- Poruka
- 25.129
QR Phishing ili Quishing je tip phishing cyber napada koji koristi QR kod kako bi prevario zrtvu odavajuci svoje informacije ili kako bi download-ovao malware.
QR Phishing se razlikuje od tradicionalnig phishing metoda jer zrtva u mejlu dobije umesto linka QR kod kojeg treba da skenira najcesce svojim telefonom nakon cega njihov uredjaj ocita maliciozni link kojeg koristi kao URL.
Zbog cega je problematican i efikasniji od tradicionalnih napada?
Za razliku od tradicionalnih phishing metoda QR kod sakriva link u sebi i otezava njegovo detektovanje od strane spam filtera i SEG zastite jer koristi sliku koja mora biti dekodirana kamerom u URL sto je malo problem kod nekih antivirusnih resenja.
Iznecu realan scenario kako takav jedan phish moze da izgleda.
Slika 1. Haker salje klasican spear-phishing mail ciljanoj osobi koji se tice nagodbe nekog spora, zrtva je pravnik i ocigledno da je haker dobro informisan (odradio je skolski Reconnaissance). U mejlu se navodi da se u attachmentu nalazi dokument koji je veoma vazan povodom ove prilike i dokument je u pdf formatu.
U konkretnom slucaju mejl adresa je cenzurisana no ona nije toliko ni bitna jer je u mnogim slucajevima ta adresa validna. Razlog moze biti da je adresa spoofed (haker je prevario mejl sistem modifikacijom header-a i simulira realnu mejl adresu) ili je jednostavno kompromitovana, vlasnik te adrese nije svestan da je hakovan i haker salje mejlove kolegama/klijentima u njeno / njegovo ime.
Slika 2. Kada otvorimo konkretan pdf dokument za koji se navodi da je od bitnog znacaja u njemu ce se nalaziti QR kod za koji se navodi da je neophodno njegovo skeniranje u sto kracem roku kako bi zrtva navodno mogla da pogleda dokument i elektronski ga potpise.
Ovo je inace prelomni momenat i sve dok kod nije skeniran sve je u redu, nema kompromitovanja, i zrtva je bezbedna, no ako se odluci za skeniranje koda kako bi videla o cemu je rec instiktivno ce se posluziti svojim telefonom (kao i kada skeniramo QR kodove npr. u kaficu ili na aerodromu) , najcesce privatnim telefonom i u mnogim situacijama nece obracati paznju na link.
Zasto je ovo bitno, kada zaposleni upotrebi svoj licni uredjaj za skeniranje QR koda psiholoski ima manju konentraciju da obrati paznju koji link potvara a istovremeno upotrebom licnog uredjaja izlazi iz vidokruga cyber security detection sistema koji imaju nadzor nad korporativnim uredjajima i racunarima, samim tim poseta ovog linka od strane zrtve je nevidljiva cybersecurity timovima i SIEM (EDR, XDR, IDR) sistemi za detektovanje ne vide nista. Istovremeno sam mejl sa QR kodom veoma cesto zaobilazi mail detekciju pogotovo u zastarelim SEG sigurnosnim sistemima koji nisu u stanju da prepoznaju maliciozni QR link.
Slika 3 . Ovo je inace stranica koja se lodira nakon skeniranja koda koja je verna kopija Outlook-u.
Klasican indikator phishing Credential Harvester stranice, ma koliko ona izgledala verno glavna indikacija je sama adresa u address bar-u koja nema veze sa Microsoft servisom jer je u pitanju domen r2.dev, nakon unosa mail adrese i lozinke zrtva nesvesno salje kredencijale suprotnoj strani koja to moze upotrebiti na bezbroj nacina.
Haker nakon toga vec zna lozinku zrtve sto moze zloupotrebiti na nekim pod sistemima koji su mahom vezani recimo za Aktivni direktorijum i dele lozinke gde ce pokusati da iskoristi slabost nekog protokola koji ne zahteva oauth2 autentikativni protokol ili ce eventualno odraditi 2fa spoof AiTM Adversary in the middle metodom, ili recimo MFA flood gde ce haker bombardovati zrtvu zahtevima na autentikatoru u nadi da ce zrtva slucajno prihvatiti autentikaciju sto je inace cest slucaj.
Nakon toga zloupotrebe su razne, infiltration, exploitation, exfiltration, ili damage.
Najbolja odbrana od ovakvih napada jeste sama edukacija zaposlenih, u vidu cestih treninga, simulacija, programa nagrada jer je edukacija kod nas u Srbiji veoma niska i generalno su zaposleni kod nas dobrom merom nepismeni u ovoj sferi zbog cega se pogotovo u poslednje vreme sve cesce i cesce desavaju kompromitovanja i stete u vecim domacim kompanijama kao sto je recimo skoro bio slucaj sa Postom koja je bila zrtva Ransomware-a, sto je inace bruka Ili sve cesci "padovi sistema" o kojima se cesto pise.
Drugi nivo zastite jeste upotreba vestacke inteligencije u SEG sistemima koja definitivno u ogromnoj meri identifikuje ovakve prevare i pre nego sto mail stigne zrtvi u sanduce.
QR Phishing se razlikuje od tradicionalnig phishing metoda jer zrtva u mejlu dobije umesto linka QR kod kojeg treba da skenira najcesce svojim telefonom nakon cega njihov uredjaj ocita maliciozni link kojeg koristi kao URL.
Zbog cega je problematican i efikasniji od tradicionalnih napada?
Za razliku od tradicionalnih phishing metoda QR kod sakriva link u sebi i otezava njegovo detektovanje od strane spam filtera i SEG zastite jer koristi sliku koja mora biti dekodirana kamerom u URL sto je malo problem kod nekih antivirusnih resenja.
Iznecu realan scenario kako takav jedan phish moze da izgleda.
Slika 1. Haker salje klasican spear-phishing mail ciljanoj osobi koji se tice nagodbe nekog spora, zrtva je pravnik i ocigledno da je haker dobro informisan (odradio je skolski Reconnaissance). U mejlu se navodi da se u attachmentu nalazi dokument koji je veoma vazan povodom ove prilike i dokument je u pdf formatu.
U konkretnom slucaju mejl adresa je cenzurisana no ona nije toliko ni bitna jer je u mnogim slucajevima ta adresa validna. Razlog moze biti da je adresa spoofed (haker je prevario mejl sistem modifikacijom header-a i simulira realnu mejl adresu) ili je jednostavno kompromitovana, vlasnik te adrese nije svestan da je hakovan i haker salje mejlove kolegama/klijentima u njeno / njegovo ime.
Slika 2. Kada otvorimo konkretan pdf dokument za koji se navodi da je od bitnog znacaja u njemu ce se nalaziti QR kod za koji se navodi da je neophodno njegovo skeniranje u sto kracem roku kako bi zrtva navodno mogla da pogleda dokument i elektronski ga potpise.
Ovo je inace prelomni momenat i sve dok kod nije skeniran sve je u redu, nema kompromitovanja, i zrtva je bezbedna, no ako se odluci za skeniranje koda kako bi videla o cemu je rec instiktivno ce se posluziti svojim telefonom (kao i kada skeniramo QR kodove npr. u kaficu ili na aerodromu) , najcesce privatnim telefonom i u mnogim situacijama nece obracati paznju na link.
Zasto je ovo bitno, kada zaposleni upotrebi svoj licni uredjaj za skeniranje QR koda psiholoski ima manju konentraciju da obrati paznju koji link potvara a istovremeno upotrebom licnog uredjaja izlazi iz vidokruga cyber security detection sistema koji imaju nadzor nad korporativnim uredjajima i racunarima, samim tim poseta ovog linka od strane zrtve je nevidljiva cybersecurity timovima i SIEM (EDR, XDR, IDR) sistemi za detektovanje ne vide nista. Istovremeno sam mejl sa QR kodom veoma cesto zaobilazi mail detekciju pogotovo u zastarelim SEG sigurnosnim sistemima koji nisu u stanju da prepoznaju maliciozni QR link.
Slika 3 . Ovo je inace stranica koja se lodira nakon skeniranja koda koja je verna kopija Outlook-u.
Klasican indikator phishing Credential Harvester stranice, ma koliko ona izgledala verno glavna indikacija je sama adresa u address bar-u koja nema veze sa Microsoft servisom jer je u pitanju domen r2.dev, nakon unosa mail adrese i lozinke zrtva nesvesno salje kredencijale suprotnoj strani koja to moze upotrebiti na bezbroj nacina.
Haker nakon toga vec zna lozinku zrtve sto moze zloupotrebiti na nekim pod sistemima koji su mahom vezani recimo za Aktivni direktorijum i dele lozinke gde ce pokusati da iskoristi slabost nekog protokola koji ne zahteva oauth2 autentikativni protokol ili ce eventualno odraditi 2fa spoof AiTM Adversary in the middle metodom, ili recimo MFA flood gde ce haker bombardovati zrtvu zahtevima na autentikatoru u nadi da ce zrtva slucajno prihvatiti autentikaciju sto je inace cest slucaj.
Nakon toga zloupotrebe su razne, infiltration, exploitation, exfiltration, ili damage.
Najbolja odbrana od ovakvih napada jeste sama edukacija zaposlenih, u vidu cestih treninga, simulacija, programa nagrada jer je edukacija kod nas u Srbiji veoma niska i generalno su zaposleni kod nas dobrom merom nepismeni u ovoj sferi zbog cega se pogotovo u poslednje vreme sve cesce i cesce desavaju kompromitovanja i stete u vecim domacim kompanijama kao sto je recimo skoro bio slucaj sa Postom koja je bila zrtva Ransomware-a, sto je inace bruka Ili sve cesci "padovi sistema" o kojima se cesto pise.
Drugi nivo zastite jeste upotreba vestacke inteligencije u SEG sistemima koja definitivno u ogromnoj meri identifikuje ovakve prevare i pre nego sto mail stigne zrtvi u sanduce.
Poslednja izmena:
) u kojem pise prava facebook.com adresa, koja je samo mazanje ociju 
