Uzmanlar, QR kodu içeren bir e-posta alırsanız, bir Quishing (QR kodlu kimlik avı - “QR phishing”) saldırısı olabileceği için çok dikkatli olmanız gerektiği konusunda uyarıyor. Perception Point tarafından yayınlanan yeni bir rapor, bu tür bir saldırı kampanyasını özetleyerek, şu anda var olan çoğu e-posta güvenlik çözümünü atlatabildiğini iddia etti.
Saldırı, diğer QR kodlu kimlik avı saldırılarına benzer bir şekilde alıcıların içinde bir QR kodu olan bir e-posta almasıyla başlıyor. Bu kodun taranmasının ardından kurbanlar sahte bir Microsoft 365 açılış sayfasına yönlendiriyor ve burada oturum açma kimlik bilgilerini girdiklerinde, temel olarak tüm bilgilerini dolandırıcılarla paylaşmış oluyorlar. Ancak, günümüzde çoğu e-posta güvenlik çözümü QR kod tarayıcılarıyla geldiği için, bu QR kodlarının fotoğrafını basit bir şekilde e-postayla göndermek yeterli olmayacaktır ve bu tür e-postalar hızlı bir şekilde engellenecektir. Bu yüzden dolandırıcılar, korumaları atlatmanın yaratıcı bir yolunu bulmuş gibi gözüküyorlar.
Perception Point’in açıkladığına göre, bu saldırı kampanyası, SharePoint ve me-qr.com olmak üzere iki meşru hizmeti kötüye kullanmayı içeriyor. SharePoint, Microsoft tarafından oluşturulan, işbirliği, belge yönetimi ve içerik paylaşımı için web tabanlı bir platformdur. me-QR.com ise kullanıcıların QR kodları oluşturup yönetebileceği bir web sitesi.
Bu saldırıda, açılış sayfası SharePoint’te barındırılır. me-QR.com, tarayıcıların QR kodunun nereye işaret ettiğini okuyamaması için ek bir karartma katmanı olarak kullanılır. Alıcı, bir satın alma siparişi, fatura veya benzeri bir şey olan .PDF eki içeren normal bir kimlik avı e-postası alır. Açtıklarında, me-QR.com’u işaret eden bir QR kodu görülür. Bu meşru bir hizmet olduğu için kod güvenlik taramalarından geçer.
Ancak kurban bu kodu taradığında, hizmetin ikinci bir QR kodunu (büyük olasılıkla e-posta güvenliği tarafından engellenecek kötü amaçlı bir kod) gösteren me-QR.com’a yönlendirilir. Bu kod, kimlik avı sayfasının barındırıldığı SharePoint’e yönlendirir.
Perception Point bu yöntemi “Quishing 2.0” olarak adlandırıyor ve bunun oldukça sofistike olduğunu söylüyor. Elbette bu tür saldırılara karşı savunmanın yolu her zamanki gibi özellikle bilmediğiniz kaynaklardan gelen e-postalara karşı şüpheci yaklaşmak ve ekleri açmamak oluyor.