Katalat QR-koodit – Uusi kinkkinen lonkero kohti käyttäjiä
Heti kärkeen pahoittelut mahdollisesti hieman kuolleen hevosen ruoskinnasta, nimittäin tästä vektorista taisi myös Kyberturvakeskuksen nimismiehet varoitella heinäkuussa.
Sitten siihen asiaan eli piffiin
Organisaation X käyttäjä Y ottaa vastaan kohtalaisen hyvin lokalisoidun saatesähköpostin, johon oli skriptattu mukaan organisaation logo, käyttäjän UPN ja muuta ikonografiaa:
Kehotuksena on siis QR-koodin voimin käydä ”päivättämässä” käyttäjätiliin liittyviä yksityiskohtia. Toki update ur syntaksi saatteessa nostaa noin kiljardi punalippua pystyyn ja antaa oivallista insighttia tekijätahon ikäluokkaan ja/tai yhteiskunnalliseen asemaan.
Eli meillä on orgin täysillä väreillä kustomoitu saatekirjelmä, jossa vain yksi kielioppikäpy ja sitten se QR-koodi inline-liitteenä.
Saatekirjelmän lähetykseen on käytetty aikaisemmin korkattua tenanttia, joten se saapuu myös ihan luotettavasta lähteestä. Karvas sähkömiehenposti tulee siis läpi melkein mistä vain pesurista, ainakin hetkisen aikaa, koska lähettäjänä on ihan orgaaninen sähköpostilaatikko, ei kuumalinkkejä mihinkään eikä tietenkään liitteitä.
Pureksitaan sitten hetkonen saatteen QR-koodin sielunmaisemaa
Se on nimittäin penteleen hyvin enkoodattu. Yksikään free -tason QR-dekooderi ei kykene räjäyttämään sen sisältöä avoimeksi, mutta Android ja iLuurien kamera-appien natiivi dekooderi kyllä. 😀 Ensimmäinen hoppi QR-koodista on hakukoneen tulossivu, josta valikoidaan hakutuloksista toinen hoppi, tämä kakkoshoppi heittää sitten varsinaiseen mörköluolaan.
Luolan lähempi tutkiminen paljastaa sen olevan ihan ehta Powerapps-portaali, tenantista nimeltä rnicrosotfonline-0ffice12-com(Romeo November India Charlie Romeo…). Ymmärrän kriminaalien sielunmaisemaa taisteluaseen valinnassa, nimittäin Microsoftilla on aivan helkkarinmoisia haasteita ampua alas näitä rosvoportaaleja siviilien tekemien takedown requestien perusteella. Nykyisin prosessissa saa helposti vierähtämään useamman kuukauden, joka on auttamattomasti liian hidas prosessi.
Hiekkalaatikkokone käyntiin ja pää edellä kaninkoloon siis! Office-id hashia vastaan saadaan oivallisesti pyöräytettyä vähän analyyzia tämänkertaisen Saatanan sielunelämästä ja HTMLphisherhän sieltä paljastui taustalta. Toki nyt oli toimitusmetodi verrattain hienostunut, eli ratsastetaan käyttäjän QR-koodimielenkiinnon kanssa.
Peuhataan auki!
Käytännössä koijatulle käyttäjälle pitäisi tulla Outlookin OwA-liittymä auki hetkeksi, jonka jälkeen tarjoillaan katalasti viritettyä SSPR-kokemusta.
Tarjoiluidut kuvakaappaukset ovat forensiikkasivuston samppeleita, ei evidenssiä varsinaisesta tilanteesta, joten ne privacy advokaatit teistä lukijoista voitte huokaista hetken helpotuksesta.
Mite ehmetissä tältä mörökölliltä voi sitten suojautua teknisin toimin, ilman että ruuvailee paranoidipäissään koko inboundi-kaistan kiinni Exostaan? Tämä vektori, kun aktivoidaan mobiililaitteen kameralla, joten se ei ole auditoitava url click through. :c
Ja esmes Intunessa ei ole ainuttakaan kontrollipintaa QR-koodien luennan estämiseen ja vaikka olisikin, niin tällöin mm. uuden autentikaattori-appisen käyttöönottamisesta muodostuisi kohtalainen seikkailu käyttäjän osalta.
OCR-magiasta on myös turha unelmoida QR-koodin kovan enkoodauksen vuoksi. 😀 Ja lopulta sehän pointtaa vain harmittomaan hakutulokseen.
Käytännössä ei milläkään muulla tavoin, kuin kouluttamalla ja analysoimalla risky user ja risky sign-in telemetriaa. Tietenkin vanha kunnon, eli CA-sääntöpatteristo pitää tilannetta hansikkaissa; eli tässäkin casessa täysiveriset kirjautumiset ja myöhemmät hyödyntämiset onnistuvat vain tietyistä paikoista, tiettyjen metodien suorituksen jälkeen ja tietyiltä laitteilta.
Näkisin paranoidipäissäni, että tätä vektorointia tullaan tulevaisuudessa hyödyntämään enemmänkin. Mikään ei esim. estäisi minua tuottamasta vastaavaa verkostoa Facebook-tunnuksien keruuseen ja kamppiksen mainostukseen voisin käyttää katukuvaan kylvettyjä QR-tarroja, joissa luvataan katumaasturi palkkioksi skannauksesta…
TL;DR
- Kyberrikollisuudella ei ole lomakausia, vaara vaanii myös heinäkuussa
- Henkilöstön jatkuva kouluttaminen modernin maailman moninaisista vaaroista
- Aikaisemmin opit, että ne kiinalaiset taskulamppu-appiset voisi jättää lataamatta. Nyt opit sen, että aivan kaikkia QR-koodeja ei kannata nuuskia mobiililaitteilla.
