QR Code 釣魚攻擊來襲，企業用戶與使用者防範四大要點

(中央社訊息服務20231012 10:24:59)自今年 3 月以來，網擎資訊 email165 郵件防詐騙智慧中心觀察到一波新型態的 QR Code（Quick Response Code）釣魚信攻擊，在信件內文說明在職員工退稅資訊，請收件人盡快完成申報作業，並附上一張圖片，如果使用者以手機掃描，就會跳轉到釣魚網站，進而被竊取機敏資料。近日外媒也報導，美國知名能源公司遭攻擊，大量包含惡意 QR Code 的電子郵件成功繞過該公司的安全措施。這種利用二維碼誘騙人們存取惡意網站或下載病毒的釣魚攻擊，被稱為 Quishing，意思就是 QR 碼釣魚（QR Code phishing）。

其實早在 2022 年 1 月，美國聯邦調查局透過其網路犯罪通報中心（Internet Crime Complaint Center，IC3）發布的新聞稿指出，網路罪犯利用二維碼技術竊取受害者的資金。自新冠疫情（COVID-19）爆發以來，越來越多的店家使用 QR 碼進行交易。因為顧客都帶著智慧型手機，一些餐廳只提供電子菜單並直接線上點菜，紙本菜單只是備用。另外，有些電子錢包會使用二維碼以達成非接觸式支付。隨著人們在日常生活中越來越習慣於使用電子支付，犯罪份子也把 QR 碼當成釣魚攻擊的工具。

一般來說，釣魚信的攻擊流程是網路罪犯會事先精心打造極為相似的網站，接著將帶有惡意 QR 碼的郵件寄給擁有特殊權限的用戶，在郵件內文引導使用者透過手機掃描二維碼登入偽造的釣魚網站，使用 QR 碼是一種強迫用戶從電腦轉移到行動裝置的方法，一般而言，行動裝置的釣魚防護能力可能較為薄弱。一旦攻擊者成功竊取收件人的帳密資訊，就等同於得到特殊帳號的存取權限，犯罪份子可在未來針對企業組織發動更進階的攻擊。

那麼，為避免 QR Code 釣魚信詐騙，首先要建立正確的資安觀念，資安研究人員列出以下幾個重點提供企業作為參考：

● 掃描 QR 碼後，先用預覽功能檢查 URL 是否正確，因為釣魚 URL 可能與正確的 URL 非常相似。
● 經由二維碼連到的網站，若要求輸入個人帳密或財務資訊時要格外注意。
● 請勿透過掃碼的方式下載 App 應用程式，若要下載 App，請從應用程式商店下載以確保安全。
● 收到帶有電子支付方式的郵件時，若有任何疑慮，請主動聯繫商家並核對資訊。

由於市面上大部分的郵件安全匣道（Secure Email Gateways，SEG）產品，不會主動掃描郵件中的圖片，所以二維碼類型的釣魚信，可輕易繞過傳統的郵件防護檢查機制。網擎資訊 MailGates 研發團隊分析各種釣魚郵件樣本特徵，並進一步將 QR Code 分析引擎整合到 Anti-Spam 過濾機制中，可偵測帶有二維碼的釣魚信攻擊，無論是郵件內嵌圖片、Office 及 PDF 檔內嵌圖片，系統都可解析圖片中的資訊，並即時查詢 SophosLabs 全球威脅情資，比對 URL 是否為惡意釣魚網址，可有效阻攔 QR Code 釣魚攻擊。

這波新型態的釣魚攻擊，可得知網路罪犯的攻擊手法已經越來越複雜，面向也從單純的 URL 轉換到 QR 碼圖片，企業除了要強化組織成員的資安意識之外，還得依靠新型的郵件防護機制，傳統的過濾機制已經無法阻擋這類的攻擊，建議企業用戶導入含有 QR Code 釣魚防護機制的郵件安全閘道，強化企業郵件系統安全。

關於 Openfind MailGates 郵件防護系統

MailGates 郵件防護系統提供即時完整的郵件安全服務，結合全球反垃圾郵件引擎、進階防毒引擎、動態沙箱分析、惡意 URL 過濾引擎及信件詐騙智慧分析引擎，整合台灣在地威脅情資，提供多層次防護。符合 Gartner SEG 標準的郵件安全閘道，為企業解決垃圾郵件困擾，並可防範 APT 攻擊、勒索軟體攻擊、零時差（Zero-Day）攻擊、社交工程攻擊（Social Engineering）、魚叉式攻擊（Spear Phishing）以及商務電子郵件詐騙（BEC）。MailGates 郵件防護系統將持續鑽研郵件資安領域，協助企業打造最安全、順暢、可靠的郵件溝通管道。更多產品訊息，請瀏覽產品網頁 https://www.openfind.com.tw/taiwan/mailgates.html