Несколько примеров того, как QR-коды внутри электронных писем используются для почтового фишинга.
В последнее время участились случаи, когда пользователям на почту приходят письма от имени каких-нибудь крупных интернет-компаний (например, Microsoft или ее облачного сервиса Office 365) с QR-кодами. В тексте письма при этом содержится некий призыв к действию. В этом посте поговорим о том, стоит ли реагировать на такие письма.
Чтобы предотвратить неминуемое, сканируйте QR-код
Характерный пример: уведомление о том, что вот-вот закончится срок действия пароля учетной записи, после чего пользователь может потерять доступ к своему почтовому ящику. Пароль якобы нужно сменить, а для этого требуется отсканировать QR-код из письма и далее следовать инструкциям.
В другом письме получателю сообщают о том, что у него «истекла сессия аутентификатора» и, опять-таки, пользователь может потерять доступ к своему почтовому ящику. Поэтому предлагается «быстро отсканировать QR-код вашим смартфоном, чтобы ре-аутентифицировать вашу парольную безопасность».
Еще одно послание такого рода его создатели заботливо снабдили нотификацией «Это письмо из доверенного источника» — мы уже рассказывали о том, что подобным плашкам не следует верить. Основной же посыл — пользователю якобы не могут доставить «3 важных письма» из-за отсутствия некой валидации. Разумеется, проблема решится, если отсканировать прилагающийся QR-код.
Очевидно, авторы этих писем хотят впечатлить неопытных пользователей обилием «умных» слов.
Создатели писем также, вероятно, рассчитывают на то, что читатель где-нибудь сталкивался с приложениями-аутентификаторами, которые действительно используют QR-коды. Соответственно, это упоминание может пробудить в его голове какие-то смутные ассоциации.
Что будет, если перейти по QR-коду из письма
По содержащимся в QR-кодах ссылкам пользователи попадают на достаточно аккуратно сверстанные страницы входа в аккаунт, вполне убедительно копирующие фирменный стиль Microsoft.
Разумеется, все введенные на таких фишинговых страницах логины и пароли оказываются в руках злоумышленников. В результате аккаунт пользователя, поддавшегося на их уловки, оказывается под угрозой.
Из интересных деталей можно отметить то, что в некоторых случаях фишинговые ссылки в QR-кодах ведут на IPFS-ресурсы. IPFS (InterPlanetary File System, «межпланетная файловая система») — это протокол связи по своей сути очень похожий на уже всем привычные «торренты». Он позволяет публиковать любые файлы в Интернете без регистрации домена, использования хостинга и прочих сложностей.
То есть в этом случае фишинговая страница находится прямо на компьютере фишера, при этом она легко доступна по ссылке через специальный IPFS-шлюз. Фишеры используют протокол IPFS из-за простоты публикации, а также потому, что удалить такую ссылку значительно сложнее, чем заблокировать «обычный» вредоносный веб-сайт. Соответственно, ссылка будет «жить» дольше.
Как защититься от фишинговых QR-кодов
Ни одна нормальная система аутентификации не предложит вам перейти по QR-коду в качестве единственного варианта. Поэтому, если вы получили письмо с просьбой что-то подтвердить, заново войти в аккаунт, сменить пароль или совершить еще какое-то подобное действие и все, что в нем есть, это QR-код, перед вами наверняка фишинг. Можете такое письмо смело проигнорировать и удалить.
А для тех случаев, когда вам нужно отсканировать QR-код неизвестного происхождения, мы рекомендуем использовать наше защитное решение с функцией безопасного сканера QR-кодов. Оно проверит содержимое QR-кода и предупредит вас, если в нем зашифровано что-то опасное.