检测并防止 Microsoft 365 中的 QR 码网络钓鱼 - Office 365 报告

随着世界各地变得现代化和数字化，攻击者正在发现绕过安全性并窃取数据的新技术。考虑到Microsoft 365，MFA疲劳攻击给组织带来了巨大的影响，这需要强大的MFA身份验证方法的存在。同样，二维码网络钓鱼（quishing）攻击已成为后新冠时期最常见的攻击之一。因此，Microsoft 不断改进其检测和预防技术，以防止 QR 码网络钓鱼并阻止组织中的有害威胁。但是，您认为每个组织都至少遵循基本的安全卫生吗？不幸的是，没有！

让我们看看缺乏基本的安全卫生会对您无法想象的组织产生怎样的影响！

什么是二维码？

QR（快速响应）码是一种方形条形码，可以使用智能手机中的摄像头或扫描仪等其他读取设备进行扫描。二维码包含网站网址、产品信息等信息。当您扫描二维码时，它会将您重定向到网站和支付网站，提示您下载应用程序、访问文件等。

二维码如何用于网络钓鱼攻击？

由于二维码提供非接触式访问，企业更愿意使用它，尤其是在 COVID-19 大流行期间。它可以帮助用户轻松付款或访问网站、文件等，同时遵守 COVID-19 预防限制。攻击者通过 插入恶意二维码，重定向用户下载可疑应用程序、访问恶意网站等。因此，他们有效地窃取了受害者的数据和登录凭据。

在下面查找 Defender for Office 365 揭示的各种 QR 码网络钓鱼消息模式。

• URL重定向
• 最少文本或无文本（减少 ML 检测的信号）
• 滥用知名品牌
• 滥用以发送合法电子邮件而闻名的发送基础设施
• 在附件中嵌入二维码
• 各种社交诱惑，包括双因素身份验证、文档签名等

为什么二维码往往成为网络钓鱼攻击的首选？

QR 码是攻击者的首选，因为它们是将受害者重定向到恶意网站并下载有害应用程序（例如 URL）的简单方法。此外，通过将 URL 放在难以检测的位置也可以轻松处理它们。在网络钓鱼攻击中使用二维码的主要原因是：

• 他们将攻击从安全良好的企业环境转移到安全性较低的个人设备中。
• 他们使用 URL（最常见的凭据盗窃向量）来窃取受害者的凭据。
• QR 码只能在邮件流中被视为图像，并且在渲染之前无法读取。因此，识别恶意条形码成为安全提供商面临的挑战。

根据 MSRC 2023 年 9 月中旬的报告，与二维码相关的网络钓鱼攻击呈上升趋势。仅一周内，这些攻击就增加了 23%。这不是威胁吗？让我们深入了解如何在 Microsoft 365 中检测和阻止 QR 码网络钓鱼。

Office 365 Defender 如何检测二维码网络钓鱼？

Microsoft 不断改进其技术，为组织提供最高的安全性。有多种网络钓鱼检测技术 Microsoft Defender 和具有高级功能的 Exchange Online 保护。让我们密切关注如何检测 Microsoft 365 中的二维码网络钓鱼。

Exchange Online 保护中的图像检测

• Defender for Office 365 和 Exchange Online Protection 使用高级图像提取技术在邮件流期间检测内联消息中的 QR 代码。
• 它从 QR 码中提取 URL 元数据，并将该信号馈送到现有的 URL 威胁防护和过滤功能中。
• URL还可以发送到沙箱环境进行引爆，恶意威胁在到达用户邮箱之前就被检测到并被阻止。

Microsoft Defender 威胁信号检测

MS Defender 和 EOP 使用各种邮件流信号来识别邮件并对其采取行动。二维码信号与发送者情报、消息标头、内容过滤和接收者详细信息结合使用，并将它们之间的关系输入到机器学习算法中，以识别恶意内容并做出相应响应。

Microsoft Defender 中的 URL 分析

从二维码中提取的URL是

• 通过机器学习模型进行分析。
• 根据内部和外部声誉来源进行检查。
• 对于 Microsoft Defender for Office 365 计划 1/计划 2 许可证已沙箱化，以便进一步调查以评估爆炸风险。

基于启发式的规则

Microsoft 在 Office 365 和 EOP Defender 中部署启发式规则，这是一组算法，旨在根据垃圾邮件、恶意软件和网络钓鱼等安全威胁的行为进行检测和响应。它通过分析数据中的模式和行为来指示恶意意图，提供额外的保护层，保护用户免受高级威胁。

如何防止 Microsoft 365 中的二维码网络钓鱼攻击？

由于任何人都可能成为二维码网络钓鱼攻击的容易目标，因此实施安全措施并保护组织中的敏感数据至关重要。

• 通过跨端点、电子邮件、云应用程序等的本机集成，XDR（扩展检测和响应）提供清晰的可见性、分析和针对恶意行为者的自动攻击中断。
• Microsoft Defender XDR 还可以避免中间对手 (AiTM) 攻击，因为在二维码网络钓鱼中窃取帐户凭据至关重要。
• Android 和 iOS 上的 Microsoft Defender for Endpoint 具有反网络钓鱼功能，可以阻止网络钓鱼站点并防止通过 URL 链接下载或安装恶意软件。
• 利用攻击模拟培训来教育最终用户，使他们认识到网络钓鱼攻击的迹象。因此，它有助于防止用户在不知不觉中遭受攻击。
• 确保遵循并根据安全要求定期调整基本的 Microsoft 365 安全措施，例如启用 MFA、应用零信任原则等。
• 此外，还可以监控您的配置设置、管理和保护优先级帐户、查看邮件流规则以及跟踪对组织策略所做的任何异常修改。
• 确保您在组织中正确配置了反垃圾邮件、反恶意软件、反网络钓鱼、安全附件等。
• 您可以使用“提交”工作流程将误报或误报样本提交给 Microsoft 进行进一步分析。

我希望本博客将帮助您了解实施适当安全措施的重要性以及在组织中检测和防止二维码网络钓鱼的步骤。保持更新并保持安全！通过评论部分提出您的疑问，让我们知道您如何保护您的租户。