自今年 3 月以來,網擎資訊 email165 郵件防詐騙智慧中心觀察到一波新型態的 QR Code(Quick Response Code)釣魚信攻擊,在信件內文說明在職員工退稅資訊,請收件人盡快完成申報作業,並附上一張圖片,如果使用者以手機掃描,就會跳轉到釣魚網站,進而被竊取機敏資料。近日外媒也報導,美國知名能源公司遭攻擊,大量包含惡意 QR Code 的電子郵件成功繞過該公司的安全措施。這種利用二維碼誘騙人們存取惡意網站或下載病毒的釣魚攻擊,被稱為 Quishing,意思就是 QR 碼釣魚(QR Code phishing)。
其實早在 2022 年 1 月,美國聯邦調查局透過其網路犯罪通報中心(Internet Crime Complaint Center,IC3)發布的新聞稿指出,網路罪犯利用二維碼技術竊取受害者的資金。自新冠疫情(COVID-19)爆發以來,越來越多的店家使用 QR 碼進行交易。因為顧客都帶著智慧型手機,一些餐廳只提供電子菜單並直接線上點菜,紙本菜單只是備用。另外,有些電子錢包會使用二維碼以達成非接觸式支付。隨著人們在日常生活中越來越習慣於使用電子支付,犯罪份子也把 QR 碼當成釣魚攻擊的工具。
一般來說,釣魚信的攻擊流程是網路罪犯會事先精心打造極為相似的網站,接著將帶有惡意 QR 碼的郵件寄給擁有特殊權限的用戶,在郵件內文引導使用者透過手機掃描二維碼登入偽造的釣魚網站,使用 QR 碼是一種強迫用戶從電腦轉移到行動裝置的方法,一般而言,行動裝置的釣魚防護能力可能較為薄弱。一旦攻擊者成功竊取收件人的帳密資訊,就等同於得到特殊帳號的存取權限,犯罪份子可在未來針對企業組織發動更進階的攻擊。
那麼,為避免 QR Code 釣魚信詐騙,首先要建立正確的資安觀念,資安研究人員列出以下幾個重點提供企業作為參考:
● 掃描 QR 碼後,先用預覽功能檢查 URL 是否正確,因為釣魚 URL 可能與正確的 URL 非常相似。
● 經由二維碼連到的網站,若要求輸入個人帳密或財務資訊時要格外注意。
● 請勿透過掃碼的方式下載 App 應用程式,若要下載 App,請從應用程式商店下載以確保安全。
● 收到帶有電子支付方式的郵件時,若有任何疑慮,請主動聯繫商家並核對資訊。
由於市面上大部分的郵件安全匣道(Secure Email Gateways,SEG)產品,不會主動掃描郵件中的圖片,所以二維碼類型的釣魚信,可輕易繞過傳統的郵件防護檢查機制。網擎資訊 MailGates 研發團隊分析各種釣魚郵件樣本特徵,並進一步將 QR Code 分析引擎整合到 Anti-Spam 過濾機制中,可偵測帶有二維碼的釣魚信攻擊,無論是郵件內嵌圖片、Office 及 PDF 檔內嵌圖片,系統都可解析圖片中的資訊,並即時查詢 SophosLabs 全球威脅情資,比對 URL 是否為惡意釣魚網址,可有效阻攔 QR Code 釣魚攻擊。
資料來源:擷取自中央通訊社