התקפות דוא"ל הנשענות על קודי QR עלו ברבעון האחרון, כאשר תוקפים מכוונים במיוחד למנהלים ומנהלים של תאגידים, ומחזקים את ההמלצות לחברות להציב הגנות דיגיטליות נוספות סביב המנהיגות העסקית שלהן.
מה שהופך את המצב לגרוע יותר, הודעות דיוג באמצעות קודי QR (הידוע גם בשם "quishing") עלולות להגיע לרוב על ידי מסנני דואר זבל, כאשר התקפות המכוונות למשתמשי Microsoft 365 ו-DocuSign נוחתות בהצלחה בתיבות הדואר הנכנס, על פי דו"ח שפורסם השבוע על ידי חברת Abnormal Security, ספקית של אבטחת דוא"ל בענן.
ברבעון הרביעי של 2023, המנהל הבכיר הממוצע ב-C-suite ראה פי 42 יותר התקפות דיוג באמצעות קודי QR בהשוואה לעובד הממוצע. תפקידים ניהוליים אחרים סבלו גם הם בעלייה במתקפות, אם כי קטנות יותר באופן משמעותי, כאשר המנהלים הללו שאינם ב-C Suite נתקלו בפי חמישה יותר התקפות פישינג מבוססות קוד QR, על פי דו"ח החברה.
בסך הכל, הנתונים מוכיחים שלתוקפים יש מנהלים - ומשתמשים מועדפים אחרים - באתרים שלהם, אומר מייק בריטון, CISO לאבטחה חריגה.
"אם אני תוקף, אני רוצה לתקוף את האנשים שיש להם את היכולת לקבל תשלום ובעלי אישורים שנותנים לי גישה למידע הכי מעניין", הוא אומר. "או שאני רוצה להעמיד פנים שאני האנשים האלה, כי שוב, הנדסה חברתית דורשת את האמון הזה, [כדי שקורבן יחשוב] היי, סמנכ"ל המכירות הזה או סמנכ"ל משאבי האנוש הזה מבקשים ממני לעשות משהו, [מה שגורם להם ] בדרך כלל יש סיכוי גבוה יותר ... לנקוט בפעולה."
בעוד שקודי QR קיימים כבר שלושה עשורים, הם הפכו לפופולריים הרבה יותר במהלך המגיפה, מכיוון שמסעדות ועסקים אחרים הפנו לקוחות להזמנה ללא יצירת קשר ומקוון. בהקשר עסקי, מקרה שימוש מוביל עבור קודי QR מציע קישורים כדי להקל על תהליך ההרשמה לאימות רב-גורמי (MFA). תוקפי סייבר קפצו: יותר מרבע ממתקפות קוד QR (27%) ברבעון הרביעי היו הודעות מזויפות של MFA, למשל, בעוד שכאחת מכל חמש התקפות (4%) היו הודעות מזויפות על מסמך משותף, לפי הדו"ח של ביטחון אבנורמלי.
מנהלים בכירים רואים פי 42 יותר התקפות באמצעות קודי QR מאשר עובדים רגילים. מקור: אבטחה חריגה
מכיוון שתוקפים מסתירים את קישור ההתחזות שלהם בתמונה, התחזות בקוד QR עוקפת חשדות של משתמשים וכמה מוצרי אבטחת דוא"ל. בנוסף, ניתן למקם קודי QR זדוניים בחללים פיזיים באמצעות מדבקה פשוטה, תוך עקיפת אבטחה דיגיטלית לחלוטין.
"התקפות מנצלות את האמון המובנה של המשתמשים בקודי QR, ומטמיעות אותם בפריטים יומיומיים כמו מדחנים או פוסטרים", אומרת מוניק בסנטי, מנהלת המוצר בחברת האבטחה הסלולרית Zimperium. "שיעור ההצלחה של דיוג עם קודי QR יעלה על שיטות הדיוג המסורתיות מכיוון שלעתים קרובות הם עוקפים את גורמי החשד האופייניים של משתמשים, כמו שגיאות הקלדה בכתובת האתר, מה שמוביל לסבירות גבוהה יותר לסרוק אותם."
דרך נוספת לגנוב את האישורים של Exec
לרוב, תוקפים שמתמקדים במנהלים מחפשים את האישורים - שמות משתמש וסיסמאות - של משתמשים מורשים. דיוג אישורים הוא הצורה הפופולרית ביותר של התקפת אימייל, ומהווה 73% מכלל ההתקפות דרך הווקטור ו-84% מההתקפות באמצעות קוד QR; ולעיתים קרובות הם מובילים לפשרות משמעותיות יותר, אומר בריטון ב-Abnormal Security.
"המטרה העיקרית היא לגרום למשתמש לגנוב את האישורים שלו", הוא אומר. "ברגע שיש לי את האישורים שלך, אני יכול לעשות הרבה יותר נזק, ואני יכול לעשות הרבה נזק מתמשך. אם יש לי את האישורים שלך, אני יכול להיכנס לחשבון שלך, אני יכול לראות למי שלחת מיילים, אני יכול לשלוח מיילים שמתיימרים להיות אתה, ואני יכול ליצור כללי סינון דואר."
הנקודה האחרונה היא דרך נפוצה להשתמש לרעה באישורי דואר, אומר בריטון. התוקף יצור חוק עותק עיוור (BCC) שמעביר את כל המיילים לחשבון התוקף.
יתר על כן, "שחקני איום גם מכירים בכך שלעתים קרובות למספר אנשים יש גישה לתיבת הדואר הנכנס של מנהל, כגון עוזרי מנהל", נכתב בדו"ח. "כתוצאה מכך, כל אדם שמכיר את אישורי הכניסה לתיבת הדואר הנכנס של VIP מייצג נקודת כניסה פוטנציאלית שיכולה להיות מנוצלת על ידי תוקף."
סיכול קווישינג דורש טכנולוגיה והדרכה של האדם
החדשות הטובות הן שמאז אוקטובר, התחזות בקוד QR שככה במידה רבה, לאחר שהיווה 22% ממתקפות הדיוג, לפי חברת Hoxhunt לניהול סיכונים אנושיים. "מאז אוקטובר האחרון, ראינו עדויות לכך שמסנני דוא"ל מדביקים את טכניקת ההתחזות של QR", אומר ג'ון ג'לין, ראש צוות האיומים בהוקסהאנט. "מכיוון שפחות מהתקפות אלה עוקפות מסנני אימייל, כתוצאה מכך חלה ירידה בפופולריות שלהן."
עם זאת, גם אם ה-quishing יירגע, זה יישאר כלי לתוקפים, במידה רבה באופן שבו כתובות URL מקוצרות ודואר זבל של תמונות ממשיכים לשמש בהתקפות סייבר. הדרך הטובה ביותר להגן על המשתמשים היא להכשיר אותם, אומר ג'לין. כ-5% מהמשתמשים מגיבים למתקפת פישינג בדקות הראשונות, מה שמצביע על כך שמאגר עובדים מאומן היטב יכול לעזור להקהות מתקפה.
"כפי שמגמת ההתחזות ב-QR הראתה, איומים מסוימים תמיד יחלפו אפילו מהפילטרים המתוחכמים ביותר", הוא אומר. "בשלב זה, זה תלוי ברובד האנושי לקבל את הכישורים והכלים להתמודד עם האיום ביעילות."
הכשרה חשובה, אבל מכיוון שלכשל בודד יכול להיות השפעה משמעותית, יש צורך בבקרות טכניות, אומר Britton של Abnormal Security.
"שם, יש כמה התקפות פישינג שראיתי שאפילו אני צריך לקבל חוות דעת שנייה מאנשים כי הם נראים כל כך אמיתיים", הוא אומר. "איך אני מצפה מאיש משאבי אנוש לעשות את זה נכון בכל פעם? איך אני מצפה לחייב בחשבונות? איך אני מצפה לאנליסט פיננסי?"
"האימון חשוב, אבל אנחנו הולכים להיכשל, וזה דורש רק כישלון אחד", הוא אומר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/endpoint-security/qr-code-quishing-attacks-execs-email-security
- :יש ל
- :הוא
- $ למעלה
- 2023
- 7
- 8
- a
- יכולת
- לֹא נוֹרמָלִי
- אודות
- התעללות
- גישה
- פי
- חֶשְׁבּוֹן
- חשבונאות
- חשבונות
- חשבונות לתשלום
- פעולה
- שחקנים
- תוספת
- נוסף
- לאחר
- שוב
- aka
- תעשיות
- גם
- למרות
- בסך הכל
- תמיד
- an
- מנתח
- ו
- אחר
- ARE
- סביב
- AS
- לשאול
- עוזרים
- At
- לתקוף
- תוקף
- המתקפות
- אימות
- מְמוּצָע
- בָּר
- BE
- הפך
- כי
- היה
- הטוב ביותר
- עסקים
- עסקים
- אבל
- by
- לעקוף
- סוויטת C
- CAN
- פַּחמָן
- מקרה
- תרשים
- CISO
- ענן
- קוד
- קודים
- Common
- חברות
- חברה
- לעומת
- כתוצאה מכך
- הקשר
- להמשיך
- בקרות
- משותף
- לִיצוֹר
- תְעוּדָה
- אישורים
- לקוחות
- התקפות רשת
- נזק
- נתונים
- עסקה
- עשרות שנים
- להקטין
- תואר
- מדגים
- דיגיטלי
- מְכוּוָן
- מְנַהֵל
- do
- מסמך
- בְּמַהֲלָך
- להקל
- יעילות
- אמייל
- אבטחת דוא"ל
- מיילים
- הטבעה
- עובד
- עובדים
- פוגש
- הנדסה
- כניסה
- אֲפִילוּ
- כל
- כל יום
- עדות
- דוגמה
- אקס
- מנהלים
- כעובדים בכירים
- לצפות
- לנצל
- ומנוצל
- FAIL
- כשלון
- מְזוּיָף
- מעטים
- פחות
- לסנן
- מסננים
- כספי
- פירמה
- ראשון
- חמש
- להתמקד
- בעד
- טופס
- רביעית
- החל מ-
- לקבל
- מקבל
- לתת
- מטרה
- הולך
- טוב
- יש
- he
- לעזור
- הסתר
- גבוה יותר
- איך
- hr
- HTTPS
- בן אנוש
- i
- if
- תמונה
- פְּגִיעָה
- חשוב
- in
- להגדיל
- בנפרד
- מידע
- הטמון
- מעניין
- אל תוך
- IT
- פריטים
- ג'ון
- jpg
- יודע
- נחיתה
- גָדוֹל
- אחרון
- נמשך
- שכבה
- עוֹפֶרֶת
- מנהיגות
- מוביל
- כמו
- סְבִירוּת
- סביר
- קשר
- קישורים
- היכנס
- התחבר
- נראה
- מגרש
- עשייה
- זדוני
- ניהול
- ניהולית
- מנהלים
- עניינים
- me
- שיטות
- משרד חוץ
- מיקרוסופט
- מייק
- דקות
- יותר
- רוב
- הכי פופולארי
- הרבה
- אימות רב-פקטורי
- מספר
- הכרחי
- חדשות
- הודעות
- אוֹקְטוֹבֶּר
- of
- הצעה
- לעתים קרובות
- on
- פעם
- ONE
- באינטרנט
- רק
- דעה
- or
- אחר
- נפרע
- מגיפה
- חניה
- חלק
- סיסמאות
- עבר
- אֲנָשִׁים
- אדם
- דיוג
- התקפת דיוג
- התקפות פישינג
- גופני
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- בריכה
- פופולרי
- פופולריות
- פוטנציאל
- יְסוֹדִי
- חסוי
- תהליך
- המוצר
- מוצרים
- להגן
- ספק
- לאור
- QR קוד
- qr-קודים
- רובע
- ציון
- RE
- ממשי
- להכיר
- המלצות
- רגיל
- הסתמכות
- להשאר
- לדווח
- מייצג
- דורש
- להגיב
- מסעדות
- כתוצאה
- תקין
- תפקיד
- תפקידים
- כלל
- כללי
- s
- מכירות
- ראה
- אומר
- סריקה
- שְׁנִיָה
- אבטחה
- לִרְאוֹת
- לראות
- לשלוח
- נשלח
- משותף
- מקוצר
- הראה
- משמעותי
- באופן משמעותי
- פָּשׁוּט
- since
- יחיד
- אתרים
- מיומנויות
- קטן יותר
- So
- חֶברָתִי
- הנדסה חברתית
- כמה
- משהו
- מתוחכם
- מָקוֹר
- רווחים
- דואר זבל
- במיוחד
- ממומן
- אמור
- שככה
- הצלחה
- בהצלחה
- כזה
- סבל
- לְהִתְנַחְשֵׁל
- זינק
- לעלות
- לקחת
- לוקח
- מיקוד
- נבחרת
- טכני
- טכניקה
- טכנולוגיה
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- שם.
- אלה
- הֵם
- לחשוב
- זֶה
- השבוע
- אלה
- איום
- איום שחקנים
- איומים
- שְׁלוֹשָׁה
- דרך
- זמן
- פִּי
- ל
- כלי
- כלים
- חלק עליון
- מסורתי
- רכבת
- הדרכה
- מְגַמָה
- סומך
- טיפוסי
- בדרך כלל
- כתובת האתר
- להשתמש
- במקרה להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- באמצעות
- Ve
- קרבן
- החברים
- vp
- רוצה
- דֶרֶך..
- we
- שבוע
- טוֹב
- היו
- בזמן
- מי
- יצטרך
- עם
- בתוך
- גרוע יותר
- עוד
- אתה
- זפירנט