导言
二维码已成为协作平台上身份验证、设备配对和文件共享不可或缺的工具。然而,二维码的便利性也使其成为网络犯罪分子的主要目标。根据Egress 的数据,二维码网络钓鱼(quishing)从 2021 年占网络钓鱼电子邮件的 0.8% 猛增至 2023 年的 12.4%,2024 年的持续率为 10.8%。这种指数式增长反映了攻击者的战略转移,即利用Signal和Microsoft Teams等可信工具,这些工具现在已成为企业通信的核心。
This blog explores how QR code-based attacks bypass traditional defenses, highlight real-world incidents, and outlines how MetaDefender Core mitigates these risks through Deep CDR™ Technology, InSights Threat Intelligence, and API-based integrations.
2025 年第一季度基于 QR 码的头号攻击事件
Signal 的链接设备攻击--绕过身份验证
领先的加密信息应用程序 Signal 允许用户通过二维码扫描而不是密码来链接设备。如果主设备被入侵,攻击者就能通过一个关键漏洞永久链接恶意设备。
攻击方法
- 网络钓鱼电子邮件或社交工程计划以 "账户验证 "为幌子,诱骗用户扫描二维码。
- 一旦被扫描,攻击者的设备就能完全访问信息、联系人和通信,无需密码。
现实世界的影响
- 谷歌威胁分析小组发现,俄罗斯间谍组织利用这一漏洞攻击乌克兰用户(《连线》)。
Microsoft Teams 中的 Black Basta QR 码网络钓鱼
Black Basta 是一个臭名昭著的勒索软件即服务(RaaS)组织,自 2022 年以来一直活跃在微软团队中。
攻击方法
- 伪造的 IT 安全警报通过 Teams 发送,敦促员工扫描二维码以 "验证 "Microsoft 365 凭据。
- QR 码会掩盖恶意 URL,从而避开电子邮件安全工具。
- 受害者会被重定向到伪造的登录页面,从而被窃取凭证、权限升级和部署勒索软件。
MetaDefender Core™如何防止基于 QR 码的攻击
为了应对这些不断变化的威胁,企业需要超越传统网络钓鱼检测的先进安全解决方案。MetaDefender Core 采用多层次技术,专门用于消除协作平台中基于文件和凭证的威胁。
深度CDR™技术
Deep CDR™ Technology sanitizes image files by removing potentially malicious elements and out-of-policy content (e.g., obfuscated URLs) and regenerating new, safe-to-use files. To prevent quishing attacks, Deep CDR™ Technology:
- 从 QR 代码中提取超链接并消除威胁。
- 重新生成可安全使用的 QR 码,允许用户为其添加 URL 扫描服务。
InSightsThreat Intelligence
使用 InSightsThreat Intelligence ,利用从多个来源收集的威胁情报,近乎实时地识别和阻止 QR 码中的恶意域和 IP。
- Detect the domain extracted from the QR codes by Deep CDR™ Technology.
- 防止员工访问黑名单或可疑域。
- 根据不断变化的威胁持续更新风险情报。
用正确的防御方法防止钓鱼
二维码不再只是一种便利,它已成为网络犯罪分子窃取凭证、绕过 MFA 和部署勒索软件的主要目标。为降低这些风险,企业应对二维码互动采取零信任方法,包括:
- 教育员工了解 QR 码网络钓鱼的风险和攻击方法。
- 加强mobile 安全策略,降低未经授权扫描的可能性。
- 部署MetaDefender Core 等前瞻性威胁防御解决方案,对二维码进行消毒,阻止恶意域,并将安全集成到企业工作流程中。
一次被破坏的二维码扫描就可能导致全面的安全漏洞。企业必须立即行动起来,超越传统的防御方式,采用多层次的深度防御解决方案,从而领先于攻击者。
