Cloudflare Cloud Email Security如何防御不斷演變的二維碼網(wǎng)絡(luò)釣魚威脅

在不斷發(fā)展的網(wǎng)絡(luò)威脅環(huán)境中，出現(xiàn)了一種微妙但有效的網(wǎng)絡(luò)釣魚形式——Quishing，這是QR phishing（二維碼網(wǎng)絡(luò)釣魚）的縮寫。二維碼發(fā)明已有30年了，但Quishing仍然構(gòu)成重大風(fēng)險，尤其是在新冠疫情時代之后，二維碼成為查看狀態(tài)、登記活動甚至訂餐的常態(tài)。

自2020年以來，Cloudflare的云電子郵件安全解決方案（以前稱為Area 1）一直處于打擊Quishing攻擊的最前沿，積極主動地剖析這些攻擊，以更好地保護(hù)我們的客戶。讓我們深入研究二維碼網(wǎng)絡(luò)釣魚背后的機(jī)制，探討為什么二維碼是攻擊者的首選工具，并回顧C(jī)loudflare如何為應(yīng)對這種不斷演變的威脅做出貢獻(xiàn)。

Quishing的工作原理

網(wǎng)絡(luò)釣魚和Quishing的影響非常相似，因為兩者都可能導(dǎo)致用戶的憑據(jù)泄漏、設(shè)備被盜，甚至造成經(jīng)濟(jì)損失。它們還利用惡意附件或網(wǎng)站，使不良行為者能夠訪問他們通常無法訪問的內(nèi)容。它們的不同之處在于，Quishing通常具有高度針對性，并使用二維碼來進(jìn)一步掩蓋自身以免被檢測到。

由于網(wǎng)絡(luò)釣魚檢測引擎需要電子郵件中的URL或附件等輸入才能進(jìn)行檢測，因此Quish會透過阻礙對這些輸入的檢測來獲得成功。在下面的示例A中，在爬行網(wǎng)絡(luò)釣魚的URL后，經(jīng)過兩次重定向后登陸惡意網(wǎng)站，該網(wǎng)站自動嘗試執(zhí)行復(fù)制登錄名稱和密碼的鍵盤記錄惡意軟件。對于示例A，這顯然會觸發(fā)檢測器，但示例B沒有可爬行的鏈接，因此對示例A有效的相同檢測會變得無效。

您或許會想，這很奇怪，既然我的手機(jī)可以掃描該二維碼，那么檢測引擎就不能辨識該二維碼嗎？簡單來說，不能，因為網(wǎng)絡(luò)釣魚檢測引擎針對捕捉網(wǎng)絡(luò)釣魚進(jìn)行了優(yōu)化，但識別和掃描二維碼需要完全不同的引擎——計算機(jī)視覺引擎。這就讓我們明白了為什么二維碼是攻擊者的首選工具。

為什么使用二維碼進(jìn)行網(wǎng)絡(luò)釣魚？

二維碼在網(wǎng)絡(luò)釣魚攻擊中流行有三個主要原因。首先，二維碼擁有強(qiáng)大的糾錯能力，使其能夠承受重設(shè)大小、像素移位、光照變化、部分裁剪和其他扭曲。事實上，計算機(jī)視覺模型可以掃描二維碼，但是對于機(jī)器來說，識別電子郵件、圖像或電子郵件中鏈接之網(wǎng)頁的哪個部分具有二維碼相當(dāng)困難，如果二維碼已被混淆處理，使其無法被一些計算機(jī)視覺模型檢測到，則更是如此。例如，透過反轉(zhuǎn)它們、將它們與其他顏色或圖像混合，或?qū)⑺鼈冏兊梅浅Ｐ?，計算機(jī)視覺模型甚至難以識別二維碼的存在，更不用說掃描它們了。盡管過濾器和一些額外處理可以應(yīng)用至任何圖像，但不知道要對什么內(nèi)容應(yīng)用以及在何處應(yīng)用，使得對二維碼的反混淆成為一個極其昂貴的計算問題。這不僅使得很難捕捉所有Quish，而且可能會由于圖像或文本塊看起來類似于二維碼，導(dǎo)致用戶無法快速收到電子郵件，進(jìn)而導(dǎo)致投遞延遲，給最終用戶帶來不好的體驗。

盡管計算機(jī)視覺模型可能難以反混淆二維碼，但我們從經(jīng)驗中發(fā)現(xiàn)，當(dāng)人類遇到這些混淆的二維碼時，只要有足夠的時間和精力，他們通常能夠掃描二維碼。通過增加屏幕亮度、打印電子郵件、調(diào)整代碼大小等各種措施，他們可以成功制作出能夠規(guī)避機(jī)器掃描的二維碼。

不相信我們？您可以使用已針對機(jī)器進(jìn)行混淆處理的二維碼親自嘗試一下。它們都鏈接到https://blog.cloudflare.com/zh-cn

（磚墻圖像由rawpixel.com在Freepik上提供）

如果您掃描了上面的任何一個示例二維碼，則應(yīng)該已經(jīng)清楚不良行為者青睞Quish的下一個原因。用于訪問二維碼的設(shè)備通常是安全狀態(tài)有限的個人設(shè)備，因此很容易受到利用。雖然受到保護(hù)的企業(yè)設(shè)備通常具有在用戶訪問惡意鏈接時警告、阻止或隔離用戶的措施，但這些保護(hù)措施在個人設(shè)備上原生不可用。這尤其令人擔(dān)憂，因為我們已經(jīng)看到了針對組織中高階主管的自定義二維碼的趨勢。

二維碼還可以與其他混淆技術(shù)無縫疊加，例如加密附件、模仿知名網(wǎng)站的鏡像、看似用于證明為人類的驗證但實際為惡意的內(nèi)容等等。這種多功能性使它們成為網(wǎng)絡(luò)犯罪分子的一個有吸引力的選擇，他們尋求創(chuàng)新方法，通過將二維碼新增到以前成功但現(xiàn)已被安全產(chǎn)品阻止的網(wǎng)絡(luò)釣魚媒介來欺騙毫無戒心的用戶。

Cloudflare的保護(hù)策略

Cloudflare一直處于防御Quishing攻擊的最前沿。我們采用多方面的方法，并沒有專注于過時的分層電子郵件配置規(guī)則，而是根據(jù)近十年的檢測數(shù)據(jù)訓(xùn)練了我們的機(jī)器學(xué)習(xí)（ML）檢測模型，并擁有大量主動計算機(jī)視覺模型來確保我們所有的客戶都從一站式解決方案開始。

對于Quish檢測，我們將其分為兩部分：

1）識別和掃描二維碼；

2）分析解碼的二維碼

第一部分是透過我們自己的二維碼檢測啟發(fā)法解決的，它告訴我們計算機(jī)視覺模型如何、何時、何地執(zhí)行。然后，我們利用最新的程序庫和工具來幫助識別、處理以及（最重要的）解碼二維碼。雖然人類辨識二維碼相對容易，但對于機(jī)器而言，二維碼的混淆方式幾乎沒有限制。我們上面提供的示例只是我們在實際中看到的一小部分，不良行為者不斷發(fā)現(xiàn)新方法，使二維碼難以被快速找到和識別，使其成為一場持續(xù)不斷的貓鼠游戲，需要我們定期更新工具以因應(yīng)流行的混淆技術(shù)。

第二部分是解碼后的二維碼的分析，先對其應(yīng)用我們對網(wǎng)絡(luò)釣魚應(yīng)用的所有處理方法，然后再進(jìn)行一些處理。我們擁有能夠解構(gòu)復(fù)雜URL并從一次又一次的重定向（無論它們是否是自動）中深入挖掘最終URL的引擎。在此過程中，我們掃描惡意附件和惡意網(wǎng)站，并記錄結(jié)果以供將來檢測時交叉引用。如果我們遇到任何加密或密碼保護(hù)的檔案或內(nèi)容，我們會利用另一組引擎嘗試解密和取消保護(hù)，以便我們可以識別是否有任何掩蓋的惡意內(nèi)容。最重要的是，利用所有這些信息，我們不斷用這些新數(shù)據(jù)更新我們的數(shù)據(jù)庫，包括二維碼的混淆，以便更好地評估利用我們所記錄之方法的類似攻擊。

然而，即使使用訓(xùn)練有素的網(wǎng)絡(luò)釣魚檢測工具套件，惡意內(nèi)容通常位于一長串重定向的末尾，這會阻止自動Web爬網(wǎng)程序識別任何內(nèi)容，更不用說惡意內(nèi)容了。在重定向之間，可能存在需要人類驗證（例如CAPTCHA）的硬區(qū)塊，這使得自動化流程幾乎不可能爬過去，因此根本無法對任何內(nèi)容進(jìn)行分類?；蛘呖赡艽嬖趲в谢顒幼R別要求的有條件區(qū)塊，因此，如果任何人位于原始目標(biāo)區(qū)域之外或擁有不滿足活動要求的Web瀏覽器和操作系統(tǒng)版本，他們只會查看良性網(wǎng)站，而目標(biāo)將暴露于惡意內(nèi)容。多年來，我們已經(jīng)建立了識別和通過這些驗證的工具，因此我們可以確定可能存在的惡意內(nèi)容。

然而，即使我們多年來開發(fā)了所有這些技術(shù)，在某些情況下我們?nèi)詿o法輕松獲得最終內(nèi)容。在這些情況下，我們經(jīng)過多年掃描鏈接及其元數(shù)據(jù)之訓(xùn)練的鏈接信譽(yù)機(jī)器學(xué)習(xí)模型已被證明非常有價值，并且在解碼二維碼后也可以輕松應(yīng)用。透過關(guān)聯(lián)域元數(shù)據(jù)、URL結(jié)構(gòu)、URL查詢字符串和我們自己的歷史數(shù)據(jù)集等內(nèi)容，我們能夠做出推斷來保護(hù)我們的客戶。我們也采取主動方法，利用我們的ML模型來得出去哪里尋找二維碼（即使它們不是很明顯）。而且，透過仔細(xì)檢查域、情緒、上下文、IP地址、歷史使用情況以及發(fā)件人與收件者之間的社交模式，Cloudflare可以在潛在威脅造成傷害之前識別并消除它們。

創(chuàng)意示例和真實實例

通過我們每天處理的數(shù)千個二維碼，我們看到了一些有趣的趨勢。包括Microsoft和DocuSign在內(nèi)的知名公司經(jīng)常成為Quishing攻擊進(jìn)行假冒的對象。使其對用戶更具迷惑性，甚至更有可能詐騙成功的情況是，這些公司確實在他們的合法工作流程中使用二維碼。這進(jìn)一步凸顯了組織加強(qiáng)防御措施應(yīng)對這一不斷變化的威脅的迫切性。

以下是我們發(fā)現(xiàn)的最有趣的三個Quish示例，并將其與各個公司的實際用例進(jìn)行了比較。（這些電子郵件中使用的二維碼已被屏蔽）

Microsoft Authenticator

Microsoft使用二維碼作為完成MFA的更快方式，而不是向用戶的手機(jī)發(fā)送六位數(shù)的短信代碼（這可能會延遲），二維碼也被認(rèn)為更安全，因為SMS MFA可以通過SIM交換攻擊攔截。用戶將獨立注冊他們的設(shè)備，并且之前會看到右側(cè)的注冊屏幕，因此收到一封電子郵件表明他們需要重新驗證身份，這似乎也不會顯得特別奇怪。

DocuSign

DocuSign使用二維碼讓用戶更輕松地下載移動應(yīng)用程序來簽署文檔、透過移動設(shè)備進(jìn)行身份驗證以拍照，并支持在擁有二維碼掃描功能的第三方應(yīng)用程序中嵌入DocuSign功能。在原生DocuSign應(yīng)用程序和非原生應(yīng)用程序中使用二維碼會讓頻繁使用DocuSign的用戶感到迷惑，而對于很少使用DocuSign的用戶來說則一點也不奇怪。雖然簽名請求中不會使用用于下載DocuSign應(yīng)用程序的二維碼，但對于經(jīng)常使用的用戶來說，這似乎是在他們已下載到移動設(shè)備上的應(yīng)用程序中打開請求的快速方法。

Microsoft Teams

Microsoft在Teams中使用二維碼，以允許用戶通過移動設(shè)備快速加入，雖然Teams不將二維碼用于語音信箱，但它確實具有語音信箱功能。左側(cè)的電子郵件看上去是在提醒您檢查Teams中的語音信箱，并結(jié)合了右側(cè)的兩個實際用例。

Cloudflare如何幫助防范Quishing

我們面臨著持續(xù)不斷的Quishing威脅，因此個人和組織務(wù)必保持警惕。雖然沒有任何解決方案可以保證100%的保護(hù)，但集體盡職調(diào)查可以顯著降低風(fēng)險，我們鼓勵合作打擊Quishing。

如果您已經(jīng)是Cloud Email Security用戶，我們提醒您從我們的入口網(wǎng)站提交Quish實例，以協(xié)助阻止當(dāng)前威脅并增強(qiáng)未來機(jī)器學(xué)習(xí)模型的功能，從而建立更主動的防御策略。如果您不是訂閱用戶，您仍然可以將原始Quish樣本作為EML格式的附件提交到Quish cloudflare.com，同時也不要忘記利用貴司所用電子郵件安全提供商的提交流程來告知他們這些Quishing手段。

打擊Quishing的斗爭仍在繼續(xù)，且需要不斷的創(chuàng)新和協(xié)作。為了支持Quish的提交，我們正在開發(fā)新方法，以便客戶為我們的模型提供有針對性的反饋，并為我們的指標(biāo)增加額外的透明度，以方便跟蹤包括Quish在內(nèi)的各種威脅手段。