INTELIGÊNCIA ARTIFICIAL

Como o Microsoft Defender para Workplace 365 inovou para lidar com ataques de phishing por código QR

novembro 6, 2024
José Peixoto Vieira Filho


Durante o último ano, a indústria da cibersegurança enfrentou um aumento significativo nas campanhas de phishing de códigos QR, com alguns ataques a aumentar a uma taxa de crescimento de 270% ao mês.1 Um código QR (abreviação de “código de resposta rápida”) é um código de barras bidimensional que pode ser lido usando um smartphone ou outro dispositivo móvel equipado com uma câmera. Os códigos podem conter informações como URLs de websites, informações de contato, detalhes de produtos e muito mais. Eles são usados ​​com mais frequência para levar os usuários a websites, arquivos ou aplicativos. Mas quando agentes mal-intencionados os exploram, eles podem ser usados ​​para induzir os usuários a comprometer involuntariamente suas credenciais e dados.

Características únicas das campanhas de phishing com código QR

Tal como acontece com outras técnicas de phishing, o objetivo dos ataques de phishing por código QR é fazer com que o usuário clique em um hyperlink malicioso que pareça legítimo. Eles costumam usar e-mails minimalistas para entregar códigos QR maliciosos que solicitam ações aparentemente legítimas, como redefinições de senha ou verificações de autenticação de dois fatores. Um código QR também pode ser facilmente manipulado para redirecionar vítimas inocentes para websites maliciosos ou para baixar malware exatamente da mesma maneira que os URLs.

Código QR como uma imagem no corpo do e-mail redirecionando para um site malicioso.

Figura 1. Código QR como uma imagem no corpo do e-mail redirecionando para um web site malicioso.

Os sinais de alerta normais que os usuários podem notar em telas maiores muitas vezes podem passar despercebidos em dispositivos móveis. Embora as táticas, técnicas e procedimentos (TTPs) variem dependendo de qual malfeitor está trabalhando, Microsoft Defender para Workplace 365 detectou um conjunto importante de padrões em ataques de phishing por código QR, incluindo, mas não se limitando a:

  • Redirecionamento de URL, onde um clique ou toque leva você não para onde você esperava, mas para um URL encaminhado.
  • Mínimo ou nenhum texto, o que reduz os sinais disponíveis para análise e detecção de aprendizado de máquina.
  • Explorar uma marca conhecida ou confiável, usando sua familiaridade e reputação para aumentar a probabilidade de interação.
  • Explorar canais de e-mail conhecidos usados ​​por remetentes legítimos e confiáveis.
  • Uma variedade de atrações sociais, incluindo autenticação multifatorial, assinatura de documentos e muito mais.
  • Incorporação de códigos QR em anexos.

O impacto das campanhas de phishing de código QR na indústria mais ampla de segurança de e-mail

Com a intenção mais comum do phishing de código QR sendo roubo de credenciais, distribuição de malware ou roubo financeiro, as campanhas de código QR costumam ser massivas – excedendo 1.000 usuários e seguem o reconhecimento de coleta de informações direcionadas por malfeitores.2

Os pesquisadores de segurança da Microsoft começaram a notar um aumento nos ataques baseados em código QR em setembro de 2023. Vimos invasores transformando rapidamente suas técnicas de duas maneiras principais: primeiro, manipulando a forma como o código QR é renderizado (como cores e tabelas diferentes) e segundo, manipulando o URL incorporado para fazer o redirecionamento.

A natureza dinâmica dos códigos QR tornou um desafio para os mecanismos tradicionais de segurança de e-mail, que foram projetados para técnicas de phishing baseadas em hyperlinks, filtrar e proteger eficazmente contra esses tipos de ataques cibernéticos. Um dos principais motivos foi o fato de que a análise extensiva do conteúdo da imagem não period comumente feita para todas as imagens em todas as mensagens e não representava um padrão na indústria na época do aumento.

Como resultado, durante vários meses, nossos clientes observaram um aumento no número de e-mails maliciosos que continham códigos QR maliciosos, à medida que adaptávamos e evoluíamos nossa tecnologia para sermos eficazes contra códigos QR. Este foi um momento desafiador para nossos clientes e outros fornecedores de segurança de e-mail. Adicionámos recursos incrementais e redireccionámos toda a nossa energia de engenharia para resolver estes problemas e, ao longo do caminho, não só fornecemos novas inovações tecnológicas, mas também modificámos os nossos processos e modernizámos componentes do nosso pipeline para sermos mais resilientes no futuro. Agora, esses desafios foram enfrentados por meio de um conjunto importante de inovações e queremos compartilhar nossos aprendizados e avanços tecnológicos no futuro.

Para os malfeitores, o phishing de código QR tornou-se um negócio lucrativo, e os invasores estão utilizando IA e grandes modelos de linguagem (LLMs), como ChatGPT, para aumentar a velocidade e melhorar a credibilidade de seus ataques. Uma pesquisa recente do Insikt Group observou que malfeitores podem gerar 1.000 e-mails de phishing em menos de duas horas por apenas US$ 10.3 Para a indústria da segurança, isto exige uma resposta multifacetada, incluindo uma melhor formação dos funcionários e um compromisso renovado com a inovação.

A necessidade de inovação na defesa contra phishing de código QR

A inovação face à evolução do risco de phishing de códigos QR não é apenas benéfica, é imperativa. À medida que os cibercriminosos refinam continuamente as suas táticas para explorar novas tecnologias, as soluções de segurança devem evoluir a um ritmo semelhante para permanecerem eficazes. Em resposta à crescente ameaça de phishing de código QR, o Microsoft Defender para Workplace 365 tomou medidas decisivas para aproveitar o aprendizado de máquina avançado e a IA, desenvolvendo defesas robustas capazes de detectar e neutralizar ataques de phishing de código QR em tempo actual. Nossa equipe analisou meticulosamente essas ameaças cibernéticas em trilhões de sinais, obtendo informações valiosas sobre seus mecanismos e padrões em evolução. Esse conhecimento nos ajudou a refinar nossos protocolos de segurança e aumentar a resiliência de nossa plataforma com diversas atualizações estratégicas. Como maior fornecedor de segurança de e-mail, temos visto um declínio significativo nas tentativas de phishing com códigos QR. No auge, o Defender para Workplace 365 bloqueava 3 milhões de tentativas diárias e, com a entrega de proteção inovadora, vimos esse número diminuir para 200.000 tentativas de phishing de código QR todos os dias. Isto é uma prova de que a nossa inovação está a ter o efeito desejado: reduzindo a eficácia dos ataques baseados em códigos QR e forçando os atacantes a mudarem as suas táticas.

Phishing de código QR bloqueado pelo Microsoft Defender para Office 365.

Figura 2. Phishing de código QR bloqueado pelo Microsoft Defender para Workplace 365.

As inovações e proteções recentes que implementamos e melhoramos no Microsoft Defender para Workplace 365 para ajudar a combater o phishing de código QR incluem:

  • Melhorias na extração de URL: O Microsoft Defender para Workplace 365 melhorou seus recursos para extrair URLs de códigos QR, aumentando substancialmente a capacidade do sistema de detectar e neutralizar hyperlinks de phishing ocultos em imagens QR. Esse aprimoramento permite uma análise mais completa de possíveis ameaças cibernéticas incorporadas em códigos QR. Além disso, agora extraímos metadados de códigos QR, o que enriquece os dados contextuais disponíveis durante as avaliações de ameaças, melhorando a nossa capacidade de detectar atividades suspeitas no início da cadeia de ataque.
  • Processamento avançado de imagens: Técnicas avançadas de processamento de imagens no estágio inicial do processo de fluxo de mensagens nos permitem extrair e registrar URLs ocultos em códigos QR. Esta medida proativa interrompe os ataques antes que eles tenham an opportunity de comprometer as caixas de entrada dos usuários finais, abordando as ameaças cibernéticas o mais cedo possível.
  • Caça e remediação avançadas: para oferecer uma resposta abrangente às ameaças de códigos QR em e-mails, endpoints e identidades com nossos recursos avançados de busca, as equipes de segurança de todas as organizações estão bem equipadas para identificar e filtrar especificamente atividades maliciosas vinculadas a esses códigos.
  • Resiliência do usuário contra phishing de código QR: Para equipar ainda mais a nossa organização contra estas ameaças emergentes, o Microsoft Defender para Workplace 365 expandiu as suas capacidades avançadas para incluir ameaças de código QR, mantendo o alinhamento com plataformas de e-mail e técnicas específicas de ataque cibernético. Nosso sistemas de treinamento de simulação de ataque junto com a configuração padrão de seleção de usuário, configuração de carga útil e agendamento, agora possuem cargas especializadas para phishing de código QR para simular cenários de ataque autênticos.

Leia mais detalhes técnicos sobre como caçar e responder a ataques baseados em código QR. Ao integrar todas essas capacidades em todo o Microsoft DefenderXDR plataforma, podemos ajudar a garantir que quaisquer ameaças relacionadas a códigos QR identificadas em e-mails sejam minuciosamente analisadas em conjunto com dados de endpoint e de identidade, criando uma postura de segurança robusta que aborda ameaças em diversas frentes.

Ficar à frente do cenário de ameaças em evolução

As melhorias do Microsoft Defender para Workplace 365 para defesa contra ataques de phishing baseados em código QR mostraram nossa necessidade de avançar mais rapidamente na segurança de e-mail e colaboração da Microsoft. A implementação acima preencheu essa lacuna e tornou o Defender for Workplace 365 eficaz contra esses ataques e, à medida que o uso de códigos QR se expande, nossas táticas defensivas agora serão igualmente avançadas para combatê-los.

Nosso investimento contínuo na análise do cenário de ameaças cibernéticas, aprendendo com as lacunas do passado e nossa infraestrutura atualizada nos permitirá lidar com eficácia com os problemas atuais e abordar proativamente os riscos futuros com mais rapidez, à medida que as ameaças surgem por meio de e-mail e ferramentas de colaboração. Em breve compartilharemos mais inovações interessantes que mostrarão nosso compromisso em fornecer a melhor solução de segurança de e-mail e colaboração aos clientes.

Para mais informações, veja a ficha técnica na proteção contra phishing de código QR ou visite o web site para saber mais sobre o Microsoft Defender para Workplace 365.

Saber mais

Para saber mais sobre as soluções de segurança da Microsoft, visite nosso web site. Marque o Weblog de segurança para acompanhar nossa cobertura especializada em questões de segurança. Além disso, siga-nos no LinkedIn (Segurança da Microsoft) e X (@MSFTSegurança) para obter as últimas notícias e atualizações sobre segurança cibernética.

1Atacantes armam códigos QR para roubar credenciais da Microsoft de funcionáriosNotícias sobre segurança cibernética. 22 de agosto de 2023.

2Caça ao phishing do QR Code AiTM e ao comprometimento do usuárioComunidade de tecnologia da Microsoft. 12 de fevereiro de 2024.

3Os desafios de segurança aumentam à medida que o código QR e o phishing gerado por IA proliferamFuturo Registrado. 18 de julho de 2024.



Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *