ภัยไซเบอร์ประจำเดือน: ตรวจจับการโจมตีด้วย QR Code หลายชั้น

tunz@cyberdefense.co.th

โพสต์ในบล็อกนี้เป็นส่วนหนึ่งของซีรีส์ประจำเดือน Cybersecurity Stop of the Month ซึ่งสำรวจกลยุทธ์ที่พัฒนาตลอดเวลาของอาชญากรไซเบอร์ในปัจจุบัน โดยมุ่งเน้นไปที่สามขั้นตอนแรกที่สำคัญในห่วงโซ่การโจมตีในบริบทของภัยคุกคามทางอีเมล เป้าหมายของซีรีส์นี้คือการช่วยให้คุณเข้าใจวิธีเสริมการป้องกันของคุณเพื่อปกป้องผู้คนและปกป้องข้อมูลจากภัยคุกคามที่เกิดขึ้นใหม่ในภาพรวมภัยคุกคามแบบไดนามิกในปัจจุบัน

Figure 1

สามขั้นตอนแรกที่สำคัญของห่วงโซ่การโจมตี: การลาดตระเวน การประนีประนอมเบื้องต้น และความคงอยู่

จนถึงตอนนี้เราได้ตรวจสอบการโจมตีประเภทเหล่านี้แล้วในซีรีส์นี้:

ในโพสต์นี้ เราจะเจาะลึกการโจมตีด้วยโค้ด QR รูปแบบใหม่ที่ซับซ้อนซึ่งเราตรวจพบและหยุดได้เมื่อเร็วๆ นี้ มันแสดงให้เห็นว่าผู้โจมตีสร้างสรรค์สิ่งใหม่ๆ อย่างต่อเนื่องได้อย่างไร และ Proofpoint ก้าวนำหน้าคู่แข่งได้อย่างไร

สถานการณ์

โดยทั่วไปแล้ว ในการโจมตีโค้ด QR โค้ด QR ที่เป็นอันตรายจะถูกฝังอยู่ในอีเมลโดยตรง แต่เมื่อเร็ว ๆ นี้ ผู้โจมตีได้เกิดรูปแบบใหม่และซับซ้อนขึ้นมา ในการโจมตีแบบหลายชั้นเหล่านี้ รหัส QR ที่เป็นอันตรายจะถูกซ่อนอยู่ในสิ่งที่ดูเหมือนไฟล์แนบ PDF ที่ไม่เป็นอันตราย เพื่อชะลอการตรวจจับอัตโนมัติและสร้างความสับสนให้กับเครื่องมือรักษาความปลอดภัยอีเมลแบบเดิม ผู้โจมตีจึงใช้กลยุทธ์ป้องกันการหลีกเลี่ยง เช่น การเพิ่ม Cloudflare CAPTCHA ซึ่งหมายความว่าเครื่องมือที่ใช้การตรวจจับชื่อเสียงของ URL แบบเดิมต้องเผชิญกับการต่อสู้ที่ยากลำบากในการพยายามระบุตัวตนเหล่านั้น

เมื่อเร็วๆ นี้ Proofpoint พบหนึ่งในภัยคุกคามเหล่านี้ในขณะที่ทำการประเมินภัยคุกคามที่บริษัทยานยนต์ในสหรัฐฯ ซึ่งมีพนักงาน 11,000 คน เครื่องมือรักษาความปลอดภัยของบริษัท—เครื่องมือรักษาความปลอดภัยอีเมลที่ใช้ API และความปลอดภัยดั้งเดิม—ทั้งคู่มีความสามารถในการสแกน QR แต่ทั้งคู่ก็จัดประเภทอีเมลว่าสะอาดและส่งไปยังผู้ใช้ปลายทาง

ภัยคุกคาม: การโจมตีเกิดขึ้นได้อย่างไร?

มาดูกันว่าการโจมตีเกิดขึ้นได้อย่างไร

1. เหยื่อล่อลวง อีเมลนี้ได้รับการออกแบบมาให้ดูเหมือนถูกต้องตามกฎหมาย และถือเป็นเรื่องเร่งด่วนในช่วงฤดูภาษี การดำเนินการนี้แจ้งให้ผู้รับเปิดไฟล์ PDF ที่แนบมา

Malicious email designed to appear legitimate

อีเมลเริ่มต้นถึงผู้ใช้ปลายทาง

2. รหัส QR ที่เป็นอันตรายฝังอยู่ใน PDF ไม่เหมือนกับการโจมตีด้วยรหัส QR ก่อนหน้านี้ URL ที่เป็นอันตรายในการโจมตีนี้ไม่สามารถมองเห็นได้โดยตรงในอีเมล กลับถูกซ่อนไว้ใน PDF ที่แนบมาแทน เมื่อพิจารณาถึงความแพร่หลายของรหัส QR สิ่งนี้อาจไม่ดูน่าสงสัยสำหรับผู้รับ

The attached PDF with embedded malicious QR code

PDF ที่แนบมาพร้อมรหัส QR ฝังอยู่ (คลุมเครือ)

3. อุปสรรค์ Cloudflare CAPTCHA ผู้โจมตีได้เพิ่มการหลอกลวงอีกชั้นหนึ่ง พวกเขาใช้ Cloudflare CAPTCHA บนหน้า Landing Page จาก URL โค้ด QR เพื่อซ่อนภัยคุกคามที่ซ่อนอยู่เพิ่มเติม ขั้นตอนนี้มีจุดมุ่งหมายเพื่อหลีกเลี่ยงเครื่องมือตรวจจับความปลอดภัยที่ต้องอาศัยการวิเคราะห์ชื่อเสียงของ URL เพียงอย่างเดียว

Cloudfare CAPTCHA on QR code URL landing page

Cloudflare CAPTCHA บนหน้า Landing Page ของ URL โค้ด QR

4. การสิ้นสุดฟิชชิ่งข้อมูลประจำตัว เมื่อ CAPTCHA ได้รับการแก้ไขแล้ว รหัส QR ที่เป็นอันตรายจะนำไปสู่หน้า Landing Page ฟิชชิ่งที่ตั้งค่าไว้เพื่อขโมยข้อมูลประจำตัวของผู้ใช้ การขโมยข้อมูลรับรองผู้ใช้สามารถให้ผู้ประสงค์ร้ายเข้าถึงบัญชีผู้ใช้เพื่อกระจายการโจมตีภายในสำหรับการเคลื่อนไหวด้านข้าง หรืออาจใช้ภายนอกเพื่อหลอกลวงพันธมิตรหรือซัพพลายเออร์ เช่นเดียวกับการโจมตีทางอีเมล์ของซัพพลายเออร์

การตรวจจับ: Proofpoint ป้องกันการโจมตีนี้ได้อย่างไร

การใช้การรู้จำอักขระด้วยแสง (OCR) หรือเทคนิคการสแกนโค้ด QR อื่นๆ มีบทบาทสำคัญในการป้องกันภัยคุกคามจากโค้ด QR แต่การสแกนโค้ด QR เป็นเพียงกลไกที่ใช้ในการดึง URL ที่ซ่อนอยู่เท่านั้น มันไม่ได้ทำหน้าที่เป็นกลไกการตรวจจับเพื่อถอดรหัสระหว่างรหัส QR ที่ถูกต้องหรือเป็นอันตราย

เครื่องมือหลายอย่าง รวมถึงเครื่องมือรักษาความปลอดภัยอีเมลที่ใช้โดยบริษัทยานยนต์ อ้างว่าแยกวิเคราะห์รหัส QR และแยก URL เพื่อการวิเคราะห์ อย่างไรก็ตาม พวกเขาขาดความสามารถในการสแกน URL ภายในภาพที่ฝังอยู่ในไฟล์แนบ มีเครื่องมือเพียงไม่กี่อย่างที่ออกแบบความสามารถในการใช้การวิเคราะห์ URL แบบเจาะลึกในระดับเช่น Proofpoint

Proofpoint ใช้การสแกนโค้ด QR แต่เรารวมเข้ากับสแต็กการตรวจจับหลายชั้นที่ใช้เทคนิคปัญญาประดิษฐ์ขั้นสูง (AI) และการเรียนรู้ของเครื่อง (ML) เพื่อทำความเข้าใจบริบทของการติดต่อทางอีเมล เราผสมผสานเทคนิคการวิเคราะห์ภัยคุกคามเชิงลึกและแซนด์บ็อกซ์เข้าด้วยกันอย่างแนบแน่นเพื่อให้แน่ใจว่าการตรวจจับภัยคุกคามรหัส QR ขั้นสูงเหมาะสม

นี่คือสิ่งที่เราใช้ในการตรวจจับและหยุดภัยคุกคามนี้:
  • การสแกนรหัส QR Proofpoint ใช้การสแกนโค้ด QR เพื่อแปลงรูปภาพเป็นรูปแบบที่เครื่องอ่านได้ สิ่งนี้ทำให้เราสามารถแยก URL ที่ซ่อนอยู่ในการโจมตีนี้เพื่อการวิเคราะห์เพิ่มเติม การสแกนโค้ด QR ของเรารองรับสถานการณ์ต่างๆ รวมถึง PDF, เนื้อหาอีเมล, รูปภาพ, ไฟล์ Microsoft Word และอื่นๆ อีกมากมาย การรองรับการสแกนโค้ด QR มีบทบาทสำคัญในการป้องกันภัยคุกคามประเภทนี้

  • ตัวชี้วัดพฤติกรรม Proofpoint วิเคราะห์พฤติกรรมผู้ใช้ บริบทอีเมล และลักษณะเฉพาะของอีเมล ในทางกลับกัน ช่วยให้เราตรวจพบรูปแบบที่บ่งชี้ว่าอีเมลมีความเป็นไปได้สูงที่จะเป็นอันตราย

  • แซนด์บ็อกซ์ URL ด้วยการแยก URL ภายในแซนด์บ็อกซ์ Proofpoint จึงสามารถวิเคราะห์องค์ประกอบภาพ รูปแบบการเปลี่ยนเส้นทาง กระบวนการปลายทาง กิจกรรมเครือข่าย การเรียก DNS และกระบวนการ CPU และหน่วยความจำ เราสามารถตรวจจับกลยุทธ์ป้องกันการหลบเลี่ยง เช่น CAPTCHA ได้เช่นกัน Proofpoint ตรวจจับภัยคุกคาม URL ขั้นสูงที่เครื่องมืออื่น ๆ พยายามตรวจจับเนื่องจากเราวิเคราะห์ URL และพฤติกรรมของมัน แม้ว่า URL จะพบว่าสะอาดแม้จะแสดงตัวบ่งชี้พฤติกรรมที่เกี่ยวข้องกับกิจกรรมที่เป็นอันตราย แต่เรายังคงตรวจสอบและสแกน URL ต่อไปเพื่อการบุกรุกหรืออาวุธในภายหลัง

การแก้ไข: บทเรียนที่ได้รับมีอะไรบ้าง?

การโจมตีครั้งนี้เน้นย้ำถึงลักษณะการพัฒนาของกลยุทธ์ฟิชชิ่งที่ใช้รหัส QR และเน้นย้ำถึงความสำคัญของการใช้แนวทางรักษาความปลอดภัยอีเมลแบบหลายชั้น ประเด็นสำคัญบางประการมีดังนี้:

  • โปรดใช้ความระมัดระวังในทุกคำขอสแกนรหัส QR อย่าเชื่อถือไฟล์ PDF, รูปภาพ หรือคำขออื่น ๆ ในการสแกนโค้ด QR โดยอัตโนมัติ โดยเฉพาะอีเมลที่ส่งมาโดยไม่พึงประสงค์

  • ระมัดระวังในช่วงฤดูภาษี ความพยายามฟิชชิ่งทำให้เกิดความรู้สึกเร่งด่วนและมักจะใช้ประโยชน์จากเหตุการณ์ที่ต้องคำนึงถึงเวลา

  • มองให้ไกลกว่าชื่อเสียงของ URL ภัยคุกคามอีเมลขั้นสูงสามารถหลีกเลี่ยงตัวกรองตามชื่อเสียงแบบดั้งเดิมและเครื่องมือรักษาความปลอดภัยอีเมลที่ใช้ API

  • ลงทุนในการรักษาความปลอดภัยที่ครอบคลุม เลือกเครื่องมือที่รวมข้อมูลภัยคุกคาม การวิเคราะห์พฤติกรรม และเทคโนโลยีขั้นสูง เช่น OCR และแซนด์บ็อกซ์ URL

  • การฝึกอบรมความตระหนักรู้ด้านความปลอดภัย ส่งเสริมให้พนักงานของคุณระบุรหัส QR ที่น่าสงสัย ตั้งคำถามกับคำขอที่ไม่คาดคิด และรายงานในเชิงรุก

Proofpoint มอบความปลอดภัยที่ยึดมนุษย์เป็นศูนย์กลาง

การโจมตีด้วยโค้ด QR หลายชั้นในตัวอย่างนี้มีเป้าหมายเพื่อหลีกเลี่ยงการป้องกันแบบเดิมๆ แต่ Proofpoint และ Human-Centric Security ของเราหยุดยั้งการโจมตีดังกล่าวได้ ข้อมูลภัยคุกคามอัจฉริยะและความสามารถในการตรวจจับ เช่น การสแกนโค้ด QR, OCR, AI เชิงพฤติกรรม และแซนด์บ็อกซ์ URL ช่วยให้เราสามารถระบุการหลอกลวงนี้ได้อย่างรวดเร็วและปกป้องผู้ใช้จากอันตราย

อย่ารอให้บริษัทของคุณกลายเป็นเป้าหมายต่อไป เพิ่มศักยภาพให้กับบุคลากรของคุณและรักษาความปลอดภัยให้กับธุรกิจของคุณด้วย Proofpoint

หากต้องการเรียนรู้เพิ่มเติมว่า Proofpoint สามารถช่วยให้ธุรกิจของคุณป้องกันภัยคุกคาม เช่น การโจมตีฟิชชิ่งด้วยรหัส QR ได้อย่างไร ดาวน์โหลด e-book ของเรา คู่มือกลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์ทางอีเมลขั้นสุดท้าย












	
	
	
	









#Crowdstrike







Medical Assistant
tunz@cyberdefense.co.th





	
	
	

	

	
	

	

	
	
	











		

			
Leave a Reply
			

				
									
					
					
							

		


		
		

		






	

	








					

						

								
	


		
		
Discover more from Cyberdefense

		

		
		
Subscribe now to keep reading and get access to the full archive.

		

			

		

							

					

												

							
													

												

							
							
							
							
							
							
							
														
						

					

				

								

	

	

		
		
Continue reading