在不断发展的网络威胁环境中,出现了一种微妙但有效的网络钓鱼形式——Quishing,这是 QR phishing(二维码网络钓鱼)的缩写。二维码发明已有 30 年了,但 Quishing 仍然构成重大风险,尤其是在新冠疫情时代之后,二维码成为查看状态、登记活动甚至订餐的常态。
自 2020 年以来,Cloudflare 的云电子邮件安全解决方案(以前称为 Area 1)一直处于打击 Quishing 攻击的最前沿,积极主动地剖析这些攻击,以更好地保护我们的客户。让我们深入研究二维码网络钓鱼背后的机制,探讨为什么二维码是攻击者的首选工具,并回顾 Cloudflare 如何为应对这种不断演变的威胁做出贡献。
Quishing 的工作原理
网络钓鱼和 Quishing 的影响非常相似,因为两者都可能导致用户的凭据泄漏、设备被盗,甚至造成经济损失。它们还利用恶意附件或网站,使不良行为者能够访问他们通常无法访问的内容。它们的不同之处在于,Quishing 通常具有高度针对性,并使用二维码来进一步掩盖自身以免被检测到。
由于网络钓鱼检测引擎需要电子邮件中的 URL 或附件等输入才能进行检测,因此 Quish 会透过阻碍对这些输入的检测来获得成功。在下面的示例 A 中,在爬行网络钓鱼的 URL 后,经过两次重定向后登陆恶意网站,该网站自动尝试执行复制登录名称和密码的键盘记录恶意软件。对于示例 A,这显然会触发检测器,但示例 B 没有可爬行的链接,因此对示例 A 有效的相同检测会变得无效。
您或许会想,这很奇怪,既然我的手机可以扫描该二维码,那么检测引擎就不能辨识该二维码吗?简单来说,不能,因为网络钓鱼检测引擎针对捕捉网络钓鱼进行了优化,但识别和扫描二维码需要完全不同的引擎——计算机视觉引擎。这让我们明白为什么二维码是攻击者的首选工具。
为什么使用二维码进行网络钓鱼?
二维码在网络钓鱼攻击中流行有三个主要原因。首先,二维码拥有强大的纠错能力,使其能够承受重设大小、像素移位、光照变化、部分裁剪和其他扭曲。事实上,计算机视觉模型可以扫描二维码,但是对于机器来说,识别电子邮件、图像或电子邮件中链接之网页的哪个部分具有二维码相当困难,如果二维码已被混淆处理,使其无法被一些计算机视觉模型检测到,则更是如此。例如,透过反转它们、将它们与其他颜色或图像混合,或将它们变得非常小,计算机视觉模型甚至难以识别二维码的存在,更不用说扫描它们了。尽管过滤器和一些额外处理可以应用至任何图像,但不知道要对什么内容应用以及在何处应用,使得对二维码的反混淆成为一个极其昂贵的计算问题。这不仅使得很难捕捉所有 Quish,而且可能会由于图像或文本块看起来类似于二维码,导致用户无法快速收到电子邮件,进而导致投递延迟,给最终用户带来挫败感。
尽管计算机视觉模型可能难以反混淆二维码,但我们从经验中发现,当人类遇到这些混淆的二维码时,只要有足够的时间和精力,他们通常能够扫描二维码。通过增加屏幕亮度、打印电子邮件、调整代码大小等各种措施,他们可以成功制作出能够规避机器扫描的二维码。
不相信我们?您可以使用已针对机器进行混淆处理的二维码亲自尝试一下。它们都链接到 https://blog.cloudflare.com/zh-cn
如果您扫描了上面的任何一个示例二维码,则应该已经清楚不良行为者青睐 Quish 的下一个原因。用于访问二维码的设备通常是安全状态有限的个人设备,因此很容易受到利用。虽然受到保护的企业设备通常具有在用户访问恶意链接时警告、阻止或隔离用户的措施,但这些保护措施在个人设备上原生不可用。这尤其令人担忧,因为我们已经看到了针对组织中高阶主管的自定义二维码的趋势。
二维码还可以与其他混淆技术无缝叠加,例如加密附件、模仿知名网站的镜像、看似用于证明为人类的验证但实际为恶意的内容等等。这种多功能性使它们成为网络犯罪分子的一个有吸引力的选择,他们寻求创新方法,通过将二维码新增到以前成功但现已被安全产品阻止的网络钓鱼媒介来欺骗毫无戒心的用户。
Cloudflare 的保护策略
Cloudflare 一直处于防御 Quishing 攻击的最前沿。我们采用多方面的方法,并没有专注于过时的分层电子邮件配置规则,而是根据近十年的检测数据训练了我们的机器学习 (ML) 检测模型,并拥有大量主动计算机视觉模型来确保我们所有的客户都从一站式解决方案开始。
对于 Quish 检测,我们将其分为两部分:1) 识别和扫描二维码;2) 分析解码的二维码
第一部分是透过我们自己的二维码检测启发法解决的,它告诉我们计算机视觉模型如何、何时、何地执行。然后,我们利用最新的程序库和工具来帮助识别、处理以及(最重要的)解码二维码。虽然人类辨识二维码相对容易,但对于机器而言,二维码的混淆方式几乎没有限制。我们上面提供的示例只是我们在实际中看到的一小部分,不良行为者不断发现新方法,使二维码难以快速找到和识别,使其成为一场持续不断的猫鼠游戏,需要我们定期更新工具以因应流行的混淆技术。
第二部分是解码后的二维码的分析,先对其应用我们对网络钓鱼应用的所有处理方法,然后再进行一些处理。我们拥有能够解构复杂 URL 并从一次又一次的重定向(无论它们是否是自动)中深入挖掘最终 URL 的引擎。在此过程中,我们扫描恶意附件和恶意网站,并记录结果以供将来检测时交叉引用。如果我们遇到任何加密或密码保护的档案或内容,我们会利用另一组引擎尝试解密和取消保护,以便我们可以识别是否有任何掩盖的恶意内容。最重要的是,利用所有这些信息,我们不断用这些新数据更新我们的数据库,包括二维码的混淆,以便更好地评估利用我们所记录之方法的类似攻击。
然而,即使使用训练有素的网络钓鱼检测工具套件,恶意内容通常位于一长串重定向的末尾,这会阻止自动 Web 爬网程序识别任何内容,更不用说恶意内容了。在重定向之间,可能存在需要人类验证(例如 CAPTCHA)的硬区块,这使得自动化流程几乎不可能爬过去,因此根本无法对任何内容进行分类。或者可能存在带有活动识别要求的有条件区块,因此,如果任何人位于原始目标区域之外或拥有不满足活动要求的 Web 浏览器和操作系统版本,他们只会查看良性网站,而目标将暴露于恶意内容。多年来,我们已经建立了识别和通过这些验证的工具,因此我们可以确定可能存在的恶意内容。
然而,即使我们多年来开发了所有这些技术,在某些情况下我们仍无法轻松获得最终内容。在这些情况下,我们经过多年扫描链接及其元数据之训练的链接信誉机器学习模型已被证明非常有价值,并且在解码二维码后也可以轻松应用。透过关联域元数据、URL 结构、URL 查询字符串和我们自己的历史数据集等内容,我们能够做出推断来保护我们的客户。我们也采取主动方法,利用我们的 ML 模型来得出去哪里寻找二维码(即使它们不是很明显)。而且,透过仔细检查域、情绪、上下文、IP 地址、历史使用情况以及发件人与收件者之间的社交模式,Cloudflare 可以在潜在威胁造成伤害之前识别并消除它们。
创意示例和真实实例
通过我们每天处理的数千个二维码,我们看到了一些有趣的趋势。包括 Microsoft 和 DocuSign 在内的知名公司经常成为 Quishing 攻击的假冒对象。使其对用户更具迷惑性,甚至更有可能诈骗成功的情况是,这些公司确实在他们的合法工作流程中使用二维码。这进一步凸显了组织加强防御措施应对这一不断变化的威胁的迫切性。
以下是我们发现的最有趣的三个 Quish 示例,并将其与各个公司的实际用例进行了比较。这些电子邮件中使用的二维码已被屏蔽。
Microsoft Authenticator
Microsoft 使用二维码作为完成 MFA 的更快方式,而不是向用户的手机发送六位数的短信代码(这可能会延迟),二维码也被认为更安全,因为 SMS MFA 可以通过 SIM 交换攻击拦截。用户将独立注册他们的设备,并且之前会看到右侧的注册屏幕,因此收到一封电子邮件表明他们需要重新验证身份,这似乎也不会显得特别奇怪。
DocuSign
DocuSign 使用二维码让用户更轻松地下载移动应用程序来签署文档、透过移动设备进行身份验证以拍照,并支持在拥有二维码扫描功能的第三方应用程序中嵌入 DocuSign 功能。在原生 DocuSign 应用程序和非原生应用程序中使用二维码会让频繁使用 DocuSign 的用户感到迷惑,而对于很少使用 DocuSign 的用户来说则一点也不奇怪。虽然签名请求中不会使用用于下载 DocuSign 应用程序的二维码,但对于经常使用的用户来说,这似乎是在他们已下载到移动设备上的应用程序中打开请求的快速方法。
Microsoft Teams
Microsoft 在 Teams 中使用二维码,以允许用户通过移动设备快速加入团队,虽然 Teams 不将二维码用于语音信箱,但它确实具有语音信箱功能。左侧的电子邮件看上去是在提醒您检查 Teams 中的语音信箱,并结合了右侧的两个实际用例。
如何帮助防范 Quishing
我们面临着持续不断的 Quishing 威胁,因此个人和组织务必保持警惕。虽然没有任何解决方案可以保证 100% 的保护,但集体尽职调查可以显著降低风险,我们鼓励合作打击 Quishing。
如果您已经是 Cloud Email Security 客户,我们提醒您从我们的入口网站提交 Quish 实例,以协助阻止当前威胁并增强未来机器学习模型的功能,从而建立更主动的防御策略。如果您不是客户,您仍然可以将原始 Quish 样本作为 EML 格式的附件提交到 [email protected],并利用贵司所用电子邮件安全提供商的提交流程来告知他们这些 Quishing 手段。
打击 Quishing 的斗争仍在继续,且需要不断的创新和协作。为了支持 Quish 的提交,我们正在开发新方法,以便客户为我们的模型提供有针对性的反馈,并为我们的指标增加额外的透明度,以方便跟踪包括 Quish 在内的各种手段。