Obraz zamiast linku: nowa luka w ochronie poczty elektronicznej

Gdzie obecnie spotykasz kody QR?

W menu.
Na plakatach wydarzeń.
W mailach od administracji.
Na parkingach.
W formularzach.

Kody QR są wszędzie. Są wygodne, szybkie i… właśnie dlatego stały się nowym narzędziem cyberprzestępców.

Dlaczego to problem?

Jak podaje Microsoft, każdego dnia do sektora edukacji trafia ponad 15 000 e-maili ze złośliwymi kodami QR. Amerykańska Federal Trade Commission wydała w tej sprawie oficjalne ostrzeżenie.
Tymczasem studenci, wykładowcy i pracownicy administracyjni skanują kody niemal bez zastanowienia.

Problem polega na tym, że większość tradycyjnych systemów ochrony poczty w ogóle ich nie widzi.

Jak działa phishing z użyciem kodów QR?

Schemat ataku jest prosty, a przez to bardzo skuteczny:

1. Atakujący wysyła wiarygodnie wyglądający e-mail (np. o  rejestracji, dostępie do systemu).

2. Zamiast linku w treści umieszcza kod QR.

3. Użytkownik skanuje go telefonem – omijając zabezpieczenia poczty i sieci.

4. Kod prowadzi do strony wyłudzającej dane lub pobierającej malware.

Nie ma linku do „najechania kursorem”, nie ma podejrzanego URL-a. Jest obrazek – a obrazki to słaby punkt klasycznych zabezpieczeń.

Dlaczego edukacja jest idealnym celem?

Środowiska akademickie są szczególnie podatne na tego typu ataki:

• kody QR są tam normą, a nie wyjątkiem,
• użytkownicy są przyzwyczajeni do szybkiego skanowania,
• zespoły IT są często niewielkie,
• liczba użytkowników idzie w tysiące.

Dlaczego klasyczne zabezpieczenia zawodzą?

Bo zostały zaprojektowane do analizy tekstu i linków, a nie obrazów.

• nie „czytają” kodów QR,
• nie analizują zawartości grafik,
• nie potrafią ocenić, dokąd prowadzi zaszyty w obrazie link.

Według Osterman Research ponad 75% organizacji doświadczyło skutecznych ataków opartych na obrazach lub kodach QR, a tylko niewielki odsetek był w stanie je w pełni wykryć.

Co naprawdę działa?

Skuteczna ochrona przed tego typu zagrożeniami wymaga zupełnie innego podejścia:

1. Analiza obrazu i wizji komputerowej

• dekodowanie kodów QR,
• rozpoznawanie fałszywych logo i zrzutów ekranów,
• analiza ukrytych adresów URL.

2. Analiza intencji nadawcy

• wykrywanie presji czasu i socjotechniki,
• identyfikacja nietypowych zachowań nadawców,
• analiza kontekstu komunikacji.

3. Zaawansowana analiza domen

• sprawdzanie wieku i reputacji domen,
• wykrywanie domen podszywających się pod instytucje,
• korelacja z globalnymi bazami zagrożeń.

Takie podejście oferuje m.in.IRONSCALES, który od początku projektowany był do wykrywania również zagrożeń wizualnych – nie tylko tekstowych.

QR kody to dopiero początek

Ataki oparte na obrazach będą się nasilać. Jeśli system nie „widzi” treści wiadomości, nie jest w stanie jej ocenić.