·WhiteMail 資安團隊#weekly-report#quishing#lookalike-domains
週報 #2 — QR 釣魚與相似網域
本週有兩種手法頻繁同時出現,值得放在一起討論:QR code 釣魚(「Quishing」)與相似網域。分開來看,兩者都是老手法,但合在一起時,便是為了同時突破掃描器與人眼而設計的。
本週
我們持續收到一種郵件,其行動呼籲(call to action)僅僅是一個以圖片呈現的 QR code。內容像是「掃描以查看安全文件」、「掃描以重新驗證帳戶」,郵件正文裡完全沒有可點擊的連結。
這正是它的目的。對大多數郵件過濾器而言,QR code 只是一堆像素而已。惡意網址完全不以文字形式出現,URL 信譽檢查與連結重寫都找不到目標。此外,人們通常用個人手機掃描 QR code,因此點擊行為發生在受管理的裝置之外——落在大部分控管機制的視野之外。
深度分析:同時突破掃描器與人眼
- 對掃描器而言: 目的地藏在圖片之中。沒有 href,沒有文字網址,也沒有可供檢查信譽的目標——除非真的有東西去解碼那個 QR code。
- 對人眼而言: 解碼後的網域與你信任的品牌只差一線。可能是換了一個字母,多了一個字,或是不同但看似合理的 TLD。在手機的小螢幕上,加上急躁的心情,看起來就跟正常的一樣。
到達頁面通常是登入畫面的忠實複製品。唯一會露出馬腳的地方是網址列,而正急著看手機的人,恰恰就不會去確認那個網址列。
可以採取的行動
- 對主要行動是 QR code 的郵件保持懷疑,尤其是以安全、付款或帳戶驗證為藉口的情況。
- 如果一定要掃描,請在開啟前先讀取解碼後的網址,並逐字比對網域與真正的網域是否一致。
- 把「請用手機掃描」理解為把攻擊轉移到你保護最薄弱的螢幕上,並因此放慢速度。
WhiteHat 會在 SA-03(連結與視覺)中解碼 QR code,並將解碼後得到的網域交由 SA-02(基礎設施)檢查。藏在圖片中的連結,最終還是會被當作連結本身——如實地——處理。
手上有含 QR code 的樣本嗎?把它放進分析主控台,看看 SA-03 如何把目的地揪出來。