mobile-logo

เทคนิค Phishing ใหม่ตรวจจับยาก ด้วย QR Code แบบไม่มีภาพ

08 Jan

เทคนิค Phishing ใหม่ตรวจจับยาก ด้วย QR Code แบบไม่มีภาพ

by Monster Online
in Blog
Comments

ช่วงนี้การโจมตีแบบ QR Code Phishing พัฒนาไปไกลกว่าที่หลายคนคุ้นตา จากเดิมที่มักแนบเป็นรูปภาพในอีเมล ตอนนี้เริ่มมีเทคนิคใหม่ที่ทำให้ QR Code ปรากฏขึ้นได้โดยไม่ต้องมีไฟล์รูปเลย และนั่นทำให้การตรวจจับด้วยระบบกรองอีเมลแบบเดิมยากขึ้นอย่างมีนัยสำคัญ

 

Hackers Using Malicious Imageless QR Codes to Render Phishing Attack Via HTML Table

 
 
 

QR Code Phishing แบบไม่มีภาพ คืออะไร

แนวคิดของ Imageless QR Code คือการทำให้ QR Code แสดงผลได้เหมือนภาพปกติ แต่จริง ๆ แล้วถูกสร้างจากโครงสร้าง HTML โดยเฉพาะตารางที่ประกอบด้วยช่องสี่เหลี่ยมจำนวนมาก แล้วกำหนดสีพื้นหลังให้เป็นสีดำหรือสีขาวตามแพตเทิร์นของ QR Code เมื่ออีเมลถูกเรนเดอร์บนหน้าจอ ผู้รับจะเห็นเป็นบล็อก QR Code ที่สแกนได้ตามปกติ แม้จะไม่มีไฟล์รูปแนบอยู่เลย เทคนิคนี้ถูกพบในแคมเปญฟิชชิงที่ออกแบบอีเมลให้เรียบมาก มีข้อความล่อสั้น ๆ และมีบล็อก QR Code ที่ถูกบีบให้ดูเป็นก้อนแน่น เพื่อกระตุ้นให้ผู้รับหยิบมือถือขึ้นมาสแกนทันที

 
 

ทำไม HTML Table ถึงกลายเป็น QR Code ได้

หัวใจของเทคนิคนี้คือการใช้ตาราง HTML ที่มีเซลล์ขนาดเล็กมาก แล้วกำหนดความกว้างความสูงเท่ากัน พร้อมใส่สีพื้นหลังให้แต่ละช่องเป็นสีดำหรือสีขาว เมื่อวางต่อกันหลายร้อยช่อง เซลล์เหล่านี้จะรวมกันเป็นลายของ QR Code

 
<table role="presentation" border="0" cellpadding="0" cellspacing="0" width="180" height="180" align="center">
  <tr height="4">
    <td width="4" height="4" bgcolor="#000000"></td>
    <td width="4" height="4" bgcolor="#FFFFFF"></td>
    <td width="4" height="4" bgcolor="#000000"></td>
    <td width="4" height="4" bgcolor="#000000"></td>
    <td width="4" height="4" bgcolor="#FFFFFF"></td>
    <td width="4" height="4" bgcolor="#000000"></td>
  </tr>
</table>
 

เมื่อผู้โจมตีสร้างเมทริกซ์ครบตามแพตเทิร์น QR Code จริง กล้องมือถือก็ยังสแกนและถอดรหัสปลายทางได้เหมือนเดิม ความต่างมีเพียงวิธีที่ QR Code ถูกประกอบขึ้นมาเท่านั้น

 
 

จุดที่ทำให้ระบบกรองอีเมลพลาดได้

ระบบรักษาความปลอดภัยอีเมลจำนวนมากออกแบบมาเพื่อวิเคราะห์ไฟล์รูปหรือรูปที่ฝังเป็นข้อมูลรูปภาพ เมื่อเห็น QR Code ก็จะพยายามถอดรหัสลิงก์ข้างในเพื่อประเมินความเสี่ยง แต่ในกรณีนี้สิ่งที่อยู่ในอีเมลคือแท็กตารางและคุณสมบัติสี ซึ่งดูเหมือนมาร์กอัปเพื่อจัดเลย์เอาต์ทั่วไป ผลลัพธ์คือ QR Code กลายเป็นสิ่งที่ดูเหมือนไม่ใช่รูป ทั้งที่ผู้ใช้เห็นเป็นรูป และพฤติกรรมนี้สามารถลอดการตรวจแบบที่โฟกัสเฉพาะภาพได้ง่ายขึ้น โดยเฉพาะเมื่อเนื้อหาอีเมลตั้งใจเขียนให้สั้นและไม่ใส่ถ้อยคำที่เข้าข่ายฟิชชิงแบบที่ระบบคุ้นเคย

 
 

รูปแบบแคมเปญที่พบในข่าวนี้

รายละเอียดที่น่าสนใจคือแคมเปญที่ถูกรายงานมีช่วงเวลาการส่งที่ค่อนข้างชัดเจน และปลายทางของ QR Code มักพาไปยังซับโดเมนของโดเมน lidoustoo[.]click อีกทั้งยังมีการทำให้เส้นทาง URL ดูสอดคล้องกับผู้รับเพื่อเพิ่มความน่าเชื่อถือในระดับสายตา สิ่งที่ทำให้เหยื่อตัดสินใจสแกนง่ายขึ้นมักเกิดจากองค์ประกอบเล็ก ๆ ที่ดูเหมือนงานเอกสารหรือคำขออนุมัติบนมือถือ เช่น การขอให้ตรวจสอบเอกสาร หรือให้ยืนยันการทำรายการ ซึ่งพฤติกรรมนี้สอดคล้องกับเทรนด์ Quishing ที่ใช้ QR Code เป็นตัวหลบการสังเกตแทนการใส่ลิงก์ตรง ๆ

 

Malicious Imageless QR Code Source Internet Storm Center

 
 
 

สิ่งที่ผู้ใช้งานทั่วไปควรรู้ก่อนสแกน QR จากอีเมล

เมื่อ QR Code ถูกทำให้ไม่ใช่รูปแบบภาพ การพึ่งพาความคุ้นชินเดิมว่าระบบจะกรองให้ได้เสมออาจไม่เพียงพอ การสแกน QR จากอีเมลที่ไม่ได้คาดหมายล่วงหน้ามีความเสี่ยงไม่ต่างจากการกดลิงก์ที่ไม่รู้ที่มา เพราะปลายทางสามารถพาไปยังหน้าล็อกอินปลอม หรือหน้าเก็บข้อมูลได้ทันที ในเชิงพฤติกรรม สิ่งที่ช่วยลดความผิดพลาดได้มากคือการหยุดสักนิดก่อนสแกน และพิจารณาว่าสิ่งที่ถูกขอให้ทำสอดคล้องกับบริบทจริงหรือไม่ โดยเฉพาะอีเมลที่เร่งให้ทำทันทีและให้ใช้มือถือเป็นช่องทางหลัก

 
 

Reference

Cyber Security News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line: @monsteronline

☎️ Tel: 02-026-6664

📩 Email: [email protected]

🌐 ดูสินค้าเพิ่มเติม: mon.co.th

Tags:
,,,,,
Monster Online
Monster Online