تستغل حملة تصيد احتيالي حديثة رموز الاستجابة السريعة (QR) بطريقة مبتكرة، حيث تحوّل جداول HTML بسيطة إلى رموز فعّالة تُعيد توجيه المستخدمين إلى مواقع خبيثة.
بدلاً من تضمين صورة رمز الاستجابة السريعة في نص البريد الإلكتروني، يقوم المهاجمون بإنشاء الرمز من مئات خلايا الجداول الصغيرة، كل منها مُنسّق باللون الأسود أو الأبيض.
لا يزال الرمز الناتج يُقرأ كرمز استجابة سريعة عادي، لكن العديد من أنظمة الحماية من البريد الإلكتروني لا تتعامل معه كصورة.
تتبع الرسائل، التي شوهدت بين 22 و26 ديسمبر، تصميمًا بسيطًا: نص قصير مُغرٍ ورمز QR مضغوط يحث الضحية على مسحه.
يُعيد كل رمز QR توجيه المستخدم إلى نطاقات فرعية من lidoustoo[.]click، وغالبًا ما يستخدم اسم نطاق المُستلم في مسار URL لإضفاء مزيد من المصداقية، مثل hxxps[:]///. يُساعد هذا الهيكل على جعل الرابط أقل إثارة للريبة للوهلة الأولى.
عاصفة الإنترنت أن رمز QR نفسه مُصمم باستخدام لغة HTML فقط، وذلك باستخدام جدول مُكوّن من خلايا بحجم 4×4 بكسل بخلفية سوداء وبيضاء.
تتجاوز هذه الطريقة العديد من محركات فحص رموز الاستجابة السريعة (QR)، المصممة لفحص مرفقات الصور الفعلية أو بيانات الصور المضمنة. مع ذلك، يبدو كود HTML الخاص بالبريد الإلكتروني مجرد ترميز تخطيطي بسيط بالنسبة لمرشحات المحتوى البسيطة.
في إحدى العينات الملتقطة، تم إنشاء رمز الاستجابة السريعة باستخدام كود مشابه للمقتطف أدناه، والذي يُعرّف مصفوفة كثيفة من الخلايا لترميز النمط:
التهرب من الكشف باستخدام رموز QR المستندة إلى جداول HTML
تستغل هذه التقنية، التي تعتمد على رموز QR غير المرئية، ثغرةً في العديد من بوابات البريد الإلكتروني الآمنة.
فالأدوات التي تستطيع فك تشفير صور رموز QR لا تفحص دائمًا جداول HTML كبنى رسومية محتملة، مما يسمح للنمط الخبيث بالتسلل عبر عمليات الفحص التي تركز على رموز QR.
في الوقت نفسه، لا ترى مرشحات المحتوى سوى العلامات القياسية وخصائص الألوان، ولا ترصد الكلمات المفتاحية الواضحة للتصيد الاحتيالي أو تجزئات الصور.
بالنسبة للمدافعين، تُذكّر هذه الحملة بأنّ الحماية لا يمكن أن تعتمد فقط على الشكل "المعتاد" للتهديدات. يجب أن تتعامل مرشحات البريد الإلكتروني الآمنة مع جداول البيانات المزدحمة على أنها رموز QR محتملة، وأن تُطبّق تحليلًا مُراعيًا لبنية DOM، وأن تُشير إلى عمليات إعادة التوجيه الخارجية غير المعتادة.
بالتوازي، ينبغي تدريب المستخدمين على أن مسح رموز QR من رسائل البريد الإلكتروني غير المرغوب فيها لا يقل خطورة عن النقر على روابط غير معروفة، حتى وإن بدا الرمز بسيطًا وواضحًا.
.png "English"){kind=small}
0 تعليقات