网络安全研究人员发现了一种新的 QR 码网络钓鱼攻击，攻击者利用 Microsoft Sway 基础设施托管虚假页面，诱骗用户扫描二维码，最终将用户重定向到网络钓鱼网站，窃取用户的 Microsoft 365 凭据。这种攻击主要针对亚洲和北美的用户，科技、制造和金融行业尤为突出。攻击者利用合法云产品营造可信度，并通过 Cloudflare Turnstile 隐藏域，使攻击更加隐蔽。

😠 利用 Microsoft Sway 托管虚假页面：攻击者利用 Microsoft Sway 创建包含虚假 QR 码的页面，诱骗用户扫描，最终将用户重定向到网络钓鱼网站，窃取用户的 Microsoft 365 凭据。

🕵️‍♀️ 攻击者利用合法云产品营造可信度：攻击者利用合法云产品，例如 Microsoft Sway，为受害者提供可信度，帮助他们信任其提供的内容。此外，受害者在打开 Sway 页面时使用他们已经登录的 Microsoft 365 帐户，这也可以帮助说服他们了解其合法性。

🛡️ 攻击者使用 Cloudflare Turnstile 隐藏域：攻击者使用 Cloudflare Turnstile 隐藏域，使攻击更加隐蔽，逃避静态分析工作。

⚠️ 攻击者利用中间对手网络钓鱼策略：攻击者利用中间对手网络钓鱼策略，使用相似的登录页面来窃取凭据和双因素身份验证代码，同时尝试将受害者登录到服务中。

🌐 攻击者针对特定行业和地区：攻击主要针对亚洲和北美的用户，其中科技、制造和金融行业是最受欢迎的行业。

💻 攻击者利用用户对移动设备的依赖：攻击者利用用户对移动设备的依赖，在用户使用手机扫描二维码时，更容易受到攻击，因为移动设备上的安全措施通常不如笔记本电脑和台式机严格。

💡 攻击者使用 Unicode 文本字符创建二维码：攻击者使用 Unicode 文本字符创建二维码，绕过传统的安全措施，因为它们完全由文本字符组成，看起来像普通的文本，不易被检测。

🚨 攻击者利用用户对 Microsoft Sway 的信任：攻击者利用用户对 Microsoft Sway 的信任，利用 Sway 的合法性和用户对其的熟悉程度，实施网络钓鱼攻击。

⚠️ 攻击者利用用户的安全意识薄弱：攻击者利用用户对网络钓鱼攻击缺乏足够的了解和警惕，更容易被诱骗扫描二维码，从而导致个人信息泄露。

🔐 用户需要提高安全意识：用户需要提高安全意识，谨慎对待任何可疑的二维码，不要轻易扫描未知来源的二维码。

🛡️ 用户需要使用安全软件和工具：用户需要使用安全软件和工具，例如防病毒软件和网络钓鱼检测工具，保护自身的安全。

💻 用户需要定期更新系统和软件：用户需要定期更新系统和软件，修复安全漏洞，提高系统安全性。

⚠️ 用户需要谨慎对待任何可疑的链接和邮件：用户需要谨慎对待任何可疑的链接和邮件，不要轻易点击或打开不明来源的链接。

🔐 用户需要使用强密码并启用双因素身份验证：用户需要使用强密码并启用双因素身份验证，提高账户安全性。

🚨 用户需要及时更改密码：用户需要及时更改密码，尤其是当账户可能被泄露时。

🛡️ 用户需要备份重要数据：用户需要备份重要数据，防止数据丢失。

💻 用户需要使用安全可靠的网络：用户需要使用安全可靠的网络，避免连接到公共 Wi-Fi 等不安全的网络。

💡 用户需要了解网络钓鱼攻击的常见特征：用户需要了解网络钓鱼攻击的常见特征，例如可疑的链接、邮件、二维码等，提高对网络钓鱼攻击的识别能力。

⚠️ 用户需要提高安全意识，谨慎对待任何可疑的网络信息：用户需要提高安全意识，谨慎对待任何可疑的网络信息，不要轻易相信任何未经证实的信息。

🔐 用户需要使用安全可靠的网络服务：用户需要使用安全可靠的网络服务，例如安全可靠的电子邮件服务、云存储服务等。

🚨 用户需要关注安全信息和安全警报：用户需要关注安全信息和安全警报，及时了解最新的网络安全威胁和防范措施。

🛡️ 用户需要积极参与安全教育和培训：用户需要积极参与安全教育和培训，提高自身的网络安全意识和技能。

💻 用户需要使用安全的网络浏览器：用户需要使用安全的网络浏览器，例如 Chrome、Firefox、Edge 等，并安装必要的安全插件。

💡 用户需要使用安全的搜索引擎：用户需要使用安全的搜索引擎，例如 Google、Bing 等，避免使用一些不安全的搜索引擎。

⚠️ 用户需要谨慎使用社交媒体：用户需要谨慎使用社交媒体，不要在社交媒体上发布个人敏感信息，例如密码、银行卡号等。

🔐 用户需要保护个人信息：用户需要保护个人信息，不要轻易泄露个人信息，例如姓名、地址、电话号码、身份证号码等。

🚨 用户需要注意网络诈骗：用户需要注意网络诈骗，不要相信任何可疑的网络信息，例如中奖信息、投资信息等。

🛡️ 用户需要使用安全的支付方式：用户需要使用安全的支付方式，例如支付宝、微信支付等，避免使用不安全的支付方式。

💻 用户需要定期清理电脑和手机：用户需要定期清理电脑和手机，删除不必要的软件和文件，提高设备安全性。

💡 用户需要使用安全的VPN：用户需要使用安全的VPN，保护网络安全，尤其是使用公共 Wi-Fi 时。

⚠️ 用户需要注意网络安全风险：用户需要注意网络安全风险，例如网络钓鱼攻击、病毒攻击、黑客攻击等，提高安全意识，保护自身安全。

网络安全研究人员正在提请注意一种新的 QR 码网络钓鱼（又名 quishing）活动，该活动利用 Microsoft Sway 基础设施托管虚假页面，再次凸显了出于恶意目的滥用合法云产品的情况。“通过使用合法的云应用程序，攻击者为受害者提供了可信度，帮助他们信任它所提供的内容，”Netskope 威胁实验室研究员 Jan Michael Alcantara 说。“此外，受害者在打开 Sway 页面时使用他们已经登录的 Microsoft 365 帐户，这也可以帮助说服他们了解其合法性。Sway 还可以通过链接（URL 链接或视觉链接）共享，或使用 iframe 嵌入到网站上。这些攻击主要针对亚洲和北美的用户，其中科技、制造和金融行业是最受欢迎的行业。Microsoft Sway 是一种基于云的工具，用于创建新闻稿、演示文稿和文档。自 365 年以来，它一直是 Microsoft 2015 系列产品的一部分。这家网络安全公司表示，从 2024 年 7 月开始，它观察到独特的 Microsoft Sway 网络钓鱼页面的流量增加了 2024 倍，最终目标是窃取用户的 Microsoft 365 凭据。这是通过提供 Sway 上托管的虚假 QR 码来实现的，扫描后，会将用户重定向到网络钓鱼网站。为了进一步逃避静态分析工作，已经观察到其中一些压制活动使用 Cloudflare Turnstile 作为向静态 URL 扫描器隐藏域的一种方式。该活动还以利用中间对手 （AitM） 网络钓鱼策略（即透明网络钓鱼）来使用相似的登录页面来窃取凭据和双因素身份验证 （2FA） 代码而著称，同时尝试将受害者登录到服务中。“使用二维码将受害者重定向到网络钓鱼网站给防御者带来了一些挑战，”Michael Alcantara 说。“由于 URL 嵌入在图像中，因此只能扫描基于文本的内容的电子邮件扫描仪可能会被绕过。”“此外，当用户收到二维码时，他们可能会使用其他设备（例如手机）来扫描二维码。由于在移动设备（尤其是个人手机）上实施的安全措施通常不如笔记本电脑和台式机严格，因此受害者通常更容易受到滥用。这不是网络钓鱼攻击第一次滥用 Microsoft Sway。2020 年 4 月，Group-IB 详细介绍了一项名为 PerSwaysion 的活动，该活动通过使用 Sway 作为跳板，将受害者重定向到凭据收集网站，成功地入侵了德国、英国、荷兰、香港和新加坡多家公司的至少 156 名高级官员的企业电子邮件帐户。随着安全供应商制定对策来检测和阻止此类基于图像的威胁，压制活动变得越来越复杂。“巧妙的是，攻击者现在已经开始使用 Unicode 文本字符而不是图像制作二维码，”SlashNext 首席技术官 J. Stephen Kowski 说。“这种我们称之为’Unicode QR 码网络钓鱼’的新技术对传统的安全措施提出了重大挑战。”使该攻击特别危险的是，它完全绕过了旨在扫描可疑图像的检测，因为它们完全由文本字符组成。此外，Unicode QR 码可以完美地呈现在屏幕上，没有任何问题，并且在以纯文本形式查看时看起来明显不同，这进一步使检测工作复杂化。