上季度依赖二维码的电子邮件攻击激增,攻击者专门针对企业高管和经理,这强化了公司围绕其业务领导层实施额外数字保护的建议。
更糟糕的是,根据提供商 Abnormal Security 本周发布的一份报告,使用 QR 码(又名“quishing”)的网络钓鱼电子邮件通常可以通过垃圾邮件过滤器,针对 Microsoft 365 和 DocuSign 用户的攻击成功登陆电子邮件收件箱云电子邮件安全。
2023 年第四季度,最高管理层平均遇到的使用二维码的网络钓鱼攻击是普通员工的 42 倍。根据该公司的报告,其他管理职位遭受的攻击也有所增加,尽管攻击规模明显较小,这些非高管高管遭遇的基于二维码的网络钓鱼攻击是其五倍。
异常安全部门首席信息安全官 Mike Britton 表示,总体而言,数据表明攻击者的网站上有高管和其他特权用户。
“如果我是攻击者,我想攻击那些有能力让我获得报酬并拥有让我访问最有趣信息的凭据的人,”他说。 “或者我想假装是那些人,因为社会工程再次需要这种信任,[让受害者思考,]嘿,这位销售副总裁或这位人力资源副总裁要求我做某事,[让他们] 通常更有可能……采取行动。”
虽然二维码已经存在了三十年,但它们在大流行期间变得更加流行,因为餐馆和其他企业引导顾客进行非接触式在线订购。在商业环境中,QR 码的一个主要用例是提供链接以简化多因素身份验证 (MFA) 的注册流程。网络攻击者纷纷出击:例如,第四季度超过四分之一的二维码攻击 (27%) 是 MFA 的虚假通知,而大约五分之一的攻击 (4%) 是有关共享文档的虚假通知, 根据异常安全的报告.
高层管理人员遇到的使用二维码的攻击比普通员工多 42 倍。来源:异常安全
由于攻击者将网络钓鱼链接隐藏在图像中,因此二维码网络钓鱼绕过了用户的怀疑和一些电子邮件安全产品。此外,恶意二维码可以使用简单的贴纸放置在物理空间中,完全绕过数字安全。
移动安全公司 Zimperium 的产品总监 Monique Becenti 表示:“攻击利用了用户对二维码固有的信任,将其嵌入停车计时器或海报等日常物品中。” “使用二维码进行网络钓鱼的成功率将超过传统的网络钓鱼方法,因为它们通常会绕过用户的典型怀疑触发点,例如 URL 中的拼写错误,从而导致扫描它们的可能性更高。”
窃取 Exec 凭证的另一种方法
在大多数情况下,针对高管的镇压攻击者的目标是特权用户的凭据(用户名和密码)。凭证网络钓鱼是最流行的电子邮件攻击形式,占所有通过向量的攻击的 73%,占使用 QR 码的攻击的 84%; Abnormal Security 的 Britton 表示,它们常常会导致更严重的损害。
“主要目标是让用户窃取他们的凭据,”他说。 “一旦我有了你的凭证,我就可以造成更多的伤害,而且可以造成很多持久的伤害。如果我有您的凭据,我可以登录您的帐户,我可以查看您向谁发送了电子邮件,我可以冒充您发送电子邮件,并且我可以创建邮件过滤规则。”
布里顿说,最后一点是滥用邮件凭证的常见方式。攻击者将创建密件抄送 (BCC) 规则,将所有电子邮件转发到攻击者的帐户。
此外,报告指出,“威胁行为者还认识到,通常有多个人可以访问高管的收件箱,例如行政助理”。 “因此,每个知道 VIP 收件箱登录凭据的人都代表着一个可以被攻击者利用的潜在入口点。”
阻止消除需要技术和培训人员
好消息是,自 22 月份以来,二维码网络钓鱼已大幅消退,占网络钓鱼攻击的 XNUMX%, 根据人力风险管理公司 Hoxhunt 的说法。 “自去年 10 月以来,我们发现有证据表明电子邮件过滤器正在追赶 QR 网络钓鱼技术,”Hoxhunt 威胁团队负责人 Jon Gellin 表示。 “由于绕过电子邮件过滤器的攻击越来越少,因此它们的受欢迎程度有所下降。”
然而,即使 quishing 消退,它仍然是攻击者的工具,就像缩短的 URL 和图像垃圾邮件继续在网络攻击中使用一样。盖林说,保护用户的最佳方法是对他们进行培训。大约 5% 的用户会在最初几分钟内响应网络钓鱼攻击,这表明训练有素的员工队伍可以帮助遏制攻击。
“正如二维码网络钓鱼趋势所表明的那样,即使是最复杂的过滤器,一些威胁也总是会漏过,”他说。 “到那时,人类就需要拥有有效应对威胁的技能和工具。”
Abnormal Security 的 Britton 表示,培训很重要,但由于一次故障可能会产生重大影响,因此技术控制是必要的。
“我见过一些网络钓鱼攻击,就连我也必须征求人们的第二意见,因为它们看起来很真实,”他说。 “我如何期望人力资源人员每次都能做到正确呢?我如何期望应付账款人?我对金融分析师有何期望?”
“培训很重要,但我们难免会失败,而且只需要一次失败,”他说。
