Scanception kampány
A Scanception kampány egy kifinomult quishing (QR-kód alapú adathalász) támadás, amelynek lényege, hogy a phishing e-mailek hamis, de professzionális kinézetű PDF csatolmányokat tartalmaznak, melyek QR-kódokat rejtenek – ennek segítségével a felhasználó saját mobiljára küldi a támadás láncát. Ez hatékonyan kikerüli az email- és végpontvédelmi rendszereket, hiszen a rosszindulatú infrastruktúra a személyes mobilkészülékre irányul.
A PDF dokumentum közepén található QR-kód általában olyan céloldalra vezet, amely egy teljesen hitelesnek tűnő Office 365 bejelentkezési felületet jelenít meg. A csalók kihasználják a hiteles infrastruktúrákat, mint a YouTube, Google, Bing, Cisco vagy Medium általi open redirectorokat – ezek megbízhatónak tűnnek, így az URL-ek ritkán váltanak ki gyanút a védelmi rendszerekben.
A támadás technikai kivitelezése is kifinomult: a hamis bejelentkező lap automatikusan érzékeli, ha elemzőeszközöket (pl. Selenium, PhantomJS, Burp Suite) használ a felhasználó, és ilyenkor azonnal about:blank oldalra irányít, ezzel elkerülve az elemzést. Ezzel elindul a hitelesítő adatok gyűjtése, és a megszerzett azonosítókat valós időben továbbítja a támadó backendjére, ahol akár az MFA kódok begyűjtése is megtörténhet – az integráció AITM (adversary‑in‑the‑middle) technológiával történik.
Három hónap alatt a kutatók több mint 600 féle QR‑kódos PDF-et azonosítottak – ezek 80%-a nem szerepelt még a VirusTotal detektálási eredményei között. A célpontok között jellemzően technológiai, egészségügyi, gyártóipari és pénzügyi szereplők szerepelnek, különösen célzottan Észak‑Amerikában, EMEA régióban és az APAC területen.
A védekezéshez a kutatók javasolják az email-gatewayek QR-kódolvasóinak és beágyazott PDF-ellenőrzésének fejlesztését, a mobilplatformok részvétele esetén a többlépcsős viselkedés-alapú monitorozás bevezetését. Fontos a phishing URL-ek, különösen AITM infrastruktúrák, figyelése, intelligens domain monitoring, valamint a felhasználók folyamatos képzése a QR-alapú támadások felismerésére
