Μια πρόσφατη καμπάνια phishing καταχράται τους κωδικούς QR με νέο τρόπο, μετατρέποντας απλούς πίνακες HTML σε κώδικες εργασίας που ανακατευθύνουν τους χρήστες σε κακόβουλους ιστότοπους.
Αντί να ενσωματώσουν μια εικόνα QR στο σώμα του email, οι εισβολείς δημιουργούν τον κώδικα από εκατοντάδες μικροσκοπικά κελιά πίνακα, το καθένα με στυλ μαύρο ή άσπρο.
Το αποτέλεσμα εξακολουθεί να σαρώνει σαν έναν κανονικό κώδικα QR, αλλά πολλές άμυνες ηλεκτρονικού ταχυδρομείου δεν το αντιμετωπίζουν ως εικόνα.
Τα μηνύματα, που προβλήθηκαν μεταξύ 22 Δεκεμβρίου και 26 Δεκεμβρίου, ακολουθούν ένα μινιμαλιστικό σχέδιο: ένα σύντομο κείμενο γοητείας και ένα μόνο «σφιγμένο» μπλοκ κώδικα QR που προτρέπει το θύμα να το σαρώσει.
Κάθε κωδικός QR ανακατευθύνεται σε υποτομείς του lidoustoo[.]κλικ, χρησιμοποιώντας συχνά το όνομα τομέα του παραλήπτη στη διαδρομή URL για να φαίνεται πιο πειστικό, όπως hxxps[:]///. Αυτή η δομή βοηθά τον σύνδεσμο να φαίνεται λιγότερο ύποπτος με μια ματιά.
Ερευνητές του Internet Storm Center διάσημος ότι το ίδιο το QR αποδίδεται καθαρά μέσω HTML, χρησιμοποιώντας έναν πίνακα από κελιά 4×4 pixel με ασπρόμαυρα χρώματα φόντου.
.webp.jpeg "Χάκερ που χρησιμοποιούν κακόβουλους κωδικούς QR χωρίς εικόνα για να αποδώσουν επίθεση phishing μέσω πίνακα HTML")
Αυτή η προσέγγιση παρακάμπτει πολλές μηχανές επιθεώρησης QR, οι οποίες είναι συντονισμένες για να σαρώνουν πραγματικά συνημμένα εικόνας ή ενσωματωμένα δεδομένα εικόνας. Το email HTML, ωστόσο, μοιάζει με αβλαβή σήμανση διάταξης σε απλά φίλτρα περιεχομένου.
Σε ένα δείγμα που καταγράφηκε, το QR δημιουργείται χρησιμοποιώντας κώδικα παρόμοιο με το παρακάτω απόσπασμα, το οποίο ορίζει μια πυκνή μήτρα κελιών για την κωδικοποίηση του μοτίβου:
Ανίχνευση αποφυγής μέσω κωδικών QR που βασίζονται σε πίνακες HTML
Αυτή η τεχνική QR χωρίς εικόνα εκμεταλλεύεται ένα τυφλό σημείο σε πολλές ασφαλείς πύλες ηλεκτρονικού ταχυδρομείου.
Τα εργαλεία που μπορούν να αποκωδικοποιήσουν εικόνες QR δεν επιθεωρούν πάντα πίνακες HTML ως πιθανές γραφικές δομές, επομένως το κακόβουλο μοτίβο ξεφεύγει από τους ελέγχους που εστιάζουν στο QR.
Ταυτόχρονα, τα φίλτρα περιεχομένου βλέπουν μόνο τυπικές ετικέτες και χαρακτηριστικά χρώματος, όχι προφανείς λέξεις-κλειδιά phishing ή κατακερματισμούς εικόνας.
Για τους υπερασπιστές, η εκστρατεία είναι μια υπενθύμιση ότι οι προστασίες δεν μπορούν να βασίζονται μόνο στο πώς φαίνονται «συνήθως» οι απειλές. Τα ασφαλή φίλτρα email πρέπει να αντιμετωπίζουν τα πυκνά πλέγματα πινάκων ως πιθανές αποδόσεις QR, να εφαρμόζουν ανάλυση με επίγνωση του DOM και να επισημαίνουν ασυνήθιστες εξωτερικές ανακατευθύνσεις.
Παράλληλα, οι χρήστες θα πρέπει να εκπαιδεύονται ότι η σάρωση κωδικών QR από ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου είναι εξίσου επικίνδυνη με το να κάνουν κλικ σε άγνωστους συνδέσμους, ακόμη και όταν ο κώδικας φαίνεται απλός και καθαρός.
