Microsoft QR 码钓鱼攻击及防范措施

关键要点

• 微软主题的钓鱼邮件利用 QR 码获取用户凭据，导致账户被攻击。
• QR 码因隐蔽性强，难以被传统安全防护检测到，成为钓鱼攻击的热门手段。
• 组织应通过用户教育、使用硬件 MFA 和关注邮件边界加强防护措施。

6 月份，大量微软主题的电子邮件开始涌入用户的邮箱。这些邮件表面看起来很真实，显著展示了微软的 logo和一个常见的邮件模板，要求用户更新其双重认证（2FA）代码。邮件中没有链接或附件，只有一个 QR 码。

用户用手机扫描这个 QR码后，会被带到一个微软主题的网页，在这里，他们会被要求输入登录凭据及后续的多因素认证（MFA）代码。如果用户输入其凭据，信息将被发送给攻击者，导致账户被攻陷。接下来可能发生的事情包括，攻击者可以内部渗透以攻陷其他账户，或访问其他敏感系统。

QR 码为何成为诱人的钓鱼工具

QR 码在钓鱼攻击中已变得非常普遍，并且常常逃过传统邮件安全解决方案的检测。原因也很简单：QR码可以隐藏恶意链接，而需要解码器才能识别和提取目标地址。攻击者青睐 QR 码，因为我们在日常生活中已经习惯了扫描 QR码。多年来，我们已经训练用户在点击邮件中的链接前先悬停查看，但 QR 码使得在扫描前无法确定其目标地址。

我们观察到许多使用 QR 码的攻击变体，从恶意软件投送到冒充微软、SharePoint 和 DocuSign 的品牌，甚至还有通过 HTML 隐匿的 QR码来获取凭据。由于大多数 QR 码扫描发生在移动设备上，这通常使最终用户脱离企业网络，增加了检测账户被攻陷或恶意下载及执行负载的难度。

检测与防范策略

组织应该采取分层防御的方式来防止和减轻 QR 码攻击的影响。以下是三种策略，但不是全部。

策略 | 说明
—|—
培训用户 | 教育用户识别 QR 码攻击的危险已变得至关重要。虽然 QR 码攻击在过去曾发生，但近期变得更加普遍，用户可能未意识到 QR 码的滥用。用户教育使用户群体成为额外的防御层。
使用硬件 MFA | 硬件令牌如 YubiKeys 对于恶意框架如 而言是抵御有效的，可以中继凭据和时间限制的一次性密码 MFA 令牌。如果硬件 MFA 方法不可行，建议使用最强大的 。
关注边界 | 组织可以在邮件边界检测和防止 QR 码攻击，避免用户接触这些邮件，使用。

如何识别电子邮件攻击模式

邮件查询语言（MQL）是一种用于描述电子邮件攻击模式的领域特定语言（DSL）。当这些攻击模式被满足时，团队可以实施自动化操作，例如隔离，以削弱攻击活动。可通过多种信号检测攻击行为，使其更强大抵御攻击者的适应。例如，这些规则可以：

• 检测 邮件正文或附件中嵌入的 QR 码。
• 识别 使用计算机视觉技术的微软、DocuSign 或 Adobe logo。
• 分析 邮件中使用的语言，运用自然语言理解。
• 解码 QR 码并分析目标 URL 及其内容。
• 评估 发件人的风险，基于过往历史通讯、域名声誉、域名年龄等数据。
• 伪装 成“微软”或其他品牌的显示名称。

以下是一个针对微软主题 QR 码攻击检测的规则示例：

“`markdown type.inbound