首例大規模二維碼網絡釣魚攻擊，可避開安全措施

據Bleepingcomputer報道，近日美國一家著名能源公司遭遇了大規模二維碼網絡釣魚攻擊，攻擊者向目標發送了大量包含惡意二維碼的電子郵件并成功繞過安全措施。

此次攻擊總共發送了超過1000封電子郵件，其中大約有三分之一(29%)針對一家大型美國能源公司，而其余的目標分布于制造業(15%)、保險業(9%)、技術(7%)、和金融服務（6%）。

據發現該活動的Cofense稱，這是業界首次監測到如此大規模的二維碼網絡釣魚攻擊，這表明更多的網絡釣魚攻擊者可能正在測試其作為攻擊媒介的有效性。

Cofense透露，攻擊始于一封網絡釣魚電子郵件，聲稱收件人必須采取行動更新其Microsoft365帳戶設置。

這些電子郵件帶有包含二維碼的PNG或PDF附件，系統會提示收件人掃描以驗證其帳戶。電子郵件還要求收件人必須在2-3天內完成此步驟，以增加緊迫感。

攻擊者使用圖像中嵌入的二維碼來繞過掃描郵件中惡意鏈接的電子郵件安全工具，從而使網絡釣魚郵件能夠順利到達目標的收件箱。

為了逃避安全檢測，該攻擊活動中的二維碼還使用Bing、Salesforce和Cloudflare的Web3服務中的重定向功能，將目標重定向到Microsoft365網絡釣魚頁面。

攻擊者通過在二維碼中隱藏重定向URL、濫用合法服務以及對網絡釣魚鏈接使用Base64編碼，大大增加了逃避檢測和通過電子郵件安全網關的成功率。

二維碼網絡釣魚是去年才逐漸開始流行的攻擊手段，2022年1月，FBI曾警告稱，網絡犯罪分子越來越多地使用二維碼竊取憑證和財務信息。

最后，盡管二維碼釣魚郵件往往能夠繞過郵件安全檢測，但依然需要受害者采取行動才能得逞，因此有針對性的網絡安全意識培訓能夠有效緩解此類威脅。