能��,以此帶來更多流量和廣告收入��。
根據(jù)Ivanti的調(diào)查��,2022年至今二維碼的使用量增長了43.2%���,2023年有約3.314億個二維碼被兌換��。Abnormal的調(diào)查顯示�,2023年超過四分之三(83%)的美國消費者在手機上使用二維碼支付賬單�,并且80%的美國二維碼用戶認為二維碼是安全的。64%的受訪者認為使用二維碼進行日常非接觸式交易來更方便(對于歐美用戶來說���,對二維碼態(tài)度的轉(zhuǎn)變主要受到疫情影響)。
二維碼的便利性和普及性使得它們看起來無害���,這導致用戶對惡意二維碼普遍缺乏基本的防范意識�。Ivanti的調(diào)查發(fā)現(xiàn)���,71%的用戶無法區(qū)分合法或惡意的二維碼��,17%的用戶被重定向到可疑網(wǎng)站���。
用戶的信任和薄弱的安全意識使得二維碼成為黑客的熱門目標,黑客在暗網(wǎng)和Telegram頻道中大量發(fā)布二維碼攻擊教學視頻���。在暗網(wǎng)提供勒索軟件即服務(RaaS)的犯罪團伙也開始熱衷于將二維碼嵌入到電子郵件和釣魚網(wǎng)站中來提高受害者的點擊率���。
17%的高級攻擊使用二維碼作為攻擊媒介
Abnormal Security的研究發(fā)現(xiàn)���,在針對客戶環(huán)境的所有高級攻擊中,有17%的攻擊都以二維碼為主要攻擊媒介���,這些攻擊旨在進行憑證網(wǎng)絡釣魚���、勒索和發(fā)票支付欺詐攻擊。過去一年��,隨著攻擊者不斷優(yōu)化攻擊手段并擴大攻擊規(guī)模��,基于二維碼的攻擊暴增了400%�。
一個令人不安的趨勢是:越來越多的攻擊者開始在釣魚郵件中植入惡意二維碼,鏈接到貌似合法的網(wǎng)站(例如知名企業(yè)的官網(wǎng))�,然后提示用戶輸入登錄名、密碼和特權(quán)訪問憑據(jù)信息���。
Abnormal的報告顯示��,冒充受信任實體(包括銀行��、快遞服務和政府機構(gòu))的網(wǎng)絡釣魚電子郵件數(shù)量大幅增加���。攻擊者積極利用社會工程技術(shù)引誘受害者掃描惡意二維碼��,將其重定向到惡意網(wǎng)站���,竊取用戶賬號或用惡意軟件感染用戶設備。隨著基于身份攻擊的主流化�,越來越多的攻擊者熱衷于竊取盡可能多的企業(yè)員工身份和特權(quán)訪問憑證,以訪問銀行�、金融機構(gòu)和機密企業(yè)網(wǎng)絡。
防御二維碼攻擊需采取多層策略
網(wǎng)絡犯罪分子熱衷使用惡意二維碼的一個主要原因是傳統(tǒng)電子郵件安全產(chǎn)品往往無法檢測到二維碼網(wǎng)絡釣魚攻擊���。電子郵件安全廠商Abnormal Security首席信息安全官Mike Britton表示:“隨著攻擊者不斷創(chuàng)新,二維碼攻擊呈上升趨勢�,原因它往往比傳統(tǒng)攻擊手段更有效。它們很難被發(fā)現(xiàn)�,因為與傳統(tǒng)的電子郵件攻擊不同,它們的文本內(nèi)容很少��,而且沒有明顯的URL��。這大大減少了傳統(tǒng)安全工具可分析的信號數(shù)量���?�!?
為了進一步提高攻擊成功率��,攻擊者還會利用企業(yè)內(nèi)部被盜郵件賬戶來發(fā)送釣魚郵件��,傳播惡意軟件�、嘗試接管帳戶并竊取身份,進而滲透整個公司網(wǎng)絡���。
對于CISO來說�,二維碼已經(jīng)成為2024年需要重點關(guān)注的威脅之一�,需要采取多層縱深方法進行防御。例如�,結(jié)合統(tǒng)一端點管理(UEM)和基于人工智能的平臺(可以識別典型電子郵件模式來建立正常行為基線)構(gòu)建多重屏障來防止二維碼攻擊。
一些電子郵件安全廠商也紛紛推出了可防范二維碼攻擊的新功能���,例如解析二維碼鏈接并與基于人工智能的行為分析等相結(jié)合��,針對每個用戶的典型電子郵件模式構(gòu)建了一個適應性模型���,以建立正常行為的基線,通過檢測包含二維碼的電子郵件中的異常情況增強企業(yè)檢測和阻止惡意二維碼的能力�。
統(tǒng)一端點管理是關(guān)鍵
一些受訪CISO表示,二維碼攻擊已出現(xiàn)在雷達中��,并正在使用端點管理來應對風險。UEM是遏制二維碼風險以及類似間諜技術(shù)的關(guān)鍵措施��,因為UEM可為任何設備上的二維碼提供分層保護�。IBM、Ivanti和VMWare是受訪CISO們提及最多的海外UEM提供商���。
值得關(guān)注的是��,Ivanti的UEM方案將無密碼多重身份驗證(零登錄)和移動威脅防御(MTD)相結(jié)合��,用戶可以驗證設備級別的安全性��、建立用戶上下文��、驗證網(wǎng)絡以及檢測和修復威脅���,以確保只有授權(quán)用戶��、設備��、應用程序和服務才能訪問業(yè)務資源���。
一家保險和金融服務公司的CISO表示�,他們的基礎設施面臨的二維碼風險無處不在,制定UEM策略至關(guān)重要��。因為當員工出差���、在客戶和供應商辦公室參加會議以及上下班時��,會經(jīng)常掃描二維碼�。UEM對于防范此類二維碼野外攻擊至關(guān)重要�。
