26/06/2023

 https://dg.samrl.org/l?a4850

مهاجمون يستخدمون رموز الاستجابة السريعة QR لنشر صفحات التصيد الاحتيالي على الأجهزة المحمولة

الحقوق الرقمية |

ملاحظة: المادة منشورة بتاريخ اليوم الأثنين، على موقع كوفينس (وهو مركز أمريكي معني بالتصدي لتهديدات أمان البريد الإلكتروني)

لاحظ مركز كوفينس فيشنغ ديفنس Cofense Phishing Defense (PDC) زيادة في عدد رسائل البريد الإلكتروني الضارة التي تستخدم أكواد كيو آر QR . في محاولة لتجاوز برامج الكشف عن الملفات والنصوص التقليدية، توفر أكواد QR للجهات الفاعلة في التهديد أسلوبًا مختلفًا لتشفير عناوين الويب URL الضارة.

في حين أنه من الممكن فتح رموز QR على جهاز كمبيوتر، إلا أنه يتم الوصول إليها بسهولة أكبر باستخدام هاتف ذكي أو جهاز لوحي مزود بكاميرا مدمجة. نظرًا لكونه جهازًا محمولًا شخصيًا للمستخدم، فإنه يفتقر عادةً إلى الحماية من حلول الشبكة ونقاط النهاية التي تمنع عادةً الوصول إلى عناوين URL الضارة وإنشاء تنبيهات لفرق الأمان للتحقيق فيها. مع حدوث معظم الهجوم خارج فقاعة الحماية التي أنشأتها الشركة، يكون من الصعب جمع أدلة على الهجوم وتتبع أي إجراءات لاحقة يتخذها المستخدم.

من خلال شاشة الهاتف، تقل احتمالية اكتشاف صفحات الويب هذه، والتي تسعى إلى انتحال شخصية مواقع ويب شرعية. يمكن أن تُعزى عيوبهم بسهولة إلى طبيعة عربات التي تجرها الدواب لمتصفحات الهاتف المحمول ونضالهم المستمر في عرض صفحات الويب بكفاءة، خاصةً عندما يتم الوصول إلى الصفحة بشكل أساسي من خلال متصفح سطح المكتب.

يتلقى المستلمون لهذه الحملات رسالة بريد إلكتروني من جانب المهاجم الإلكتروني، والتي تتضمن -الرسالة- إلحاحًا بشأن محتواها، ولا تحتوي على أي مؤشرات تقليدية عن الاختراق مثل مرفق أو رابط. وهذا قد يثير رغبة المستخدم في البحث عن المزيد من المعلومات. وفي هذا السياق، يتم وضع رمز الاستجابة السريعة "QR code" بشكل بارز لجذب الانتباه الفوري وإغراء المستخدم بمسحه بسرعة باستخدام هاتفه الذكي.

بمجرد المسح باستخدام تطبيق رمز الاستجابة السريعة على هاتف ذكي، سيتم فك تشفير عنوان URL. عند الموافقة على مزيد من التنقل، يتم تقديم اختبار التحقق (كابتشا)captcha للمستخدم بهذه الطريقة، على نحوٍ يعطي انطباعًا بأن الصفحة المقصودة النهائية نفسها شرعية.

بعد التفاعل مع captcha، سيظهر رمز تحميل متبوعًا بعلامة اختيار خضراء، ثم تتم إعادة توجيه المستخدم إلى الصفحة الضارة. في معظم الحالات الأخيرة التي لاحظها PDC، تنشر هذه الطريقة تصيدًا شائعًا لبيانات اعتماد مايكروسوفت Microsoft. ومع ذلك، كانت هناك العديد من حالات انتحال صفة خدمة التوصيل التي تستخدم أيضًا رمز الاستجابة السريعة.

تعكس الصفحة المقصودة الغرض من البريد الإلكتروني الأولي الذي تم استلامه، والذي يتكون من صفحة تسجيل دخول عامة إلى Microsoft. لن يظهر أي شيء بخصوص هذه الصفحة على الفور للمستخدم المطمئن بخلاف عنوان URL الموجود أعلى الصفحة. تم الوصول إلى الصفحة في الشكل 2 و 3 بمحاكاة الجهاز المضمنة في أدوات مطور Chrome. ومع ذلك، على شاشة الهاتف، سيكون من الصعب اكتشاف عنوان URL الغريب وغير الصحيح بشكل واضح نظرًا لصغر حجم شريط العناوين.

يجب على المستخدمين توخي الحذر من مسح رموز QR من أي مصدر لا يثقون به. إذا كان غير مؤكد ، فمن المستحسن الاستفادة من خدمة على شبكة الإنترنت لمسح رمز الاستجابة السريعة مثل تلك الموضحة أدناه.

ستمكّن هذه المواقع من إجراء مراجعة دقيقة لعنوان URL المتعلق برمز الاستجابة السريعة وتمنع التنقل العرضي إلى موقع ويب قد يكون ضارًا.

نوصي بتثقيف الموظفين بشأن هذه المخاطر والتأكد من أنهم سيستغرقون وقتًا إضافيًا لضمان شرعية البريد الإلكتروني قبل التفاعل معه بشكل أكبر. الموظفون المطلعون الذين يستفيدون من مجموعة منتجات حماية البريد الإلكتروني وتعليم التصيد التي توفرها Cofense، يمكنك بشكل أكثر فعالية ضمان أن رسائل البريد الإلكتروني المخادعة مثل هذه لديها فرصة أقل للتأثير على عملك.