·WhiteMail 安全团队#weekly-report#quishing#lookalike-domains
周报 #2 — 二维码钓鱼与相似域名
本周有两种手法频繁同时出现,值得放在一起讨论:二维码钓鱼(“Quishing”)与相似域名。分开来看,两者都是老手法,但合在一起时,便是为了同时突破扫描器与人眼而设计的。
本周
我们持续收到一种邮件,其行动号召(call to action)仅仅是一个以图片呈现的二维码。内容像是“扫描以查看安全文件”“扫描以重新验证账户”,邮件正文里完全没有可点击的链接。
这正是它的目的。对大多数邮件过滤器而言,二维码只是一堆像素而已。恶意网址完全不以文字形式出现,URL 信誉检查与链接重写都找不到目标。此外,人们通常用个人手机扫描二维码,因此点击行为发生在受管理的设备之外——落在大部分管控机制的视野之外。
深度分析:同时突破扫描器与人眼
- 对扫描器而言: 目的地藏在图片之中。没有 href,没有文字网址,也没有可供检查信誉的目标——除非真的有东西去解码那个二维码。
- 对人眼而言: 解码后的域名与你信任的品牌只差一线。可能是换了一个字母,多了一个字,或是不同但看似合理的顶级域名(TLD)。在手机的小屏幕上,加上急躁的心情,看起来就跟正常的一样。
到达页面通常是登录界面的忠实复制品。唯一会露出马脚的地方是地址栏,而正急着看手机的人,恰恰就不会去确认那个地址栏。
可以采取的行动
- 对主要行动是二维码的邮件保持怀疑,尤其是以安全、付款或账户验证为借口的情况。
- 如果一定要扫描,请在打开前先读取解码后的网址,并逐字比对域名与真正的域名是否一致。
- 把“请用手机扫描”理解为把攻击转移到你保护最薄弱的屏幕上,并因此放慢速度。
WhiteHat 会在 SA-03(链接与视觉)中解码二维码,并将解码后得到的域名交由 SA-02(基础设施)检查。藏在图片中的链接,最终还是会被当作链接本身——如实地——处理。
手上有含二维码的样本吗?把它放进分析控制台,看看 SA-03 如何把目的地揪出来。