在不斷發展的網路威脅環境中,出現了一種微妙但有效的網路釣魚形式——quishing,這是 QR phishing(QR 網路釣魚)的縮寫。QR 碼發明已有 30 年了,但 quishing 仍然構成重大風險,尤其是在新冠疫情時代之後,QR 碼成為查看狀態、登記活動甚至訂餐的常態。
自 2020 年以來,Cloudflare 的雲端電子郵件安全解決方案(以前稱為 Area 1)一直處於打擊 quishing 攻擊的最前沿,積極主動地剖析這些攻擊,以更好地保護我們的客戶。讓我們深入研究 QR 網路釣魚背後的機制,探討為什麼 QR 碼是攻擊者的偏好工具,並回顧 Cloudflare 如何為應對這種不斷演變的威脅做出貢獻。
Quishing 的運作方式
網路釣魚和 quishing 的影響非常相似,因為兩者都可能導致使用者的認證洩漏、裝置被盜,甚至造成經濟損失。它們還利用惡意附件或網站,使不良行為者能夠存取他們通常無法存取的內容。它們的不同之處在於,quishing 通常具有高度針對性,並使用 QR 碼來進一步掩蓋自身以免被偵測到。
由於網路釣魚偵測引擎需要電子郵件中的 URL 或附件等輸入才能進行偵測,因此 quish 會透過阻礙對這些輸入的偵測來獲得成功。在下面的範例 A 中,在爬行網路釣魚的 URL 後,經過兩次重新導向後登陸惡意網站,該網站自動嘗試執行複製登入名稱和密碼的鍵盤記錄惡意程式碼。對於範例 A,這顯然會觸發偵測器,但範例 B 沒有可爬行的連結,因此對範例 A 有效的相同偵測會變得無效。
您或許會想,這很奇怪,既然我的手機可以掃描該 QR 碼,那麼偵測引擎就不能辨識該 QR 碼嗎?簡單來說,不能,因為網路釣魚偵測引擎針對擷取網路釣魚進行了最佳化,但識別和掃描 QR 碼需要完全不同的引擎——電腦視覺引擎。這讓我們明白為什麼 QR 碼是攻擊者的偏好工具。
為什麼要使用 QR 碼進行網路釣魚?
QR 碼在網路釣魚攻擊中流行有三個主要原因。首先,QR 碼擁有強大的糾錯能力,使其能夠承受調整大小、像素移位、光照變化、部分裁剪和其他扭曲。事實上,電腦視覺模型可以掃描 QR 碼,但是對於機器來說,識別電子郵件、影像或電子郵件中連結之網頁的哪個部分具有 QR 碼相當困難,如果 QR 碼已被混淆處理,使其無法被一些電腦視覺模型偵測到,則更是如此。例如,透過反轉它們、將它們與其他顏色或影像混合,或將它們變得非常小,電腦視覺模型甚至難以識別 QR 碼的存在,更不用說掃描它們了。儘管篩選器和一些額外處理可以套用至任何影像,但不知道要對什麼內容套用以及在何處套用,使得對 QR 碼的反混淆成為一個極其昂貴的計算問題。這不僅使得很難擷取所有 quish,而且可能會由於影像或文字區塊看起來類似於 QR 碼,導致使用者無法快速收到電子郵件,進而導致交付延遲,給終端使用者帶來挫敗感。
儘管電腦視覺模型可能難以反混淆 QR 碼,但我們從經驗中發現,當人類遇到這些混淆的 QR 碼時,只要有足夠的時間和精力,他們通常能夠掃描 QR 碼。透過增加螢幕亮度、列印電子郵件、調整程式碼大小等各種措施,他們可以成功製作出能夠規避機器掃描的 QR 碼。
不相信我們?您可以使用已針對機器進行混淆處理的 QR 碼親自嘗試一下。它們都連結到 https://blog.cloudflare.com/zh-tw
(磚牆影像由 rawpixel.com 在 Freepik 上提供)
如果您掃描了上面的任何一個範例 QR 碼,則應該已經清楚不良行為者青睞 quish 的下一個原因。用於存取 QR 碼的裝置通常是安全狀態有限的個人裝置,因此很容易受到利用。雖然受到保護的企業裝置通常具有在使用者存取惡意連結時警告、阻止或隔離使用者的措施,但這些保護措施在個人裝置上原生不可用。這尤其令人擔憂,因為我們已經看到了針對組織中高階主管的自訂 QR 碼的趨勢。
QR 碼還可以與其他混淆技術無縫疊加,例如加密附件、模仿知名網站的鏡像、看似用於證明為人類的驗證但實際為惡意的內容等等。這種多功能性使它們成為網路犯罪分子的一個有吸引力的選擇,他們尋求創新方法,透過將 QR 碼新增到以前成功但現已被安全產品封鎖的網路釣魚媒介來欺騙毫無戒心的使用者。
Cloudflare 的保護策略
Cloudflare 一直處於防禦 quishing 攻擊的最前線。我們採用多方面的方法,並沒有專注於過時的分層電子郵件設定規則,而是根據近十年的偵測資料訓練了我們的機器學習 (ML) 偵測模型,並擁有大量主動電腦視覺模型來確保我們所有的客戶都從一站式解決方案開始。
對於 quish 偵測,我們將其分為兩部分:1) 識別和掃描 QR 碼;2) 分析解碼的 QR 碼。
第一部分是透過我們自己的 QR 碼偵測啟發法解決的,它告訴我們電腦視覺模型如何、何時、何地執行。然後,我們利用最新的函式庫和工具來幫助識別、處理以及(最重要的)解碼 QR 碼。雖然人類辨識QR 碼相對容易,但對於機器而言,QR 碼的混淆方式幾乎沒有限制。我們上面提供的範例只是我們在實際中看到的一小部分,不良行為者不斷發現新方法,使 QR 碼難以快速找到和識別,使其成為一場持續不斷的貓鼠遊戲,需要我們定期更新工具以因應流行的混淆技術。
第二部分是解碼後的 QR 碼的分析,先對其套用我們對網路釣魚套用的所有處理方法,然後再進行一些處理。我們擁有能夠解構複雜 URL 並從一次又一次的重新導向(無論它們是否是自動)中深入挖掘最終 URL 的引擎。在此過程中,我們掃描惡意附件和惡意網站,並記錄結果以供將來偵測時交叉引用。如果我們遇到任何加密或密碼保護的檔案或內容,我們會利用另一組引擎嘗試解密和取消保護,以便我們可以識別是否有任何掩蓋的惡意內容。最重要的是,利用所有這些資訊,我們不斷用這些新資料更新我們的資料庫,包括 QR 碼的混淆,以便更好地評估利用我們所記錄之方法的類似攻擊。
然而,即使使用訓練有素的網路釣魚偵測工具套件,惡意內容通常位於一長串重新導向的末尾,這會阻止自動網路爬蟲識別任何內容,更不用說惡意內容了。在重新導向之間,可能存在需要人類驗證(例如 CAPTCHA)的硬區塊,這使得自動化流程幾乎不可能爬過去,因此根本無法對任何內容進行分類。或者可能存在帶有活動識別要求的有條件區塊,因此,如果任何人位於原始目標區域之外或擁有不滿足活動要求的 Web 瀏覽器和作業系統版本,他們只會檢視良性網站,而目標將暴露於惡意內容。多年來,我們已經建立了識別和通過這些驗證的工具,因此我們可以確定可能存在的惡意內容。
然而,即使我們多年來開發了所有這些技術,在某些情況下我們仍無法輕鬆獲得最終內容。在這些情況下,我們經過多年掃描連結及其中繼資料之訓練的連結信譽機器學習模型已被證明非常有價值,並且在解碼 QR 碼後也可以輕鬆套用。透過關聯網域中繼資料、URL 結構、URL 查詢字串和我們自己的歷史資料集等內容,我們能夠做出推斷來保護我們的客戶。我們也採取主動方法,利用我們的 ML 模型來得出去哪裡尋找 QR 碼(即使它們不是很明顯)。而且,透過仔細檢查網域、情緒、上下文、IP 位址、歷史使用情況以及寄件者與收件者之間的社交模式,Cloudflare 可以在潛在威脅造成傷害之前識別並消除它們。
創意範例和現實世界的實例
透過我們每天處理的數千個 QR 碼,我們看到了一些有趣的趨勢。包括 Microsoft 和 DocuSign 在內的知名公司經常成為 Quishing 攻擊的假冒對象。使其對使用者更具迷惑性,甚至更有可能詐騙成功的情況是,這些公司確實在他們的合法工作流程中使用 QR 碼。這進一步凸顯了組織加強防禦措施應對這一不斷變化的威脅的迫切性。
以下是我們發現的最有趣的三個 quish 範例,並將其與各個公司的實際用例進行了比較。這些電子郵件中使用的 QR 碼已被遮罩。
Microsoft Authenticator
Microsoft 使用 QR 碼作為完成 MFA 的更快方式,而不是向使用者的手機傳送六位數的簡訊代碼(這可能會延遲),QR 碼也被認為更安全,因為 SMS MFA 可以透過 SIM 交換攻擊攔截。使用者將獨立註冊他們的裝置,並且之前會看到右側的註冊螢幕,因此收到一封電子郵件表明他們需要重新驗證,這似乎也不會顯得特別奇怪。
DocuSign
DocuSign 使用 QR 碼讓使用者更輕鬆地下載行動應用程式來簽署文件、透過行動裝置進行身分驗證以拍照,並支援在擁有 QR 碼掃描功能的第三方應用程式中嵌入 DocuSign 功能。在原生 DocuSign 應用程式和非原生應用程式中使用 QR 碼會讓頻繁使用 DocuSign 的使用者感到迷惑,而對於很少使用 DocuSign 的使用者來說則一點也不奇怪。雖然簽名請求中不會使用用於下載 DocuSign 應用程式的 QR 碼,但對於經常使用的使用者來說,這似乎是在他們已下載到行動裝置上的應用程式中開啟請求的快速方法。
Microsoft Teams
Microsoft 在 Teams 中使用 QR 碼,以允許使用者透過行動裝置快速加入團隊,雖然 Teams 不將 QR 碼用於語音信箱,但它確實具有語音信箱功能。左側的電子郵件看上去是在提醒您檢查 Teams 中的語音信箱,並結合了右側的兩個實際用例。
如何協助防止 Quishing
我們面臨著持續不斷的 quishing 威脅,因此個人和組織務必保持警惕。雖然沒有任何解決方案可以保證 100% 的保護,但集體盡職調查可以顯著降低風險,我們鼓勵合作打擊 quishing。
如果您已經是 Cloud Email Security 客戶,我們提醒您從我們的入口網站提交 quish 實例,以協助阻止當前威脅並增強未來機器學習模型的功能,從而建立更主動的防禦策略。如果您不是客戶,您仍然可以將原始 quish 範例作為 EML 格式的附件提交到 quish@cloudflare.com,並利用貴司所用電子郵件安全提供者的提交流程來告知他們這些 quishing 手段。
打擊 quishing 的鬥爭仍在繼續,且需要不斷的創新和協作。為了支援 quish 的提交,我們正在開發新方法,以便客戶為我們的模型提供有針對性的意見反應,並為我們的指標增加額外的透明度,以方便追蹤包括 quish 在內的各種手段。