近日，Cofense發現了一次專門針對美國能源公司的網絡釣魚攻擊活動，攻擊者利用二維碼將惡意電子郵件塞進收件箱并繞過安全系統。

Cofense 方面表示，這是首次發現網絡釣魚行為者如此大規模的使用二維碼進行釣魚攻擊，這表明他們可能正在測試用二維碼作為攻擊載體的有效性。

在歸因于該活動的 1,000 封電子郵件中，約有三分之一（29%）是針對美國一家大型能源公司的，其余的則是針對制造業（15%）、保險業（9%）、科技業（7%）和金融服務業（6%）的公司。

不過Cofense 并沒有透露此次活動的目標能源公司具體名稱，只將其歸類為美國的一家 "大型 "公司。

二維碼釣魚活動 來源：Cofense Cofense

網絡釣魚中的二維碼

Cofense 方面稱，攻擊開始時會先發送一封釣魚電子郵件，提醒收件人必須盡快更新其 Microsoft 365 帳戶設置。郵件中的 PNG 或 PDF 附件會帶有二維碼，收件人會被提示掃描以驗證其賬戶。為了增加緊迫感，郵件還指出收件人必須在 2-3 天內完成這一步驟。

網絡釣魚電子郵件樣本 來源：Cofense Cofense

威脅行為者使用嵌入在圖片中的 QR 代碼繞過電子郵件安全工具，這些工具會掃描郵件中的已知惡意鏈接，從而使網絡釣魚郵件到達目標收件箱。

為了規避安全問題，釣魚活動中的 QR 代碼還使用了必應、Salesforce 和 Cloudflare 的 Web3 服務中的重定向功能，將目標重定向到 Microsoft 365 釣魚頁面。

在 QR 代碼中隱藏重定向 URL、濫用合法服務以及為釣魚鏈接使用 base64 編碼都有助于逃避檢測和通過電子郵件保護過濾器。

重定向 URL 示例（Cofense）

網絡犯罪分子利用二維碼竊取憑證和財務信息

QR 碼過去也曾被攻擊者用于其在法國和德國的網絡釣魚活動，盡管規模較小。此外，這些詐騙者還利用二維碼誘騙人們掃描，并將他們重定向到惡意網站，試圖竊取他們的錢財。

2022 年 1 月，美國聯邦調查局警告稱，網絡犯罪分子越來越多地利用二維碼竊取憑證和財務信息。盡管二維碼能有效繞過保護措施，但它仍然需要受害者采取行動才能被破解，這是一個有利于訓練有素人員的決定性緩解因素。

此外，現代智能手機上的大多數二維碼掃描器都會要求用戶在啟動瀏覽器前驗證目標 URL，以此作為保護措施。

除培訓外，Cofense 還建議企業使用圖像識別工具作為其網絡釣魚防護措施的一部分，盡管這些工具不能保證捕捉到所有 QR 代碼威脅。