Openfind電子郵件防詐騙智慧分析中心觀察到一波新型態的 QR Code(Quick Response Code)釣魚信攻擊,利用二維碼誘騙人們存取惡意網站或下載病毒的釣魚攻擊(Quishing),其意思則為 QR 碼釣魚(QR Code phishing)。
自今年 3 月以來,Openfind電子郵件防詐騙智慧分析中心觀察到一波新型態的 QR Code(Quick Response Code)釣魚信攻擊,在信件內文說明在職員工退稅資訊,請收件人盡快完成申報作業,並附上一張圖片,如果使用者以手機掃描,就會跳轉到釣魚網站,進而被竊取機敏資料。這就是利用二維碼誘騙人們存取惡意網站或下載病毒的釣魚攻擊,稱之為 Quishing,意思是 QR 碼釣魚(QR Code phishing)。
如圖 1 所示,其實早在 2022 年 1 月,美國聯邦調查局透過其網路犯罪通報中心(Internet Crime Complaint Center,IC3)發布的新聞稿指出,網路罪犯利用二維碼技術竊取受害者的資金[1]。自新冠疫情(COVID-19)爆發以來,越來越多的店家使用 QR 碼進行交易。因為顧客都帶著智慧型手機,一些餐廳只提供電子菜單並直接線上點菜,紙本菜單只是備用。另外,有些電子錢包會使用二維碼以達成非接觸式支付。隨著人們在日常生活中越來越習慣於使用電子支付,犯罪份子也把 QR 碼當成釣魚攻擊的工具。本文將深入剖析 QR Code 釣魚攻擊的流程與手法。
QR Code 釣魚信攻擊流程
釣魚信的攻擊流程(圖 2),網路罪犯會事先精心打造極為相似的網站,接著將帶有惡意 QR 碼的郵件寄給擁有特殊權限的用戶,在郵件內文引導使用者透過手機掃描二維碼登入偽造的釣魚網站,使用 QR 碼是一種強迫用戶從電腦轉移到行動裝置的方法,一般而言,行動裝置的釣魚防護能力可能較為薄弱。一旦攻擊者成功竊取收件人的帳密資訊,就等同於得到特殊帳號的存取權限,犯罪份子可在未來針對企業組織發動更進階的攻擊,在 2023 年 Verizon 發佈的數據外洩調查報告(Data Breach Investigations Report)[2]指出,將近 61% 的攻擊事件與帳密外洩有關。以下章節將介紹幾種常見的 QR Code 釣魚信樣本。