كشفت حملة تصيد احتيالي جديدة عن استخدام مبتكر لرموز الاستجابة السريعة (QR)، حيث يقوم المهاجمون بتحويل جداول HTML بسيطة إلى رموز وظيفية تعيد توجيه المستخدمين إلى مواقع خبيثة. هذا الأسلوب الجديد يتجاوز الدفاعات التقليدية التي تعتمد على تحليل الصور.
تعمد هذه الحملة الجديدة إلى بناء رمز الاستجابة السريعة من مئات الخلايا الصغيرة داخل جدول HTML، بدلاً من تضمين صورة QR مباشرة في البريد الإلكتروني. ويتم تلوين كل خلية باللونين الأسود أو الأبيض لإنشاء النمط المرئي لرمز الاستجابة السريعة.
ومع ذلك، لا تزال هذه الطريقة تسمح بتشغيل الرمز عند مسحه ضوئيًا كتطبيق طبيعي لرمز الاستجابة السريعة. والأهم من ذلك، أن العديد من أنظمة الدفاع عبر البريد الإلكتروني تفشل في التعرف عليها كصور، مما يجعلها تمر دون رصد.
تم رصد الرسائل المعنية بين 22 و26 ديسمبر، وتتميز بتصميمها البسيط الذي يتكون من نص تشويقي قصير وكتلة واحدة مضغوطة لرمز QR، تحث الضحية على مسحه ضوئيًا.
يقوم كل رمز QR بإعادة التوجيه إلى نطاقات فرعية لـ lidoustoo[.]click، وغالبًا ما تستخدم اسم النطاق الخاص بالمستلم في مسار عنوان URL ليبدو أكثر إقناعًا. هذا الهيكل يساعد الرابط على الظهور أقل إثارة للشبهات للنظرة الأولى.
التحايل على الكشف عبر رموز QR المبنية على جداول HTML
يستغل هذا الأسلوب الخاص بـ رموز QR التي لا تعتمد على الصور نقطة ضعف في العديد من البوابات الآمنة للبريد الإلكتروني. فالأدوات التي يمكنها فك تشفير صور QR لا تفحص دائمًا جداول HTML كهياكل رسومية محتملة، وبالتالي يفلت النمط الخبيث من الفحوصات التي تركز على QR.
في المقابل، ترى مرشحات المحتوى فقط علامات قياسية وسمات ألوان، بدلاً من كلمات رئيسية واضحة للتصيد الاحتيالي أو تجزئات الصور. وهذا يعني أن طبيعة رموز QR المبنية على جداول HTML تسمح لها بالتحايل على آليات الكشف المعتادة.
في إحدى العينات التي تم التقاطها، تم إنشاء رمز QR باستخدام كود يشبه المقتطف الذي يحدد مصفوفة كثيفة من الخلايا لتشفير النمط.
بالنسبة للمدافعين، تعتبر هذه الحملة تذكيرًا بأن الحماية لا يمكن أن تعتمد فقط على المظهر “المعتاد” للتهديدات. يجب أن تعامل فلاتر البريد الإلكتروني الآمنة شبكات الجداول الكثيفة على أنها تجسيدات محتملة لـ QR، وتطبق تحليلًا مدركًا لنموذج كائن المستند (DOM)، وتباين عمليات إعادة التوجيه الخارجية غير العادية.
في الوقت نفسه، يجب تدريب المستخدمين على أن مسح رموز QR من رسائل البريد الإلكتروني غير المرغوب فيها يشكل خطورة مساوية للنقر على الروابط غير المعروفة، حتى عندما يبدو الرمز بسيطًا ونظيفًا.