今天�����,二維碼廣泛應(yīng)用于零售、機場、酒吧����、酒店��、景點等日常場景����,用于支付、認(rèn)證和URL分享��,但鮮為人知的是����,貌似人畜無害的二維碼正在成為黑客劫持手機和竊取數(shù)字身份的“物理木馬”����。
2023年,基于二維碼的新型網(wǎng)絡(luò)釣魚活動開始流行��。2024年��,以二維碼為攻擊媒介的網(wǎng)絡(luò)釣魚活動(Quishing)正加速增長���,主要原因是人們對二維碼的固有信任仍未打破����,人們習(xí)慣毫無戒備,不假思索地掃描二維碼���。網(wǎng)絡(luò)犯罪分子利用用戶對二維碼的這種信任在二維碼中“投毒”(嵌入惡意鏈接指向釣魚網(wǎng)站或者惡意軟件)����。
二維碼成為黑客熱門目標(biāo)
二維碼在東亞多國早已普及���,但直到新冠疫情刺激�����,二維碼應(yīng)用才開始在全球爆發(fā)式增長�����。目前�,全球主流社交媒體平臺紛紛為用戶提供分享個人資料的二維碼功能��,以此帶來更多流量和廣告收入����。
根據(jù)Ivanti的調(diào)查�����,2022年至今二維碼的使用量增長了43.2%��,2023年有約3.314億個二維碼被兌換�。Abnormal的調(diào)查顯示�,2023年超過四分之三(83%)的美國消費者在手機上使用二維碼支付賬單,并且80%的美國二維碼用戶認(rèn)為二維碼是安全的���。64%的受訪者認(rèn)為使用二維碼進(jìn)行日常非接觸式交易來更方便(對于歐美用戶來說��,對二維碼態(tài)度的轉(zhuǎn)變主要受到疫情影響)。
二維碼的便利性和普及性使得它們看起來無害�,這導(dǎo)致用戶對惡意二維碼普遍缺乏基本的防范意識。Ivanti的調(diào)查發(fā)現(xiàn)�����,71%的用戶無法區(qū)分合法或惡意的二維碼�����,17%的用戶被重定向到可疑網(wǎng)站。
用戶的信任和薄弱的安全意識使得二維碼成為黑客的熱門目標(biāo)�����,黑客在暗網(wǎng)和Telegram頻道中大量發(fā)布二維碼攻擊教學(xué)視頻�����。在暗網(wǎng)提供勒索軟件即服務(wù)(RaaS)的犯罪團伙也開始熱衷于將二維碼嵌入到電子郵件和釣魚網(wǎng)站中來提高受害者的點擊率����。
17%的高級攻擊使用二維碼作為攻擊媒介
Abnormal Security的研究發(fā)現(xiàn),在針對客戶環(huán)境的所有高級攻擊中���,有17%的攻擊都以二維碼為主要攻擊媒介���,這些攻擊旨在進(jìn)行憑證網(wǎng)絡(luò)釣魚、勒索和發(fā)票支付欺詐攻擊���。過去一年�����,隨著攻擊者不斷優(yōu)化攻擊手段并擴大攻擊規(guī)模��,基于二維碼的攻擊暴增了400%�。
一個令人不安的趨勢是:越來越多的攻擊者開始在釣魚郵件中植入惡意二維碼,鏈接到貌似合法的網(wǎng)站(例如知名企業(yè)的官網(wǎng))����,然后提示用戶輸入登錄名、密碼和特權(quán)訪問憑據(jù)信息�����。
Abnormal的報告顯示���,冒充受信任實體(包括銀行���、快遞服務(wù)和政府機構(gòu))的網(wǎng)絡(luò)釣魚電子郵件數(shù)量大幅增加。攻擊者積極利用社會工程技術(shù)引誘受害者掃描惡意二維碼���,將其重定向到惡意網(wǎng)站,竊取用戶賬號或用惡意軟件感染用戶設(shè)備�。隨著基于身份攻擊的主流化,越來越多的攻擊者熱衷于竊取盡可能多的企業(yè)員工身份和特權(quán)訪問憑證�����,以訪問銀行、金融機構(gòu)和機密企業(yè)網(wǎng)絡(luò)��。
防御二維碼攻擊需采取多層策略
網(wǎng)絡(luò)犯罪分子熱衷使用惡意二維碼的一個主要原因是傳統(tǒng)電子郵件安全產(chǎn)品往往無法檢測到二維碼網(wǎng)絡(luò)釣魚攻擊�����。電子郵件安全廠商Abnormal Security首席信息安全官Mike Britton表示:“隨著攻擊者不斷創(chuàng)新�����,二維碼攻擊呈上升趨勢���,原因它往往比傳統(tǒng)攻擊手段更有效���。它們很難被發(fā)現(xiàn),因為與傳統(tǒng)的電子郵件攻擊不同���,它們的文本內(nèi)容很少�����,而且沒有明顯的URL��。這大大減少了傳統(tǒng)安全工具可分析的信號數(shù)量�����?��!?
為了進(jìn)一步提高攻擊成功率�����,攻擊者還會利用企業(yè)內(nèi)部被盜郵件賬戶來發(fā)送釣魚郵件���,傳播惡意軟件、嘗試接管帳戶并竊取身份��,進(jìn)而滲透整個公司網(wǎng)絡(luò)���。
對于CISO來說��,二維碼已經(jīng)成為2024年需要重點關(guān)注的威脅之一�,需要采取多層縱深方法進(jìn)行防御��。例如���,結(jié)合統(tǒng)一端點管理(UEM)和基于人工智能的平臺(可以識別典型電子郵件模式來建立正常行為基線)構(gòu)建多重屏障來防止二維碼攻擊����。
一些電子郵件安全廠商也紛紛推出了可防范二維碼攻擊的新功能��,例如解析二維碼鏈接并與基于人工智能的行為分析等相結(jié)合�����,針對每個用戶的典型電子郵件模式構(gòu)建了一個適應(yīng)性模型�����,以建立正常行為的基線�����,通過檢測包含二維碼的電子郵件中的異常情況增強企業(yè)檢測和阻止惡意二維碼的能力�。
統(tǒng)一端點管理是關(guān)鍵
一些受訪CISO表示,二維碼攻擊已出現(xiàn)在雷達(dá)中��,并正在使用端點管理來應(yīng)對風(fēng)險���。UEM是遏制二維碼風(fēng)險以及類似間諜技術(shù)的關(guān)鍵措施���,因為UEM可為任何設(shè)備上的二維碼提供分層保護(hù)�����。IBM��、Ivanti和VMWare是受訪CISO們提及最多的海外UEM提供商�。
值得關(guān)注的是����,Ivanti的UEM方案將無密碼多重身份驗證(零登錄)和移動威脅防御(MTD)相結(jié)合,用戶可以驗證設(shè)備級別的安全性�����、建立用戶上下文��、驗證網(wǎng)絡(luò)以及檢測和修復(fù)威脅�����,以確保只有授權(quán)用戶�、設(shè)備、應(yīng)用程序和服務(wù)才能訪問業(yè)務(wù)資源���。
一家保險和金融服務(wù)公司的CISO表示���,他們的基礎(chǔ)設(shè)施面臨的二維碼風(fēng)險無處不在,制定UEM策略至關(guān)重要�。因為當(dāng)員工出差、在客戶和供應(yīng)商辦公室參加會議以及上下班時����,會經(jīng)常掃描二維碼。UEM對于防范此類二維碼野外攻擊至關(guān)重要���。
