Предвижданията за ръст на атаките чрез QR кодове се препотвърждават, но нови данни разкриват, че методът е „предпочитан“ сред кибер-престъпниците за нападения срещу бизнес-служители от управленско ниво – топ-шефовете или т.нар. „C-Suite”. Някои индустриални вертикали са много по-засегнати от други, сочат още последните анализи.
Налице е забележим ръст на атаките с QR кодове (известни също като куишинг). Методът се превръща в популярна тактика сред кибер-престъпниците без признаци на каквато и да е регресия, според данните на Abnormal Security, която преди дни публикува своя доклад за заплахите по електронна поща за първата половина на 2024 г.
Модерните QR кибератаки са гениална „адаптация“ на традиционния фишинг, при който нападателите манипулират получателите така, че да ги убедят да сканират злонамерени QR кодове с цел компрометиране на акаунти и извършване на допълнителни атаки.
Проучването на данните от втората половина на 2023 г. подчертава тревожна тенденция. Кибер-престъпниците особено усърдно се прицелват в ръководителите от висшия управленски ешелон. Топ-мениджърите е 42 пъти по-вероятно да станат жертва на измама с QR код, отколкото „средностатистическият“ служител!
Освен това има конкретни индустрии, които са „непропорционално“ силно засегнати. Както строителният, така и инженерният сектор, са подложени на 19 пъти повече атаки в сравнение с други индустрии.
Измамниците имат изявени предпочитания и от гледна точка на размер на бизнеса. Малките предприятия, включващи 500 или по-малко потребители на електронна поща, са обект на близо 20 пъти повече куишинг нападения.
В доклада си Abnormal Security подчертава, че кибер-престъпниците използват многофакторно удостоверяване и достъп до теми, свързани със споделени документи, за да реализират фишинг атаките с QR код. Въпросните два подхода представляват съответно 27% и 21% от всички атаки с QR код.
Измамниците ловко използват тези методи, за да убедят получателите да сканират измамния QR код, свързан с фалшив уебсайт, който обаче изглежда много реалистичен и „истински“. Там от жертвите биват поискани техните идентификационни данни за вход или други чувствителни подробности.
Мошениците могат да компрометират акаунта на даден служител, за да откраднат ценни данни, да си „постелят“ условия за следващи атаки или пък да се разгърнат хоризонтално из корпоративната мрежа.
„Злоупотребата с QR кодове е атрактивен режим на атака за участниците в заплахите, тъй като те са ефективни при избягване както на човешкото, така и на технологичното засичане”, коментира Майк Бритън, CISO в Abnormal.
„Служителите са инструктирани в продължение на много години да се въздържат от кликване върху подозрителни връзки. Но QR кодовете са нововъзникваща и по-малко известна злонамерена тактика. Тя не поражда същото ниво на паника“, допълва той.
От друга страна, машинното разпознаване на заплахата в QR кода също е слабо. За разлика от традиционните имейл заплахи, куишинг-посланията се отличават с минимално текстово съдържание и липса на видим URL. А това значително намалява вероятността автоматизираните системи за имейл-защита да се задействат.
Какво могат да направят главните отговорници по ИТ сигурността при това положение? Експертите препоръчват няколко неща:
- Образование: Уверете се, че потребителите са запознати с куишинга и ги убедете, че QR кодовете не са задължително безобидни и легитимни;
- Превенция: Автоматизираните системи, които филтрират имейли и URL адреси, трябва да бъдат проверени и защитени и срещу QR кодове;
- Реагиране: Трябва да има механизми за откриване и блокиране при компрометиране на акаунт;
- Валидиране: Включете „червени екипи“ и симулации с атаки с QR кодове.
Образование и информираност
Най-очевидната стъпка в защитата – обучението на всички не-технически лица в организацията – е от първостепенно значение. QR кодовете изглеждат безобидни и привлекателни. Всички в организацията и особено тези на най-атакуваните позиции трябва да разберат, че имейл с QR код трябва да се третира със същото ниво на подозрителност и предпазливост като всеки друг имейл от непознат източник.
Предотвратяване на фишинг с QR код
Обучението на служителите трябва да бъде придружено от „втвърдяване“ на технологичните защити. Изключително важно е да се гарантира, че системите за сканиране са конфигурирани да откриват QR кодове, да ги разглеждат като вградени или прикачени файлове и да търсят злонамерено съдържание.
Това е защита от „първа линия“ – QR кодовете, които никога не стигат до входящата кутия, не са заплаха. Създаването на бели/черни списъци на домейни на изпращачите на имейли с QR кодове е друга добра практика, която може да помогне при справяне с този вид фишинг.
Сигурност между устройства и мобилни устройства
QR кодовете често инициират взаимодействие между различни устройства, при което потребителят сканира код с мобилното си устройство. Привличането на потребителите към боравенето с мобилни устройства се превърна в предпочитана тактика за нападателите през последните години.
Атаките с QR код поставят ударение върху политиките за сигурност, свързани с използване на мобилни джаджи в работната среда и взаимодействията на различни типове устройства в цялостната корпоративна система.
AI като инструмент за защита
Можем да бъдем сигурни, че нападателите ще използват AI, за да генерират убедителни куишинг имейли, казват специалистите. Но и обратното важи. Използването на AI и технологии за разпознаване на изображения може да е полезно за откриването на куишинг атаките.
С помощта на AI може да се окаже лесно да се откриват сигнали за измама и злонамерено присъствие – такива като съмнителен подател, подозрителен размер на изображението, провокативно съдържание – и комбинацията от всичко това.
Червени екипи и симулации
Няма начин да разберем как се справяме без тестване. Една организация трябва да изпълнява симулирани атаки, за да проучи реагирането на своите служители, готовността на технологиите, подготвеността на екипа по сигурността.
Включването на QR кодове в тези симулации е важна стъпка. Този тип експеримент може също да помогне да се открие дали организацията е подготвена да реагира адекватно при пробив, особено по отношение на откриването на компрометиран акаунт и блокирането.