هنر فراموششده در ایمیلهای فیشینگ دوباره احیا شد
بارها درباره استفاده از کدهای QR در حملات فیشینگ گزارشهایی منتشر شده است. راهکارهای امنیتی ایمیل نیز اکنون قادرند این کدها را نهتنها در متن ایمیل، بلکه در پیوستها شناسایی و لینکهای موجود در آنها را بررسی کنند.
بارها درباره استفاده از کدهای QR در حملات فیشینگ گزارشهایی منتشر شده است. راهکارهای امنیتی ایمیل نیز اکنون قادرند این کدها را نهتنها در متن ایمیل، بلکه در پیوستها شناسایی و لینکهای موجود در آنها را بررسی کنند.
با این حال، مهاجمان همچنان از QR کدها در حملات خود استفاده میکنند. در تازهترین روند مشاهدهشده، آنها به سراغ "هنر ASCII" رفتهاند؛ یعنی ساخت تصاویر با استفاده از کاراکترهای متنی.
این موضوع زمانی جالبتر میشود که بدانیم مهاجمان پیشتر برای دور زدن فیلترهای ایمیل، لینکها را در قالب تصاویر پنهان میکردند و اکنون برای فرار از ابزارهای شناسایی تصویر، دوباره به متن بازگشتهاند.
ASCII art چیست و چگونه دوباره مورد سوءاستفاده قرار گرفته است؟
پیش از توسعه قابلیتهای گرافیکی در رایانهها، تصاویر با استفاده از کاراکترهای متنی ساخته میشدند. پس از استانداردسازی ASCII در سال 1963، این روش بهعنوان یک شیوه رایج برای نمایش تصاویر متنی مورد استفاده قرار گرفت.
با گذشت زمان و پیشرفت گرافیک دیجیتال، این سبک کمرنگ شد، اما در دهه 2000 و همزمان با گسترش ایمیلهای اسپم دوباره مورد توجه قرار گرفت. در آن دوره، اسپمرها از ASCII art برای پنهان کردن کلمات کلیدی و کاهش احتمال شناسایی توسط فیلترهای ایمیل استفاده میکردند.
اکنون نیز این تکنیک بار دیگر توسط مهاجمان فیشینگ برای پنهانسازی کدهای QR و دور زدن ابزارهای امنیتی به کار گرفته میشود.
نمونهای از حمله فیشینگ با QR کد مبتنی بر ASCII
در یکی از نمونههای اخیر، ایمیلهای فیشینگ با ادعای ارسال یک سند محرمانه از طریق DocuSign برای قربانی ارسال میشوند. در این پیام از کاربر خواسته میشود برای مشاهده سند، کد QR موجود در ایمیل را اسکن کرده و اطلاعات ورود سازمانی خود را در یک وبسایت وارد کند.
این QR کد در واقع با استفاده از کاراکترهای ASCII یا یونیکد ساخته شده است.
از آنجا که این کد بهصورت تصویر واقعی نیست:
ابزارهای شناسایی لینک قادر به استخراج URL نیستند
سیستمهای تحلیل تصویر نیز نمیتوانند محتوای مخرب داخل QR را تشخیص دهند
در نتیجه مهاجم تصور میکند ایمیل بدون مانع به دست قربانی میرسد، در حالی که ابزارهای امنیتی مدرن همچنان قادر به شناسایی این تهدید هستند.
آیا استفاده از QR کد در ایمیل طبیعی است؟
استفاده از QR کد در برخی موارد کاملاً رایج و مشروع است؛ از جمله:
اشتراک اطلاعات تماس
لینکهای دانلود اپلیکیشن
موقعیتهای مکانی
تنظیمات و پیکربندیها
اما استفاده از QR کد برای دریافت اطلاعات ورود سازمانی، بهویژه در محیط موبایل، یک هشدار امنیتی جدی محسوب میشود.
در صورتی که این کد به شکل ASCII art تولید شده باشد، احتمال بسیار بالایی وجود دارد که با یک تلاش فیشینگ مواجه باشیم.
توصیههای امنیتی
برای کاهش خطر حملات فیشینگ:
استفاده از درگاههای امن ایمیل با قابلیتهای ضد فیشینگ پیشرفته
نصب و استفاده از راهکارهای امنیتی روی تمام دستگاههای سازمانی
آموزش مستمر کارکنان درباره روشهای جدید حملات سایبری
بهویژه باید به کاربران آموزش داده شود که وجود ASCII art در ایمیلهای مدرن میتواند نشانهای از تلاش برای دور زدن سیستمهای امنیتی و انجام حملات فیشینگ باشد.
