Cyberbrottslingar skickar ut nätfiske-e-postmeddelanden som innehåller QR-koder i en kampanj utformad för att samla in inloggningsuppgifter för Microsoft 365-molnapplikationer.
Användarnamn och lösenord för företagsmolntjänster som Microsoft 365 är ett främsta mål för cyberbrottslingar, som kan utnyttja dem för att starta skadlig programvara eller ransomware attacker, eller sälja stulna inloggningsuppgifter till andra hackare för att använda för sina egna kampanjer.
Cyberbrottslingar letar efter smygande nya sätt att lura offer till att klicka på länkar till nätfiskewebbplatser som är utformade för att se ut som autentiska Microsoft-inloggningssidor, och av misstag lämnar över sina autentiseringsuppgifter.
En nyligen utförd kampanj detaljerad av cybersäkerhetsforskare på Abnormal Security skickat hundratals nätfiske-e-postmeddelanden som försökte använda QR-koder utformade för att kringgå e-postskydd och stjäla inloggningsinformation. Detta är känt som en “quishing” attack.
QR-koder kan vara användbara vid försök till skadlig aktivitet eftersom standardskydd för e-postsäkerhet som URL-skannrar inte tar upp någon indikation på en misstänkt länk eller bilaga i meddelandet.
Kampanjen drivs från tidigare komprometterade e-postkonton, vilket gör att angriparna kan skicka e-postmeddelanden från konton som används av riktiga personer på riktiga företag för att lägga till en aura av legitimitet till e-postmeddelandena, vilket kan uppmuntra offren att lita på dem. Det är inte säkert hur angriparna initialt får kontroll över de konton de använder för att distribuera nätfiske-e-postmeddelanden.
Nätfiske-e-postmeddelandena påstår sig innehålla ett röstmeddelande från ägaren av e-postkontot de skickas från och det potentiella offret uppmanas att skanna en QR-kod för att lyssna på inspelningen. Alla de analyserade QR-koderna skapades samma dag som de skickades.
SE: Cybersäkerhet: Låt oss bli taktiska (ZDNet specialfunktion)
En tidigare version av kampanjen försökte lura användare att klicka på en skadlig webbadress genom att gömma den bakom en ljudfil. Detta upptäcktes dock och identifierades som skadligt av antivirusprogram, vilket ledde till att angriparna gick över till att använda QR-koder.
Medan användning av QR-kodmetoden lättare kan kringgå e-postskydd, måste offret följa många fler steg innan de når den punkt där de av misstag kan ge sina inloggningsuppgifter till cyberbrottslingar. Till att börja med måste användaren skanna QR-koden i första hand – och om de öppnar e-postmeddelandet på en mobil kommer de att kämpa för att göra detta utan en andra telefon.
Men om offret inte misstänker misstänkt aktivitet och följer instruktionerna kan de av misstag ge sitt användarnamn och lösenord till cyberbrottslingar.
“Användningen av QR-koden utgör en unik utmaning för de säkerhetsplattformar som letar efter kända dåliga, eftersom dessa e-postmeddelanden kommer från legitima konton och inte innehåller några länkar, bara till synes godartade bilder som inte verkar innehålla några skadliga webbadresser “, sa Rachelle Chouinard, hotintelligence-analytiker på Abnormal Security.
“Det är bara genom att förstå att kontot är äventyrat – kombinerat med en förståelse för avsikten med e-postmeddelandet – som denna nya (och ganska innovativa) attacktyp kan upptäckas”, tillade hon.
För att skydda sig från att skicka e-postmeddelanden bör användare vara extremt försiktiga med att skanna QR-koder som presenteras i oväntade meddelanden, även om de ser ut att komma från kända kontakter. Att tillämpa multifaktorautentisering på Microsoft 365-konton kan också hjälpa till att skydda inloggningsuppgifter från att bli stulen.
MER OM CYBERSÄKERHET
E-postkompromiss för företag: 23 åtalade för “sofistikerad” bedrägeriDessa iranska hackare utgav sig som akademiker i ett försök att stjäla e-postlösenord Så här bekämpar Formel 1-teamen cyberattackerDessa nätfiske-e-postmeddelanden vill leverera lösenordsstöldande skadlig programvara till energiföretag och deras leverantörerMicrosoft 365: Detta nya ett-klick knappen låter företag rapportera bedrägerimeddelanden
Relaterade ämnen:
Security TV Data Management CXO Data Centers 