分享发现 二维码网络钓鱼攻击(Quishing):需要了解什么以及如何保持安全

henry.chen · February 29, 2024 · 10 hits

如果您一想到网络钓鱼就立即想到电子邮件,那么您并不孤单。然而,一种新形式的基于文本的诈骗正在掀起波澜,其中最突出的是来自美国邮政局的看似合法的文本,它让收件人知道他们的“包裹”已到达仓库。要接收包裹,它会指示用户单击链接以输入其交付信息。

这只是尝试网络钓鱼攻击的众多示例之一,网络钓鱼攻击是一种骗局,攻击者试图让用户泄露个人信息(例如登录凭据、信用卡号码或社会安全号码),或者诱骗用户接受操作,例如下载恶意软件或汇款。由于成本相对较低且成功率较高,网络钓鱼攻击是当今破坏在线帐户的最常见方式。

虽然大多数网络钓鱼攻击是通过电子邮件进行的,包括欺骗性链接或附件,但其他攻击是通过短信(如上面提到的)甚至电话发送的。网络钓鱼攻击可能看起来像是来自熟悉品牌的真实电子邮件、消息或网站;事实上,44% 的人认为,如果电子邮件来自值得信赖的品牌,那么它就是“安全”的。

现在,另一种新型网络钓鱼攻击正在兴起,其来源出乎意料:二维码。

什么是二维码以及它们如何用于网络钓鱼?

QR 码是一种显示在方形网格中的条形码,可以通过相机(通常在智能手机上)读取。QR 码可以存储纯文本或链接来下载应用程序、访问产品信息或菜单、发送或接收付款、加入 Wi-Fi 网络、登录帐户(例如忠诚度计划)或支持移动票务,仅举几个例子一些。

2022 年,有8340 万美国智能手机用户扫描了二维码,预计到 2025 年这一数字将达到 9950 万。毫不奇怪,随着二维码越来越受欢迎,它们已成为网络钓鱼攻击的最新“诱饵”,以此来利用二维码。用户使用它们变得更加舒适。

二维码网络钓鱼攻击也称为“quishing”,利用物理或数字二维码引诱用户访问旨在窃取敏感信息或渗透设备并用恶意软件感染设备的虚假网站。

与其他类型的网络钓鱼一样,这种攻击利用了信任——对二维码本身以及所附品牌的信任。此外,许多攻击依赖于围绕假定的利益(例如竞赛)或不采取行动的后果(例如锁定帐户)营造一种紧迫感。与 2023 年 1 月至 8 月的累计数字相比,2023 年 9 月的消除攻击增加了 51% 。此外,恶意二维码占 2023 年 9 月扫描的所有二维码的 9.5%

基于二维码的网络钓鱼攻击是什么样的?

二维码网络钓鱼利用一种广泛使用的技术形式,引发某种形式的“信任”,攻击者要么将新的恶意二维码放置到物理位置,使其显得可信,要么将恶意二维码作为电子邮件或文本网络钓鱼的一部分发送攻击。让我们看一些例子:

1、实体二维码

银行门上贴有二维码。扫描二维码后,用户会要求登录其银行账户,参加竞赛,赢取 100 美元,奖金将自动存入其银行账户。该网站看起来带有银行详细信息。

然而,这个二维码实际上是欺诈性的,输入的所有银行详细信息现在都可以用于欺诈。

2、数字二维码

用户收到来自他们最喜欢的零售商的电子邮件,其中包含用于注册新忠诚度计划的二维码。当用户扫描计算机屏幕上的代码时,系统会提示他们输入个人详细信息,包括姓名、地址、用户名和密码。

同样,该邮件包含欺诈性二维码,属于网络钓鱼攻击;与所有其他形式的网络钓鱼攻击类似,只是利用新技术。这些详细信息现在可用于访问零售商网站以及其中存储的任何信息,包括信用卡详细信息。如果该密码在其他网站上重复使用(39% 的人承认这样做),那么它可能会被用于其他欺诈情况。此外,个人信息可能会在黑市上出售,以供其他人在未来的网络钓鱼攻击中利用。

如何保护自己免受二维码网络钓鱼攻击?

1、考虑并验证来源是否合法

虽然 QR 码本身无法被劫持,但很容易在合法来源上贴上新的欺诈性 QR 码贴纸。应谨慎对待基于贴纸、无品牌或放置在不寻常位置的 QR 码。不应信任来自陌生来源的二维码。应始终极其谨慎地对待通过电子邮件发送的二维码,由第三方读取的移动门票(例如音乐会门票)除外。

如有疑问,请忽略响应二维码提示的“简单”方式,而是通过直接从标准网站联系品牌、致电客户服务或亲自询问员工来验证二维码是否合法。

2、注意分享个人信息

有效保护个人和财务信息并信任网站对许多人来说都是一项挑战。事实上,大约32% 的人不相信自己能够发现欺诈或假冒零售商网站。

随着网络钓鱼攻击变得越来越难以识别和使用二维码等新的诱骗策略,请警惕那些要求提供个人信息、登录信息或财务详细信息的网站。

3、注意付款方式

虽然方便,但并非所有支付方式都受到同等保护。避免使用可疑的付款方式,例如 PayPal、Venmo 或电子转账,并避免使用不受保护的借记卡。进行任何购买时,请选择具有消费者保护的信用卡。切勿因二维码交互而泄露银行信息或电汇资金。

4、在您的帐户中启用强大的、防网络钓鱼的 MFA

尽可能让帐户使用多重身份验证 (MFA),以使网络钓鱼攻击更难得逞。虽然任何形式的 MFA 都比仅使用用户名和密码更好,但并非所有 MFA 都是一样的。寻找防网络钓鱼的 MFA 选项,例如设备绑定密钥(包括 YubiKey 等硬件安全密钥),为在线帐户提供高级保护。安全密钥通过要求您知道的东西(密码)和您拥有的东西(安全密钥)插入设备并物理接触它来获取帐户访问权限来阻止网络钓鱼攻击。

对于那些尚不支持反网络钓鱼方法的网站,请使用信誉良好的密码管理器(例如 1Password)为每个网站生成强大的、唯一的凭据,并使设备之间的登录变得更容易。

转自:https://www.yubico.com/blog/qr-code-phishing-attacks-quishing-what-to-know-and-how-to-stay-secure/

No Reply at the moment.
You need to Sign in before reply, if you don't have an account, please Sign up first.