Cloudflare Cloud Email Security如何防御不斷演變的二維碼網(wǎng)絡(luò)釣魚威脅

在不斷發(fā)展的網(wǎng)絡(luò)威脅環(huán)境中，出現(xiàn)了一種微妙但有效的網(wǎng)絡(luò)釣魚形式——Quishing，這是QR phishing（二維碼網(wǎng)絡(luò)釣魚）的縮寫。二維碼發(fā)明已有30年了，但Quishing仍然構(gòu)成重大風(fēng)險(xiǎn)，尤其是在新冠疫情時(shí)代之后，二維碼成為查看狀態(tài)、登記活動(dòng)甚至訂餐的常態(tài)。

自2020年以來，Cloudflare的云電子郵件安全解決方案（以前稱為Area 1）一直處于打擊Quishing攻擊的最前沿，積極主動(dòng)地剖析這些攻擊，以更好地保護(hù)我們的客戶。讓我們深入研究二維碼網(wǎng)絡(luò)釣魚背后的機(jī)制，探討為什么二維碼是攻擊者的首選工具，并回顧C(jī)loudflare如何為應(yīng)對(duì)這種不斷演變的威脅做出貢獻(xiàn)。

Quishing的工作原理

網(wǎng)絡(luò)釣魚和Quishing的影響非常相似，因?yàn)閮烧叨伎赡軐?dǎo)致用戶的憑據(jù)泄漏、設(shè)備被盜，甚至造成經(jīng)濟(jì)損失。它們還利用惡意附件或網(wǎng)站，使不良行為者能夠訪問他們通常無法訪問的內(nèi)容。它們的不同之處在于，Quishing通常具有高度針對(duì)性，并使用二維碼來進(jìn)一步掩蓋自身以免被檢測(cè)到。

由于網(wǎng)絡(luò)釣魚檢測(cè)引擎需要電子郵件中的URL或附件等輸入才能進(jìn)行檢測(cè)，因此Quish會(huì)透過阻礙對(duì)這些輸入的檢測(cè)來獲得成功。在下面的示例A中，在爬行網(wǎng)絡(luò)釣魚的URL后，經(jīng)過兩次重定向后登陸惡意網(wǎng)站，該網(wǎng)站自動(dòng)嘗試執(zhí)行復(fù)制登錄名稱和密碼的鍵盤記錄惡意軟件。對(duì)于示例A，這顯然會(huì)觸發(fā)檢測(cè)器，但示例B沒有可爬行的鏈接，因此對(duì)示例A有效的相同檢測(cè)會(huì)變得無效。

您或許會(huì)想，這很奇怪，既然我的手機(jī)可以掃描該二維碼，那么檢測(cè)引擎就不能辨識(shí)該二維碼嗎？簡(jiǎn)單來說，不能，因?yàn)榫W(wǎng)絡(luò)釣魚檢測(cè)引擎針對(duì)捕捉網(wǎng)絡(luò)釣魚進(jìn)行了優(yōu)化，但識(shí)別和掃描二維碼需要完全不同的引擎——計(jì)算機(jī)視覺引擎。這就讓我們明白了為什么二維碼是攻擊者的首選工具。

為什么使用二維碼進(jìn)行網(wǎng)絡(luò)釣魚？

二維碼在網(wǎng)絡(luò)釣魚攻擊中流行有三個(gè)主要原因。首先，二維碼擁有強(qiáng)大的糾錯(cuò)能力，使其能夠承受重設(shè)大小、像素移位、光照變化、部分裁剪和其他扭曲。事實(shí)上，計(jì)算機(jī)視覺模型可以掃描二維碼，但是對(duì)于機(jī)器來說，識(shí)別電子郵件、圖像或電子郵件中鏈接之網(wǎng)頁的哪個(gè)部分具有二維碼相當(dāng)困難，如果二維碼已被混淆處理，使其無法被一些計(jì)算機(jī)視覺模型檢測(cè)到，則更是如此。例如，透過反轉(zhuǎn)它們、將它們與其他顏色或圖像混合，或?qū)⑺鼈冏兊梅浅Ｐ?，?jì)算機(jī)視覺模型甚至難以識(shí)別二維碼的存在，更不用說掃描它們了。盡管過濾器和一些額外處理可以應(yīng)用至任何圖像，但不知道要對(duì)什么內(nèi)容應(yīng)用以及在何處應(yīng)用，使得對(duì)二維碼的反混淆成為一個(gè)極其昂貴的計(jì)算問題。這不僅使得很難捕捉所有Quish，而且可能會(huì)由于圖像或文本塊看起來類似于二維碼，導(dǎo)致用戶無法快速收到電子郵件，進(jìn)而導(dǎo)致投遞延遲，給最終用戶帶來不好的體驗(yàn)。

盡管計(jì)算機(jī)視覺模型可能難以反混淆二維碼，但我們從經(jīng)驗(yàn)中發(fā)現(xiàn)，當(dāng)人類遇到這些混淆的二維碼時(shí)，只要有足夠的時(shí)間和精力，他們通常能夠掃描二維碼。通過增加屏幕亮度、打印電子郵件、調(diào)整代碼大小等各種措施，他們可以成功制作出能夠規(guī)避機(jī)器掃描的二維碼。

不相信我們？您可以使用已針對(duì)機(jī)器進(jìn)行混淆處理的二維碼親自嘗試一下。它們都鏈接到https://blog.cloudflare.com/zh-cn

（磚墻圖像由rawpixel.com在Freepik上提供）

如果您掃描了上面的任何一個(gè)示例二維碼，則應(yīng)該已經(jīng)清楚不良行為者青睞Quish的下一個(gè)原因。用于訪問二維碼的設(shè)備通常是安全狀態(tài)有限的個(gè)人設(shè)備，因此很容易受到利用。雖然受到保護(hù)的企業(yè)設(shè)備通常具有在用戶訪問惡意鏈接時(shí)警告、阻止或隔離用戶的措施，但這些保護(hù)措施在個(gè)人設(shè)備上原生不可用。這尤其令人擔(dān)憂，因?yàn)槲覀円呀?jīng)看到了針對(duì)組織中高階主管的自定義二維碼的趨勢(shì)。

二維碼還可以與其他混淆技術(shù)無縫疊加，例如加密附件、模仿知名網(wǎng)站的鏡像、看似用于證明為人類的驗(yàn)證但實(shí)際為惡意的內(nèi)容等等。這種多功能性使它們成為網(wǎng)絡(luò)犯罪分子的一個(gè)有吸引力的選擇，他們尋求創(chuàng)新方法，通過將二維碼新增到以前成功但現(xiàn)已被安全產(chǎn)品阻止的網(wǎng)絡(luò)釣魚媒介來欺騙毫無戒心的用戶。

Cloudflare的保護(hù)策略

Cloudflare一直處于防御Quishing攻擊的最前沿。我們采用多方面的方法，并沒有專注于過時(shí)的分層電子郵件配置規(guī)則，而是根據(jù)近十年的檢測(cè)數(shù)據(jù)訓(xùn)練了我們的機(jī)器學(xué)習(xí)（ML）檢測(cè)模型，并擁有大量主動(dòng)計(jì)算機(jī)視覺模型來確保我們所有的客戶都從一站式解決方案開始。

對(duì)于Quish檢測(cè)，我們將其分為兩部分：

1）識(shí)別和掃描二維碼；

2）分析解碼的二維碼

第一部分是透過我們自己的二維碼檢測(cè)啟發(fā)法解決的，它告訴我們計(jì)算機(jī)視覺模型如何、何時(shí)、何地執(zhí)行。然后，我們利用最新的程序庫和工具來幫助識(shí)別、處理以及（最重要的）解碼二維碼。雖然人類辨識(shí)二維碼相對(duì)容易，但對(duì)于機(jī)器而言，二維碼的混淆方式幾乎沒有限制。我們上面提供的示例只是我們?cè)趯?shí)際中看到的一小部分，不良行為者不斷發(fā)現(xiàn)新方法，使二維碼難以被快速找到和識(shí)別，使其成為一場(chǎng)持續(xù)不斷的貓鼠游戲，需要我們定期更新工具以因應(yīng)流行的混淆技術(shù)。

第二部分是解碼后的二維碼的分析，先對(duì)其應(yīng)用我們對(duì)網(wǎng)絡(luò)釣魚應(yīng)用的所有處理方法，然后再進(jìn)行一些處理。我們擁有能夠解構(gòu)復(fù)雜URL并從一次又一次的重定向（無論它們是否是自動(dòng)）中深入挖掘最終URL的引擎。在此過程中，我們掃描惡意附件和惡意網(wǎng)站，并記錄結(jié)果以供將來檢測(cè)時(shí)交叉引用。如果我們遇到任何加密或密碼保護(hù)的檔案或內(nèi)容，我們會(huì)利用另一組引擎嘗試解密和取消保護(hù)，以便我們可以識(shí)別是否有任何掩蓋的惡意內(nèi)容。最重要的是，利用所有這些信息，我們不斷用這些新數(shù)據(jù)更新我們的數(shù)據(jù)庫，包括二維碼的混淆，以便更好地評(píng)估利用我們所記錄之方法的類似攻擊。

然而，即使使用訓(xùn)練有素的網(wǎng)絡(luò)釣魚檢測(cè)工具套件，惡意內(nèi)容通常位于一長(zhǎng)串重定向的末尾，這會(huì)阻止自動(dòng)Web爬網(wǎng)程序識(shí)別任何內(nèi)容，更不用說惡意內(nèi)容了。在重定向之間，可能存在需要人類驗(yàn)證（例如CAPTCHA）的硬區(qū)塊，這使得自動(dòng)化流程幾乎不可能爬過去，因此根本無法對(duì)任何內(nèi)容進(jìn)行分類?；蛘呖赡艽嬖趲в谢顒?dòng)識(shí)別要求的有條件區(qū)塊，因此，如果任何人位于原始目標(biāo)區(qū)域之外或擁有不滿足活動(dòng)要求的Web瀏覽器和操作系統(tǒng)版本，他們只會(huì)查看良性網(wǎng)站，而目標(biāo)將暴露于惡意內(nèi)容。多年來，我們已經(jīng)建立了識(shí)別和通過這些驗(yàn)證的工具，因此我們可以確定可能存在的惡意內(nèi)容。

然而，即使我們多年來開發(fā)了所有這些技術(shù)，在某些情況下我們?nèi)詿o法輕松獲得最終內(nèi)容。在這些情況下，我們經(jīng)過多年掃描鏈接及其元數(shù)據(jù)之訓(xùn)練的鏈接信譽(yù)機(jī)器學(xué)習(xí)模型已被證明非常有價(jià)值，并且在解碼二維碼后也可以輕松應(yīng)用。透過關(guān)聯(lián)域元數(shù)據(jù)、URL結(jié)構(gòu)、URL查詢字符串和我們自己的歷史數(shù)據(jù)集等內(nèi)容，我們能夠做出推斷來保護(hù)我們的客戶。我們也采取主動(dòng)方法，利用我們的ML模型來得出去哪里尋找二維碼（即使它們不是很明顯）。而且，透過仔細(xì)檢查域、情緒、上下文、IP地址、歷史使用情況以及發(fā)件人與收件者之間的社交模式，Cloudflare可以在潛在威脅造成傷害之前識(shí)別并消除它們。

創(chuàng)意示例和真實(shí)實(shí)例

通過我們每天處理的數(shù)千個(gè)二維碼，我們看到了一些有趣的趨勢(shì)。包括Microsoft和DocuSign在內(nèi)的知名公司經(jīng)常成為Quishing攻擊進(jìn)行假冒的對(duì)象。使其對(duì)用戶更具迷惑性，甚至更有可能詐騙成功的情況是，這些公司確實(shí)在他們的合法工作流程中使用二維碼。這進(jìn)一步凸顯了組織加強(qiáng)防御措施應(yīng)對(duì)這一不斷變化的威脅的迫切性。

以下是我們發(fā)現(xiàn)的最有趣的三個(gè)Quish示例，并將其與各個(gè)公司的實(shí)際用例進(jìn)行了比較。（這些電子郵件中使用的二維碼已被屏蔽）

Microsoft Authenticator

Microsoft使用二維碼作為完成MFA的更快方式，而不是向用戶的手機(jī)發(fā)送六位數(shù)的短信代碼（這可能會(huì)延遲），二維碼也被認(rèn)為更安全，因?yàn)镾MS MFA可以通過SIM交換攻擊攔截。用戶將獨(dú)立注冊(cè)他們的設(shè)備，并且之前會(huì)看到右側(cè)的注冊(cè)屏幕，因此收到一封電子郵件表明他們需要重新驗(yàn)證身份，這似乎也不會(huì)顯得特別奇怪。

DocuSign

DocuSign使用二維碼讓用戶更輕松地下載移動(dòng)應(yīng)用程序來簽署文檔、透過移動(dòng)設(shè)備進(jìn)行身份驗(yàn)證以拍照，并支持在擁有二維碼掃描功能的第三方應(yīng)用程序中嵌入DocuSign功能。在原生DocuSign應(yīng)用程序和非原生應(yīng)用程序中使用二維碼會(huì)讓頻繁使用DocuSign的用戶感到迷惑，而對(duì)于很少使用DocuSign的用戶來說則一點(diǎn)也不奇怪。雖然簽名請(qǐng)求中不會(huì)使用用于下載DocuSign應(yīng)用程序的二維碼，但對(duì)于經(jīng)常使用的用戶來說，這似乎是在他們已下載到移動(dòng)設(shè)備上的應(yīng)用程序中打開請(qǐng)求的快速方法。

Microsoft Teams

Microsoft在Teams中使用二維碼，以允許用戶通過移動(dòng)設(shè)備快速加入，雖然Teams不將二維碼用于語音信箱，但它確實(shí)具有語音信箱功能。左側(cè)的電子郵件看上去是在提醒您檢查Teams中的語音信箱，并結(jié)合了右側(cè)的兩個(gè)實(shí)際用例。

Cloudflare如何幫助防范Quishing

我們面臨著持續(xù)不斷的Quishing威脅，因此個(gè)人和組織務(wù)必保持警惕。雖然沒有任何解決方案可以保證100%的保護(hù)，但集體盡職調(diào)查可以顯著降低風(fēng)險(xiǎn)，我們鼓勵(lì)合作打擊Quishing。

如果您已經(jīng)是Cloud Email Security用戶，我們提醒您從我們的入口網(wǎng)站提交Quish實(shí)例，以協(xié)助阻止當(dāng)前威脅并增強(qiáng)未來機(jī)器學(xué)習(xí)模型的功能，從而建立更主動(dòng)的防御策略。如果您不是訂閱用戶，您仍然可以將原始Quish樣本作為EML格式的附件提交到Quish cloudflare.com，同時(shí)也不要忘記利用貴司所用電子郵件安全提供商的提交流程來告知他們這些Quishing手段。

打擊Quishing的斗爭(zhēng)仍在繼續(xù)，且需要不斷的創(chuàng)新和協(xié)作。為了支持Quish的提交，我們正在開發(fā)新方法，以便客戶為我們的模型提供有針對(duì)性的反饋，并為我們的指標(biāo)增加額外的透明度，以方便跟蹤包括Quish在內(nèi)的各種威脅手段。