Фишинговые рассылки с QR-кодами давно стали привычной проблемой, но исследователи «Лаборатории Касперского» предупреждают, что атакующие нашли новый способ обходить защиту почтовых сервисов. Теперь вместо обычных изображений злоумышленники создают QR-коды из текстовых символов Unicode, фактически превращая их в ASCII-графику.
По словам специалистов, такой подход помогает злоумышленникам обходить защитные механизмы, которые анализируют вложенные изображения или пытаются автоматически распознавать QR-коды в картинках.
ASCII-графика существует с 1960-х годов, когда компьютеры попросту не умели отображать изображения, и картинки собирали из символов. Позже этот прием взяли на вооружение спамеры: в 2000-х они начали маскировать ссылки и вредоносный контент под текстовые рисунки, чтобы обходить антиспам-фильтры и системы анализа изображений. Теперь ту же механику используют для QR-кодов.
Исследователи отмечают, что как минимум одна подобная фишинговая схема уже активно применяется в атаках. Потенциальная жертва получает письмо на корпоративную почту якобы от делового партнера. Внутри содержится сообщение о «конфиденциальном документе», который нужно подписать через DocuSign, и для доступа к файлу пользователю предлагают отсканировать QR-код. Такой код ведет на поддельную страницу авторизации, где у жертвы пытаются украсть корпоративные учетные данные.
Отмечается, что визуально такой QR-код действительно напоминает обычное изображение, хотя на деле полностью состоит из текстовых символов. За счет этого часть защитных решений просто не воспринимает его как QR-код, и письмо обходит фильтры, попадая в целевой почтовый ящик.
«Когда QR-код используется для перехода на ресурс, на котором пользователя просят ввести корпоративные учетные данные, важно сохранять бдительность. Если QR-код сформирован с помощью текстовой ASCII-графики, это почти наверняка фишинговая атака или приманка, цель которой — заставить перейти по вредоносной ссылке», — предупреждает Роман Деденок, эксперт по кибербезопасности в «Лаборатории Касперского».
Специалисты полагают, что по мере того как почтовые фильтры и средства защиты учатся лучше распознавать QR-фишинг, атакующие будут искать новые способы маскировки. И ASCII-графика вполне может стать одним из таких инструментов.
