中央社訊息平台
歡迎公司行號投遞新聞訊息!詳洽業務行銷中心 人工服務時間為週一至週六9:30-12:00、14:00-18:30 如有週日發稿需求請於週六18:00前完成刊登程序。

QR Code 釣魚攻擊來襲,企業用戶與使用者防範四大要點

發稿時間:2023/10/12 10:24:59

(中央社訊息服務20231012 10:24:59)自今年 3 月以來,網擎資訊 email165 郵件防詐騙智慧中心觀察到一波新型態的 QR Code(Quick Response Code)釣魚信攻擊,在信件內文說明在職員工退稅資訊,請收件人盡快完成申報作業,並附上一張圖片,如果使用者以手機掃描,就會跳轉到釣魚網站,進而被竊取機敏資料。近日外媒也報導,美國知名能源公司遭攻擊,大量包含惡意 QR Code 的電子郵件成功繞過該公司的安全措施。這種利用二維碼誘騙人們存取惡意網站或下載病毒的釣魚攻擊,被稱為 Quishing,意思就是 QR 碼釣魚(QR Code phishing)。

其實早在 2022 年 1 月,美國聯邦調查局透過其網路犯罪通報中心(Internet Crime Complaint Center,IC3)發布的新聞稿指出,網路罪犯利用二維碼技術竊取受害者的資金。自新冠疫情(COVID-19)爆發以來,越來越多的店家使用 QR 碼進行交易。因為顧客都帶著智慧型手機,一些餐廳只提供電子菜單並直接線上點菜,紙本菜單只是備用。另外,有些電子錢包會使用二維碼以達成非接觸式支付。隨著人們在日常生活中越來越習慣於使用電子支付,犯罪份子也把 QR 碼當成釣魚攻擊的工具。

一般來說,釣魚信的攻擊流程是網路罪犯會事先精心打造極為相似的網站,接著將帶有惡意 QR 碼的郵件寄給擁有特殊權限的用戶,在郵件內文引導使用者透過手機掃描二維碼登入偽造的釣魚網站,使用 QR 碼是一種強迫用戶從電腦轉移到行動裝置的方法,一般而言,行動裝置的釣魚防護能力可能較為薄弱。一旦攻擊者成功竊取收件人的帳密資訊,就等同於得到特殊帳號的存取權限,犯罪份子可在未來針對企業組織發動更進階的攻擊。

那麼,為避免 QR Code 釣魚信詐騙,首先要建立正確的資安觀念,資安研究人員列出以下幾個重點提供企業作為參考:

● 掃描 QR 碼後,先用預覽功能檢查 URL 是否正確,因為釣魚 URL 可能與正確的 URL 非常相似。
● 經由二維碼連到的網站,若要求輸入個人帳密或財務資訊時要格外注意。
● 請勿透過掃碼的方式下載 App 應用程式,若要下載 App,請從應用程式商店下載以確保安全。
● 收到帶有電子支付方式的郵件時,若有任何疑慮,請主動聯繫商家並核對資訊。

由於市面上大部分的郵件安全匣道(Secure Email Gateways,SEG)產品,不會主動掃描郵件中的圖片,所以二維碼類型的釣魚信,可輕易繞過傳統的郵件防護檢查機制。網擎資訊 MailGates 研發團隊分析各種釣魚郵件樣本特徵,並進一步將 QR Code 分析引擎整合到 Anti-Spam 過濾機制中,可偵測帶有二維碼的釣魚信攻擊,無論是郵件內嵌圖片、Office 及 PDF 檔內嵌圖片,系統都可解析圖片中的資訊,並即時查詢 SophosLabs 全球威脅情資,比對 URL 是否為惡意釣魚網址,可有效阻攔 QR Code 釣魚攻擊。

這波新型態的釣魚攻擊,可得知網路罪犯的攻擊手法已經越來越複雜,面向也從單純的 URL 轉換到 QR 碼圖片,企業除了要強化組織成員的資安意識之外,還得依靠新型的郵件防護機制,傳統的過濾機制已經無法阻擋這類的攻擊,建議企業用戶導入含有 QR Code 釣魚防護機制的郵件安全閘道,強化企業郵件系統安全。


關於 Openfind MailGates 郵件防護系統

MailGates 郵件防護系統提供即時完整的郵件安全服務,結合全球反垃圾郵件引擎、進階防毒引擎、動態沙箱分析、惡意 URL 過濾引擎及信件詐騙智慧分析引擎,整合台灣在地威脅情資,提供多層次防護。符合 Gartner SEG 標準的郵件安全閘道,為企業解決垃圾郵件困擾,並可防範 APT 攻擊、勒索軟體攻擊、零時差(Zero-Day)攻擊、社交工程攻擊(Social Engineering)、魚叉式攻擊(Spear Phishing)以及商務電子郵件詐騙(BEC)。MailGates 郵件防護系統將持續鑽研郵件資安領域,協助企業打造最安全、順暢、可靠的郵件溝通管道。更多產品訊息,請瀏覽產品網頁 https://www.openfind.com.tw/taiwan/mailgates.html