FBI 警告北韓 QR 網釣攻擊活動
美國執法機構近日對國內外機構發布警報,指出北韓正在利用 QR 代碼進行網釣攻擊,以繞過電子郵件安全措施。根據 FBI 的報告,北韓的 Kimsuky APT 集團在 2025 年針對智庫、學術機構以及美國和外國政府機構發起攻擊。
攻擊案例
- 2025 年 5 月:Kimsuky 集團成員假冒外國顧問,向智庫領導發送電子郵件,要求對朝鮮半島事務提供見解,並附上 QR 代碼以訪問問卷。
- 2025 年 5 月:一封假冒大使館員工的網釣郵件被發送給一位智庫高級研究員,要求其對北韓人權問題提供意見,並附上一個 QR 代碼,聲稱可以訪問安全驅動器。
- 2025 年 5 月:一封假冒智庫員工的網釣郵件包含一個 QR 代碼,設計目的是將受害者引導至 Kimsuky 的基礎設施。
- 2025 年 6 月:針對戰略顧問公司的網釣郵件,邀請收件人參加不存在的會議,並附上 QR 代碼指向虛假的 Google 登錄頁面以竊取憑證。
QR 代碼網釣攻擊的威脅
利用 QR 代碼進行的網釣攻擊(又稱 quishing)旨在將受害者引導至移動設備,這些設備可能缺乏桌面或電子郵件的惡意軟體保護能力。這些攻擊通常通過電子郵件附件或嵌入圖形提供 QR 圖像,避開 URL 檢查和沙箱技術。
掃描 QR 代碼後,受害者會被引導至由攻擊者控制的重定向站點,該站點收集設備和身份屬性,如用戶代理、作業系統、IP 地址、地區和屏幕大小,以選擇性地呈現行動優化的憑證竊取頁面,這些頁面可能偽裝成 Microsoft 365、Okta 或 VPN 入口。
防範措施
針對 QR 網釣攻擊的威脅,FBI 建議高風險機構採取多層次的應對措施:
- 更新員工教育與意識培訓
- 敦促員工通過二次方式驗證 QR 代碼的來源(例如,直接聯繫發件人),尤其是在輸入登錄資訊或下載文件之前
- 建立報告惡意或可疑 QR 代碼的協議
- 部署行動設備管理(MDM)或端點安全以掃描 QR 代碼,允許訪問相關資源前進行檢查
- 要求所有遠端訪問和敏感系統使用防釣魚的多重驗證(MFA)
- 在掃描 QR 代碼後,記錄/監控所有憑證輸入和網路活動
- 強制執行強而獨特的密碼策略
- 定期審核帳戶權限和存取權限,並施行最小權限政策
- 定期更新反惡意軟體工具並修補設備上的已知漏洞