A quishing a phishing egy kifinomult formája, amely rosszindulatú hiperhivatkozásokat rejt QR-kódokba, ezáltal felhasználói hitelesítőadatokat és érzékeny információkat kompromittálva. A fenyegetés a kibertámadások folyamatosan változó környezetében kihívásként jelent meg.
Ellentétben a hagyományos phishinggel, amely kattintható linkekre vagy megtévesztő e-mailekre épít, a quishing a QR-kódok átláthatatlanságát használja ki: a kód tartalma az emberi szem számára olvashatatlan, így első pillantásra gyanútlan marad a célpont. A támadók azért részesítik előnyben ezt a módszert, mert a QR-kódok a legtöbb hagyományos URL-szűrőt megkerülik, mivel a kód önmagában ártalmatlannak tűnik az átvitel során. Ráadásul az a tény, hogy a felhasználóknak mobileszközön kell beolvasniuk ezeket a kódokat, gyakran a vállalati biztonsági határon kívülre helyezi az interakciót, így az áldozatok olyan kockázatoknak vannak kitéve, amelyek ellen nem védi őket sem a vállalati tűzfal, sem a végpontfelügyeleti rendszerek.
Ahogy a fenyegető szereplők egyre kifinomultabb technikákat vetnek be, a quishing új, fejlettebb dimenziókba lépett, olyan megoldásokat alkalmazva, amelyek komoly kihívást jelentenek még az adaptív biztonsági eszközök számára is. Ez a trend rávilágít arra, hogy a szervezeteknek alaposan meg kell érteniük az ilyen támadások technikai hátterét, a payload kódolásától kezdve az elkerülési mechanizmusokig ahhoz, hogy hatékonyan erősíthessék védelmi pozíciójukat.
Fejlett elkerülési taktikák
A quishing egyik legújabb fejlesztése a split QR code technika, amelyet a Gabagool Phishing-as-a-Service (PhaaS) platform vezetett be a felismerhetőség minimalizálása és a védekezési mechanizmusok kijátszása céljából. Ennél a módszernél a támadók egyetlen rosszindulatú QR-kódot több képrészletre bontanak, majd ezeket különálló elemekként ágyazzák be a phishing e-mailbe. A hagyományos levelezési biztonsági megoldások számára ezek a részletek ártalmatlan, egymástól független képként jelennek meg, így a rendszer képtelen rekonstruálni és elemezni a teljes kódot.
Egy közelmúltban megfigyelt kampányban a Gabagool operátorai a split QR technikát egy Microsoft jelszó-visszaállítási csalásban használták, amelyet valószínűleg egy beszélgetés-eltérítő sérülékenység kihasználás előzött meg a hitelesség növelése érdekében. A levél HTML-struktúrájának részletes vizsgálata során a QR-kód két különálló képből épült fel, amelyek együtt beolvasva egy hitelesítőadatok ellopására szolgáló adathalász oldalra irányították a felhasználót. A Barracuda jelentése szerint ez a módszer kihasználja a statikus képszkennerek korlátait, amelyek nem képesek kontextus nélkül összekapcsolni a különálló elemeket.
Ezt a taktikát egészíti ki a nested QR code technika, amelyet a Tycoon 2FA PhaaS eszközkészlet alkalmaz. Itt egy rosszindulatú QR-kódot helyeznek el egy legitim kód környezetében vagy azon belül, ezzel zavart keltve az automatizált felismerési folyamatokban. Egy dokumentált támadás során a külső QR-kód egy adatlopás céljára létrehozott, hamis URL-re irányította az áldozatokat, míg a belső kód ártalmatlan módon egy megbízható domainre, például a Google-re mutatott. Ez a kettős struktúra összezavarja az elemző motorokat, mivel vegyes eredményeket produkál: a belső legitim kód jelenléte képes elfedni a külső rosszindulatú payloadot, így a rendszer alacsonyabb fenyegetési pontszámot rendel a támadáshoz.
Védelem megerősítése multimodális MI-megoldásokkal
A gyorsan fejlődő quishing fenyegetések elleni hatékony védekezéshez a szakértők többrétegű, technológiai és emberi tényezőket ötvöző stratégiát javasolnak. Az alapvető intézkedések közé tartozik a felhasználói tudatosság növelése célzott oktatással a QR-kódok kockázatairól, a többtényezős hitelesítés bevezetése a hitelesítőadat-lopás mérséklésére, valamint fejlett spam- és tartalomszűrők alkalmazása a levelezés forgalmi szűrési pontjain.
Azonban a split és nested QR technikák kifinomultsága miatt a szervezeteknek kiemelten kell kezelniük a multimodális mesterséges intelligenciával támogatott e-mail biztonsági rendszereket. Az MI-alapú megoldások előnye, hogy vizuálisan feldolgozzák a mellékleteket, OCR- és mélyképfeldolgozási eljárásokkal azonosítják a QR-kódokat, majd dekódolják a beágyazott tartalmat és ellenőrzik a cél-URL-eket vagy payloadokat.
Ezen felül a gyanús linkek sandbox környezetben tesztelhetők, ahol valós időben figyelhetők meg a rosszindulatú viselkedések, míg a gépi tanulási modellek képpontmintázatokat és strukturális anomáliákat elemeznek tartalomkinyerés nélkül is.
Az integrált megközelítés, amely a természetes nyelvfeldolgozást (NLP) kontextuális elemzésre és a számítógépes látást kép alapú fenyegetések felismerésére alkalmazza, stabil védelmi mechanizmust biztosít a kizárólag QR-kódra építő támadásokkal szemben.
Ezeknek a technikai védelmi intézkedéseknek az alkalmazásával a vállalatok jelentősen csökkenthetik a támadási felületet, biztosítva, hogy a fenyegető szereplők innovációival párhuzamosan a védekezési mechanizmusok is fejlődjenek, megőrizve az érzékeny adatok biztonságát.
