แคมเปญฟิชชิ่งล่าสุดกำลังใช้ประโยชน์จากโค้ด QR ในรูปแบบใหม่ โดยแปลงตาราง HTML ธรรมดาให้เป็นโค้ด QR ที่ใช้งานได้ ซึ่งจะเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตราย แทนที่จะฝังรูปภาพ QR ในเนื้อหาอีเมล ผู้โจมตีสร้างโค้ดจากเซลล์ตารางเล็กๆ นับร้อยเซลล์ โดยแต่ละเซลล์ถูกจัดรูปแบบให้เป็นสีดำหรือสีขาว ซึ่งผลลัพธ์ยังคงสแกนได้เหมือนโค้ด QR ปกติ แต่ระบบป้องกันอีเมลจำนวนมากกลับไม่สามารถตรวจจับว่าเป็นรูปภาพได้ ข้อความที่ตรวจพบระหว่างวันที่ 22 ถึง 26 ธันวาคม มีการออกแบบที่เรียบง่าย: ข้อความล่อสั้นๆ และบล็อกโค้ด QR ที่กระตุ้นให้เหยื่อสแกน โค้ด QR แต่ละโค้ดจะเปลี่ยนเส้นทางไปยังโดเมนย่อยของ lidoustoo[.]click ซึ่งมักใช้ชื่อโดเมนของผู้รับในพาธ URL เพื่อให้ดูน่าเชื่อถือมากขึ้น
Severity: สูง
System Impact:
- ระบบป้องกันอีเมล (Email Security Gateways)
- เครื่องมือตรวจสอบ QR (QR Inspection Engines)
- ผู้ใช้งาน (End-users) ที่อาจถูกเปลี่ยนเส้นทางไปยังเว็บไซต์อันตราย
Technical Attack Steps:
- ผู้โจมตีสร้างโค้ด QR โดยใช้เซลล์ตาราง HTML จำนวนมาก (เช่น เซลล์ขนาด 4×4 พิกเซล) แทนการฝังรูปภาพ QR โดยตรง
- แต่ละเซลล์ของตารางจะถูกกำหนดพื้นหลังเป็นสีดำหรือสีขาวเพื่อสร้างลวดลายของโค้ด QR
- โค้ด QR ที่เป็นอันตรายนี้จะถูกฝังอยู่ในเนื้อหาอีเมล พร้อมข้อความสั้นๆ ที่ชักชวนให้เหยื่อสแกน
- เทคนิคนี้หลีกเลี่ยงการตรวจจับของระบบป้องกันอีเมลส่วนใหญ่ที่มุ่งเน้นการสแกนไฟล์ภาพแนบหรือข้อมูลรูปภาพแบบอินไลน์
- ตัวกรองเนื้อหา (Content filters) มองเห็น HTML เป็นเพียงโครงสร้างเลย์เอาต์ที่ดูไม่เป็นอันตราย ทำให้การโจมตีเล็ดลอดไปได้
- เมื่อเหยื่อสแกนโค้ด QR จะถูกเปลี่ยนเส้นทางไปยังโดเมนย่อยที่เป็นอันตราย (เช่น `lidoustoo[.]click`) ซึ่งบางครั้งมีการปรับแต่ง URL ให้รวมชื่อโดเมนของผู้รับเพื่อเพิ่มความน่าเชื่อถือ
Recommendations:
Short Term:
- ระบบกรองอีเมลที่ปลอดภัยควรนำการวิเคราะห์ DOM (DOM-aware analysis) มาใช้ เพื่อตรวจสอบตาราง HTML ที่อาจเป็นโครงสร้างกราฟิกสำหรับโค้ด QR
- ผู้ใช้ควรได้รับการอบรมให้ระมัดระวังในการสแกนโค้ด QR จากอีเมลที่ไม่พึงประสงค์ โดยถือว่ามีความเสี่ยงเท่ากับการคลิกลิงก์ที่ไม่รู้จัก
Long Term:
- ปรับปรุงโซลูชันความปลอดภัยอีเมลเพื่อตรวจจับเทคนิคการหลีกเลี่ยงใหม่ๆ เช่น โค้ด QR ที่สร้างจากตาราง HTML
- จัดโปรแกรมการฝึกอบรมและสร้างความตระหนักรู้ให้กับผู้ใช้อย่างต่อเนื่อง โดยเน้นยุทธวิธีฟิชชิ่งที่พัฒนาขึ้นใหม่
Source: https://cybersecuritynews.com/hackers-using-malicious-imageless-qr-codes/
Share this content: