Атаки с использованием QR-кодов, известные как "квишинг", продолжают эволюционировать, демонстрируя новые методы обхода традиционных систем безопасности. Как сообщают эксперты Barracuda, злоумышленники начали применять разделенные и вложенные QR-коды, что значительно усложняет их обнаружение.
Квишинг представляет собой разновидность фишинга, где вместо текстовых ссылок используются QR-коды, содержащие вредоносные адреса. При сканировании такие коды перенаправляют жертв на поддельные веб-сайты, предназначенные для кражи учетных данных и конфиденциальной информации. Популярность этого метода среди киберпреступников объясняется несколькими факторами: QR-коды нечитаемы для человека и не вызывают подозрений, часто обходят фильтры электронной почты и системы проверки ссылок, а также выводят пользователей за периметр корпоративной безопасности при переходе на мобильные устройства.
Современные атаки демонстрируют возросшую изобретательность злоумышленников. Например, фишинг-как-услуга (PhaaS) Gabagool начал использовать технику разделенных QR-кодов, при которой код разделяется на два отдельных изображения, встраиваемых в phishing-email. Стандартные системы безопасности, сканируя сообщение, видят два безобидных изображения вместо одного цельного QR-кода. Аналитики Barracuda обнаружили эту технику в атаке, начинавшейся как стандартный фейковый запрос сброса пароля Microsoft. Высокая степень персонализации сообщений указывает на возможный успешный перехват переписки перед атакой.
Еще один метод, замеченный в комплексе Tycoon 2FA PhaaS, involves вложенные QR-коды, где вредоносный код embedding внутри или вокруг легитимного QR-кода. Внешний код направляет на опасный URL, тогда как внутренний ведет на Google, что создает неоднозначность для сканеров и затрудняет detection угрозы.
Для противодействия таким угрозам организациям рекомендуется внедрять многоуровневую защиту email с интеграцией многомодального искусственного интеллекта. Этот подход включает визуальное распознавание QR-кодов в изображениях, декодирование содержимого, анализ URL назначения, выполнение подозрительных ссылок в sandbox-средах и использование machine learning для изучения структуры и пиксельных patterns кодов без извлечения встроенного контента.
Эксперты подчеркивают, что на фоне растущей изощренности атак необходимо сочетание технических мер защиты с обучением сотрудников, многофакторной аутентификацией и robust фильтрацией нежелательной почты.
