Kẻ tấn công lợi dụng mã QR trong tệp đính kèm email PDF để lừa đảo thông tin đăng nhập của công ty từ thiết bị di động
Nghiên cứu mối đe dọa đặc sắc Lừa đảo Mã QR Quishing Sophos X-Ops Thư rác lừa đảo bằng giáo mác x-ops
Các chuyên gia bảo mật luôn cảnh giác với các kỹ thuật đe dọa đang phát triển. Nhóm Sophos X-Ops gần đây đã điều tra các cuộc tấn công lừa đảo nhắm vào một số nhân viên của chúng tôi, một trong số họ đã bị lừa cung cấp thông tin của mình.
Những kẻ tấn công đã sử dụng cái gọi là quishing (một từ ghép của “mã QR” và “lừa đảo”). Mã QR là một cơ chế mã hóa có thể đọc được bằng máy, có thể đóng gói nhiều loại thông tin, từ các dòng văn bản đến dữ liệu nhị phân, nhưng hầu hết mọi người đều biết và nhận ra cách sử dụng phổ biến nhất hiện nay của chúng là một cách nhanh chóng để chia sẻ URL.
Chúng tôi trong ngành an ninh thường dạy mọi người khả năng chống lại lừa đảo bằng cách hướng dẫn họ xem kỹ URL trước khi nhấp vào trên máy tính. Tuy nhiên, không giống như URL ở dạng văn bản thuần túy, mã QR không dễ bị kiểm tra theo cùng một cách.
Ngoài ra, hầu hết mọi người sử dụng camera điện thoại để giải mã QR thay vì máy tính và việc xem xét kỹ lưỡng URL hiển thị trong giây lát trên ứng dụng camera của điện thoại có thể rất khó khăn – một phần vì URL có thể chỉ xuất hiện trong vài giây trước khi ứng dụng ẩn URL khỏi tầm nhìn và một phần vì kẻ tấn công có thể sử dụng nhiều kỹ thuật hoặc dịch vụ chuyển hướng URL khác nhau để che giấu hoặc làm tối nghĩa đích đến cuối cùng của liên kết được hiển thị trên giao diện của ứng dụng camera.
Cuộc tấn công quishing diễn ra như thế nào
Vào tháng 6 năm 2024, các tác nhân đe dọa đã gửi cho nhiều mục tiêu trong Sophos một tài liệu PDF có chứa mã QR dưới dạng tệp đính kèm email. Các email lừa đảo được tạo ra để trông giống như email hợp pháp và được gửi bằng các tài khoản email hợp pháp, bị xâm phạm và không phải của Sophos.
(Để làm rõ, đây không phải là lần đầu tiên chúng tôi thấy email lừa đảo; Nhân viên đã bị nhắm mục tiêu vào một loạt vào tháng 2 và một lần nữa vào tháng 5. Khách hàng đã bị nhắm mục tiêu bởi các chiến dịch tương tự trong ít nhất một năm trở lại đây. X-Ops quyết định tập trung vào các cuộc tấn công nhắm vào Sophos vì chúng tôi được phép điều tra và chia sẻ chúng.)
Dòng tiêu đề của tin nhắn khiến chúng có vẻ như xuất phát từ nội bộ công ty, dưới dạng một tài liệu được gửi qua email trực tiếp từ máy quét kết nối mạng trong văn phòng.
Email lừa đảo ban đầu nhắm vào một nhân viên Sophos có một số điểm không nhất quán và lỗi, bao gồm tên tệp đính kèm không khớp trong nội dung, thiếu văn bản trong chủ đề và nội dung và tên người gửi không khớp với định dạng thông thường của công ty
Một dấu hiệu đáng chú ý là tin nhắn email được cho là xuất phát từ máy quét có tên tệp cho tài liệu trong nội dung tin nhắn, nhưng trong tất cả các tin nhắn chúng tôi nhận được ngày hôm đó, tên tệp này không khớp với tên tệp của tài liệu được đính kèm trong email.
Ngoài ra, một trong những tin nhắn có dòng tiêu đề là “Đã chuyển tiền đến”, mà máy quét văn phòng tự động sẽ không sử dụng, vì đó là cách diễn giải tổng quát hơn về nội dung của tài liệu được quét. Tin nhắn còn lại có dòng tiêu đề là “ Thông tin độc quyền về phúc lợi việc làm và/hoặc kế hoạch nghỉ hưu đính kèm= ” có vẻ như bị cắt ở cuối.
Trong email thứ hai nhắm vào một nhân viên khác, tên tệp đính kèm lại không khớp với tên trong nội dung. Máy quét sẽ tạo dòng chủ đề đó như thế nào?
Tài liệu PDF có logo Sophos, nhưng ngoài ra thì rất đơn giản. Văn bản xuất hiện bên dưới mã QR có nội dung “Tài liệu này sẽ hết hạn sau 24 giờ”. Nó cũng chỉ ra mã QR trỏ đến Docusign, nền tảng chữ ký hợp đồng điện tử. Những đặc điểm này khiến thông điệp có cảm giác cấp bách giả tạo.
Tài liệu quishing gốc được gửi đến một nhân viên của Sophos
Khi mục tiêu quét mã QR bằng điện thoại của họ, mục tiêu được chuyển hướng đến một trang lừa đảo trông giống như hộp thoại đăng nhập Microsoft365, nhưng được kẻ tấn công kiểm soát. URL có một chuỗi truy vấn ở cuối chứa địa chỉ email đầy đủ của mục tiêu, nhưng kỳ lạ thay, địa chỉ email có một chữ cái viết hoa ngẫu nhiên, khác biệt được thêm vào trước địa chỉ.
Mã QR được liên kết đến một tên miền được Cloudflare bảo vệ và chứa địa chỉ email của mục tiêu, được thêm một chữ cái in hoa không mong muốn
Trang này được thiết kế để đánh cắp cả thông tin đăng nhập và phản hồi MFA bằng một kỹ thuật được gọi là Kẻ thù ở giữa (AiTM).
Trang lừa đảo đã lấy được cả mật khẩu đăng nhập và mã thông báo MFA do mục tiêu nhập vào và trông giống hệt hộp thoại đăng nhập Microsoft365 chuẩn
URL được sử dụng trong cuộc tấn công không được Sophos biết đến vào thời điểm email đến. Trong mọi trường hợp, điện thoại di động của mục tiêu không được cài đặt tính năng nào có thể lọc lượt truy cập vào một trang web độc hại đã biết, chứ đừng nói đến trang web này, vốn không có lịch sử uy tín nào liên quan đến trang web này vào thời điểm đó.
Cuộc tấn công đã xâm phạm thành công thông tin xác thực của nhân viên và mã thông báo MFA thông qua phương pháp này. Sau đó, kẻ tấn công đã cố gắng sử dụng thông tin này để truy cập vào ứng dụng nội bộ bằng cách chuyển tiếp thành công mã thông báo MFA bị đánh cắp gần như theo thời gian thực, đây là một cách mới để lách yêu cầu MFA mà chúng tôi thực thi.
Các biện pháp kiểm soát nội bộ đối với các khía cạnh khác về cách thức hoạt động của quy trình đăng nhập mạng đã ngăn chặn kẻ tấn công truy cập vào bất kỳ thông tin hoặc tài sản nội bộ nào.
Như chúng tôi đã đề cập trước đó, loại tấn công này đang trở nên phổ biến hơn trong số khách hàng của chúng tôi. Mỗi ngày, chúng tôi nhận được nhiều mẫu PDF quishing mới nhắm vào các nhân viên cụ thể tại các tổ chức.
Một tệp PDF bị đánh cắp nhận được vào tuần trước khi xuất bản bài viết này, nhắm vào một khách hàng của Sophos, có vẻ như là một liên kết đến sổ tay nhân viên và bao gồm tên doanh nghiệp, thương hiệu của khách hàng, tên và địa chỉ email của mục tiêu.
Quishing như một dịch vụ
Các mục tiêu nhận được email do một tác nhân đe dọa gửi đi rất giống với các tin nhắn tương tự được gửi bằng nền tảng dịch vụ lừa đảo (PhaaS) có tên là ONNX Store , mà một số nhà nghiên cứu khẳng định là phiên bản đổi tên của bộ công cụ lừa đảo Caffeine . ONNX Store cung cấp các công cụ và cơ sở hạ tầng để chạy các chiến dịch lừa đảo và có thể truy cập thông qua bot Telegram.
Cửa hàng ONNX tận dụng các tính năng CAPTCHA chống bot và proxy địa chỉ IP của Cloudflare để gây khó khăn hơn cho các nhà nghiên cứu trong việc xác định các trang web độc hại, làm giảm hiệu quả của các công cụ quét tự động và làm lu mờ nhà cung cấp dịch vụ lưu trữ cơ bản.
Cửa hàng ONNX cũng sử dụng mã JavaScript được mã hóa có khả năng tự giải mã trong quá trình tải trang web, cung cấp thêm một lớp bảo mật để chống lại các trình quét chống lừa đảo.
Đánh bại mối đe dọa đang gia tăng
Những kẻ tấn công thực hiện các cuộc tấn công lừa đảo sử dụng mã QR có thể muốn bỏ qua các loại tính năng bảo vệ mạng trong phần mềm bảo mật điểm cuối có thể chạy trên máy tính. Một nạn nhân tiềm năng có thể nhận được tin nhắn lừa đảo trên máy tính, nhưng có nhiều khả năng sẽ truy cập trang lừa đảo trên điện thoại ít được bảo vệ của họ.
Vì mã QR thường được quét bằng thiết bị di động thứ cấp nên các URL mà mọi người truy cập có thể vượt qua các biện pháp phòng vệ truyền thống, chẳng hạn như chặn URL trên máy tính để bàn hoặc máy tính xách tay có cài đặt phần mềm bảo vệ điểm cuối hoặc kết nối thông qua tường lửa chặn các địa chỉ web độc hại đã biết.
Chúng tôi đã dành khá nhiều thời gian để nghiên cứu bộ sưu tập mẫu thư rác của mình để tìm ra các ví dụ khác về các cuộc tấn công quishing. Chúng tôi thấy rằng khối lượng các cuộc tấn công nhắm vào vectơ đe dọa cụ thể này dường như đang tăng lên cả về khối lượng và mức độ tinh vi của giao diện tài liệu PDF.
Bộ tệp đính kèm ban đầu vào tháng 6 là các tài liệu khá đơn giản, chỉ có một logo ở trên cùng, một mã QR và một ít văn bản nhằm tạo cảm giác cấp bách để truy cập vào URL được mã hóa trong khối mã QR.
Tuy nhiên, trong suốt mùa hè, các mẫu đã trở nên tinh tế hơn, với sự nhấn mạnh hơn vào thiết kế đồ họa và giao diện của nội dung hiển thị trong PDF. Các tài liệu Quishing hiện trông tinh tế hơn so với những gì chúng ta thấy ban đầu, với văn bản tiêu đề và chân trang được tùy chỉnh để nhúng tên của cá nhân mục tiêu (hoặc ít nhất là theo tên người dùng cho tài khoản email của họ) và/hoặc tổ chức mục tiêu nơi họ làm việc bên trong PDF.
Một trong những tài liệu quishing trông chuyên nghiệp hơn
Mã QR cực kỳ linh hoạt và một phần thông số kỹ thuật của mã QR có nghĩa là có thể nhúng đồ họa vào giữa khối mã QR.
Một số mã QR trong các tài liệu giả mạo gần đây đã lạm dụng thương hiệu Docusign như một thành phần đồ họa trong khối mã QR, gian lận bằng cách sử dụng uy tín của công ty đó để lừa đảo người dùng.
Để rõ ràng, Docusign không gửi email liên kết mã QR cho khách hàng hoặc khách hàng đang ký tài liệu. Theo sách trắng Chống lừa đảo của DocuSign (PDF), thương hiệu của công ty bị lạm dụng thường xuyên đến mức công ty đã thiết lập các biện pháp bảo mật trong email thông báo của mình .
Một tệp PDF giả mạo có tên người dùng email của mục tiêu được nhúng vào tài liệu, cũng như tên công ty nơi họ làm việc và địa chỉ email đầy đủ của họ trong phần văn bản chân trang và logo DocuSign ở giữa mã QR
Để rõ ràng, sự hiện diện của logo này bên trong mã QR không thể truyền tải bất kỳ tính hợp pháp nào cho liên kết mà nó trỏ đến và không nên mang lại cho nó bất kỳ độ tin cậy nào. Nó chỉ là một tính năng thiết kế của thông số kỹ thuật mã QR, rằng đồ họa có thể xuất hiện ở giữa chúng.
Định dạng của liên kết mà mã QR trỏ đến cũng đã phát triển. Trong khi nhiều URL dường như trỏ đến các tên miền thông thường đang được sử dụng cho mục đích xấu, kẻ tấn công cũng đang tận dụng nhiều kỹ thuật chuyển hướng khác nhau để che giấu URL đích.
Một nhân viên của Sophos đã nhận được tệp PDF này vào tháng 9 năm 2024. Tệp PDF này tham chiếu đến địa chỉ email của họ và ghi “Đây là thông báo dịch vụ bắt buộc” ở đầu và sử dụng ngữ pháp kỳ lạ ở những nơi khác
Ví dụ, một email lừa đảo được gửi đến một nhân viên Sophos khác trong tháng qua đã liên kết đến một liên kết Google được định dạng khéo léo, khi nhấp vào, sẽ chuyển hướng khách truy cập đến trang web lừa đảo. Thực hiện tra cứu URL trong trường hợp này sẽ dẫn đến trang web được liên kết trực tiếp từ mã QR (google.com) được phân loại là an toàn. Chúng tôi cũng đã thấy các liên kết trỏ đến các dịch vụ liên kết ngắn được sử dụng bởi nhiều trang web hợp pháp khác.
Mã QR trỏ đến một URL của Google quá dài để có thể xem toàn bộ từ trong ứng dụng camera trên điện thoại và sẽ chuyển hướng người dùng đến trang web lừa đảo nếu mở
Bất kỳ giải pháp nào có mục đích chặn và dừng việc tải các trang web lừa đảo đều phải giải quyết được bài toán theo dõi chuỗi chuyển hướng đến đích cuối cùng, sau đó thực hiện kiểm tra uy tín của trang web đó, cùng với việc giải quyết thêm sự phức tạp của những kẻ lừa đảo và kẻ lừa đảo ẩn trang web của chúng đằng sau các dịch vụ như CloudFlare.
Email lừa đảo gần đây nhất được gửi tới một nhân viên của Sophos có tệp đính kèm PDF với nội dung khá mỉa mai – nó có vẻ như được gửi bởi một công ty có hoạt động kinh doanh chính là đào tạo và dịch vụ chống lừa đảo.
Tệp PDF đính kèm trong email lừa đảo gần đây nhắm vào Sophos có thông tin chân trang dường như bắt chước các thông báo pháp lý từ một công ty có tên là Egress, một công ty con của công ty đào tạo chống lừa đảo KnowBe4. Tuy nhiên, tên miền mà mã QR trỏ đến thuộc về một công ty tư vấn của Brazil không liên quan gì đến KnowBe4. Có vẻ như trang web của các nhà tư vấn đã bị xâm phạm và được sử dụng để lưu trữ một trang lừa đảo.
Một tài liệu lừa đảo sử dụng ngôn ngữ pháp lý ngụ ý rằng nó xuất phát từ một công ty đào tạo chống lừa đảo và được “Hỗ trợ bởi Sophos(c)”
Tin nhắn đó cũng chứa nội dung chính khiến nó có vẻ như là một tin nhắn tự động, mặc dù có một số lỗi chính tả và lỗi rất kỳ lạ. Giống như các tin nhắn trước, nội dung chính chỉ ra tên tệp cho tệp đính kèm không khớp với tên tệp đính kèm trong email.
Email sau đó có nội dung “mọi thắc mắc xin gửi đến người liên hệ Wayne Center của bạn”, có lẽ là Batman
Chiến thuật MITRE ATT&CK được quan sát
| Chiến thuật ATT&CK | Kỹ thuật ATT&CK |
| TRUY CẬP BAN ĐẦU | Phishing:: Tệp đính kèm Spear Phishing [T1566.001] |
| THỰC HIỆN | Thực hiện của người dùng:: Liên kết độc hại [T1204.001] |
| TRUY CẬP THÔNG TIN | Đánh cắp Cookie phiên web [T1539] |
| Kẻ thù ở giữa [T1557] | |
| Chụp đầu vào:: Chụp cổng thông tin web [T1056.003] | |
| PHÒNG THỦ TRÁNH TRÁNH | Mạo danh [T1656] |
| Tệp hoặc thông tin bị che giấu [T1027] | |
| CHỈ HUY VÀ KIỂM SOÁT | Mã hóa dữ liệu: Mã hóa tiêu chuẩn [T1132.001] |
| Proxy: Mặt tiền tên miền [T1090.004] |
Khuyến nghị và hướng dẫn cho quản trị viên CNTT
Nếu bạn đang phải đối phó với một cuộc tấn công lừa đảo sử dụng mã QR tương tự trong môi trường doanh nghiệp, chúng tôi có một số gợi ý về cách đối phó với các loại tấn công này.
- Nội dung tập trung vào HR, bảng lương hoặc phúc lợi : Hầu hết các email lừa đảo nhắm vào Sophos đều sử dụng giấy tờ của nhân viên như một mánh khóe kỹ thuật xã hội. Các tin nhắn có dòng tiêu đề chứa các cụm từ như “kế hoạch tài chính năm 2024”, “quyền lợi mở đăng ký”, “chi trả cổ tức”, “thông báo thuế” hoặc “thỏa thuận hợp đồng”. Tuy nhiên, không có tin nhắn nào đến từ địa chỉ email của Sophos. Hãy đặc biệt chú ý đến các tin nhắn có nội dung tương tự và đảm bảo rằng tất cả các tin nhắn hợp pháp liên quan đến các chủ đề này đều đến từ một địa chỉ email nội bộ trong tổ chức của bạn, thay vì dựa vào các công cụ nhắn tin của bên thứ ba.
- Mobile Intercept X: Intercept X dành cho thiết bị di động ( Android / iOS ) bao gồm Secure QR Code Scanner, có sẵn thông qua menu hamburger ở góc trên bên trái của ứng dụng. Secure QR Code Scanner bảo vệ người dùng bằng cách kiểm tra các liên kết mã QR với cơ sở dữ liệu về các mối đe dọa đã biết và cảnh báo bạn nếu dịch vụ danh tiếng URL của Sophos biết một trang web là độc hại. Tuy nhiên, nó có hạn chế là không theo dõi các liên kết thông qua chuỗi chuyển hướng.
Máy quét mã QR an toàn Intercept X dành cho thiết bị di động phát hiện ra điềm xấu
- Theo dõi cảnh báo đăng nhập rủi ro: Tận dụng Entra ID Protection của Microsoft hoặc công cụ quản lý danh tính cấp doanh nghiệp tương tự để phát hiện và ứng phó với các rủi ro dựa trên danh tính. Các tính năng này giúp xác định hoạt động đăng nhập bất thường có thể chỉ ra lừa đảo hoặc các hoạt động độc hại khác.
- Triển khai Truy cập có điều kiện: Truy cập có điều kiện trong Microsoft Entra ID cho phép các tổ chức thực thi các biện pháp kiểm soát truy cập cụ thể dựa trên các điều kiện như vị trí người dùng, trạng thái thiết bị và mức độ rủi ro, tăng cường bảo mật bằng cách đảm bảo chỉ những người dùng được ủy quyền mới có thể truy cập tài nguyên. Bất cứ khi nào có thể, các quy trình phòng thủ chuyên sâu tương tự nên được xem xét như một biện pháp dự phòng cho các mã thông báo MFA có khả năng bị xâm phạm.
- Bật ghi nhật ký truy cập hiệu quả: Mặc dù chúng tôi khuyên bạn nên bật tất cả các tính năng ghi nhật ký được Microsoft mô tả ở đây , nhưng chúng tôi đặc biệt khuyên bạn nên bật kiểm tra, đăng nhập, bảo vệ danh tính và nhật ký hoạt động biểu đồ, tất cả đều đóng vai trò quan trọng trong sự cố này.
- Triển khai bộ lọc email nâng cao: Sophos đã phát hành giai đoạn 1 của Central Email QR phish protection , phát hiện mã QR được nhúng trực tiếp vào email. Tuy nhiên, trong sự cố này, mã QR được nhúng trong tệp đính kèm PDF của email, khiến việc phát hiện trở nên khó khăn. Giai đoạn 2 của Central Email QR code protection sẽ bao gồm quét tệp đính kèm để tìm mã QR và dự kiến phát hành trong quý đầu tiên của năm 2025.
- Thu hồi theo yêu cầu : Sophos Central Khách hàng email sử dụng Microsoft365 làm nhà cung cấp dịch vụ email của họ có thể sử dụng tính năng có tên là thu hồi theo yêu cầu để tìm (và xóa) thư rác hoặc thư lừa đảo từ các hộp thư đến khác trong tổ chức của họ tương tự như các thư đã được xác định là độc hại.
- Sự cảnh giác và báo cáo của nhân viên: Việc nâng cao sự cảnh giác và báo cáo kịp thời của nhân viên là rất quan trọng để giải quyết các sự cố lừa đảo. Chúng tôi khuyên bạn nên triển khai các buổi đào tạo thường xuyên để nhận biết các nỗ lực lừa đảo và khuyến khích nhân viên báo cáo ngay lập tức bất kỳ email đáng ngờ nào cho nhóm ứng phó sự cố của họ.
- Thu hồi các phiên người dùng đang hoạt động đáng ngờ: Có một sổ tay hướng dẫn rõ ràng về cách thức và thời điểm thu hồi các phiên người dùng có thể cho thấy dấu hiệu xâm phạm. Đối với các ứng dụng O365, hướng dẫn này từ Microsoft rất hữu ích.
Hãy đối xử tốt với con người của bạn
Ngay cả trong điều kiện tốt nhất và với lực lượng lao động được đào tạo bài bản như nhân viên tại Sophos, nhiều hình thức lừa đảo trực tuyến vẫn là mối đe dọa dai dẳng và ngày càng nguy hiểm hơn. May mắn thay, với mức độ bảo vệ nhiều lớp phù hợp, giờ đây có thể giảm thiểu ngay cả những thứ có khả năng nghiêm trọng như một cuộc tấn công lừa đảo trực tuyến thành công.
Nhưng cũng quan trọng như các mẹo phòng ngừa kỹ thuật nêu trên là các yếu tố con người của một cuộc tấn công. Việc xây dựng một nền văn hóa và môi trường làm việc nơi nhân viên được trao quyền, khuyến khích và cảm ơn vì đã báo cáo hoạt động đáng ngờ và nơi nhân viên an ninh thông tin có thể nhanh chóng điều tra, có thể tạo ra sự khác biệt giữa một nỗ lực lừa đảo đơn thuần và một vụ vi phạm thành công.
