A QR-alapú kibertámadások gyors terjedése - és hogyan lehet megállítani őket

Apr 4, 2025 a OPSWAT

Ossza meg ezt a bejegyzést

Bevezetés

A QR-kódok nélkülözhetetlenné váltak a hitelesítéshez, az eszközpárosításhoz és a fájlmegosztáshoz az együttműködési platformokon. Kényelmük azonban a kiberbűnözők elsődleges célpontjává tette őket. Az Egress szerint a QR-kódos adathalászat (quishing) az adathalász e-mailek 0,8%-áról 2021-ben 12,4%-ra emelkedett 2023-ban, 2024-ben pedig tartósan 10,8%-ra. Ez az exponenciális növekedés a támadók stratégiai váltását tükrözi, hogy kihasználják az olyan megbízható eszközöket, mint a Signal és a Microsoft Teams, amelyek ma már központi szerepet játszanak a vállalati kommunikációban.

Ez a blog feltárja, hogy a QR-kód alapú támadások hogyan kerülhetik meg a hagyományos védelmet, kiemeli a valós eseményeket, és felvázolja, hogy MetaDefender Core hogyan csökkenti ezeket a kockázatokat a Deep CDR™, az InSights Threat Intelligence és az API integrációk segítségével.

A QR-kód alapú támadások, amelyek 2025 első negyedévében a címlapokra kerültek

A Signal összekapcsolt eszközök támadása - a hitelesítés megkerülése

A Signal, egy vezető titkosított üzenetküldő alkalmazás lehetővé teszi a felhasználók számára, hogy jelszavak helyett QR-kódok beolvasásával kössék össze az eszközöket. A kritikus hiba lehetővé teszi a támadók számára, hogy tartósan összekapcsolják a rosszindulatú eszközöket, ha az elsődleges eszköz veszélybe kerül.

Támadási módszer

Az adathalász e-mailek vagy a social engineering rendszerek a "fiókellenőrzés" ürügyén QR-kódok beolvasására csábítják a felhasználókat.
A beolvasás után a támadó eszköze teljes hozzáférést kap az üzenetekhez, kapcsolatokhoz és kommunikációhoz - jelszó nélkül.

Valós világbeli hatás

A Google fenyegetéselemző csoportja által azonosított orosz kémcsoportok ezt a hibát kihasználva ukrán felhasználókat céloztak meg(Wired).

Fekete Basta QR-kódos adathalászat a Microsoft Teams-ban

A Black Basta, egy 2022 óta aktív, hírhedt zsarolóprogram-alapú (RaaS) csoport a Microsoft Teams QR-kódos adathalászatra váltott.

Támadási módszer

Hamis informatikai biztonsági figyelmeztetéseket küldenek a Teams rendszeren keresztül, arra ösztönözve az alkalmazottakat, hogy szkenneljenek be egy QR-kódot a Microsoft 365 hitelesítő adatok "ellenőrzésére".
A QR-kódok elrejtik a rosszindulatú URL-címeket, így kikerülik az e-mail biztonsági eszközöket.
Az áldozatokat hamis bejelentkezési oldalakra irányítják át, ami lehetővé teszi a hitelesítő adatok ellopását, a jogosultságok kiterjesztését és a zsarolóprogramok telepítését.

Grafikon, amely egy QR-alapú kibertámadás forgatókönyvét szemlélteti a Microsoft Teamsben, adathalászattal és hitelesítő adatok ellopásával együtt

Hogyan akadályozza meg MetaDefender ^Core™ a QR-kód alapú támadásokat?

A fejlődő fenyegetések elleni küzdelemhez a szervezeteknek olyan fejlett biztonsági megoldásokra van szükségük, amelyek túlmutatnak a hagyományos adathalászat-érzékelésen. A MetaDefender Core többrétegű technológiákat használ, amelyeket kifejezetten arra terveztek, hogy semlegesítsék a fájlalapú és hitelesítő adatokon alapuló fenyegetéseket az együttműködési platformokon.

Deep CDR

Deep CDR a képfájlokat a potenciálisan rosszindulatú elemek és a házirendtől eltérő tartalmak (pl. obfuszkált URL-címek) eltávolításával és új, biztonságosan használható fájlok újbóli létrehozásával szanálja. A kvishing-támadások megelőzése érdekében a Deep CDR:

Kivonja a hiperlinket a QR-kódból, és semlegesíti a fenyegetéseket.
Újragenerál egy biztonságosan használható QR-kódot, amely lehetővé teszi a felhasználók számára, hogy URL-olvasó szolgáltatást adjanak hozzá.

A QR-kódokban lévő fenyegetéseket semlegesítő Deep CDR bemutató ábra a QR-alapú kibertámadások megelőzése érdekében

InSights Threat Intelligence

Az InSights Threat Intelligence segítségével a QR-kódokban szereplő rosszindulatú domaineket és IP-címeket szinte valós időben azonosíthatja és blokkolhatja a több forrásból származó, kurátori fenyegetésinformációk segítségével.

A QR-kódokból a Deep CDR segítségével kinyert tartomány felismerése.
Megakadályozza, hogy az alkalmazottak feketelistára került vagy gyanús tartományokhoz férjenek hozzá.
Folyamatosan frissítse a kockázati információkat a fejlődő fenyegetések alapján.

A QR-kódokban található rosszindulatú domaineket blokkoló InSights Threat Intelligence diagramja

Tartsa távol a halászatot a megfelelő védekezéssel

A QR-kódok már nem csupán kényelmi eszközök - a kiberbűnözők elsődleges célpontjává váltak, akik a hitelesítő adatok ellopására, az MFA megkerülésére és zsarolóprogramok telepítésére törekszenek. E kockázatok mérséklése érdekében a vállalatoknak a QR-kódokkal való interakciókra vonatkozóan a zéró bizalom megközelítést kell alkalmazniuk, beleértve a következőket:

Az alkalmazottak oktatása a QR-kódos adathalászattal kapcsolatos kockázatokról és támadási módszerekről.
A mobile irányelvek megerősítése a jogosulatlan beolvasások valószínűségének csökkentése érdekében.
A MetaDefender Core hasonló proaktív fenyegetésmegelőző megoldások telepítése a QR-kódok szanálására, a rosszindulatú tartományok blokkolására és a biztonságnak a vállalati munkafolyamatokba való integrálására.

Egyetlen veszélyeztetett QR-kód beolvasása teljes körű biztonsági réshez vezethet. A szervezeteknek most kell cselekedniük, hogy a hagyományos védekezésen túlmutató, többrétegű, mélyreható védelmi megoldásokat alkalmazva a támadók előtt maradjanak.