我們其實已經寫過很多次,現在釣魚攻擊超愛用 QR Code。甚至連郵件安全系統,都已經進化到會自動掃描 Email 裡面的 QR Code,包括附件中的 QR Code,然後檢查裡面的網址安不安全。
但攻擊者也沒放棄,最近開始改玩另一招:
「ASCII Art QR Code」
也就是用純文字字元拼出假的 QR Code 圖案。
這其實超諷刺。以前釣魚仔是:
「把惡意連結藏進圖片裡,躲避文字掃描」
現在則變成:
「把圖片偽裝成文字,躲避圖片掃描」。
文章先介紹了一下 ASCII Art 的歷史。
以前很古早的電腦,其實根本沒辦法顯示圖片,所以大家只能用:
- 英文字
- 符號
- 特殊字元
拼出圖案。
而 ASCII 是 1963 年建立的文字標準,所以後來這種用字元組成圖片的東西,就被叫做:
「ASCII Art」。
以前甚至:
- 網站介面
- 藝術作品
- 電腦色情內容
都有人用 ASCII Art 做。
後來圖片技術進步後,ASCII Art 一度沒落。
但到了 2000 年代垃圾信超盛行時,它又重新紅起來。
因為垃圾郵件發送者發現:
如果把敏感關鍵字拆成 ASCII 圖案,
比較不容易被郵件過濾器攔截。
而且那時候很多人網路還是計流量的,會關閉圖片載入,所以 ASCII Art 比圖片更容易被看到。
現在這招又被釣魚集團重新拿出來用了。
原因很簡單:
現在很多資安系統已經會自動辨識圖片中的 QR Code,
所以攻擊者乾脆:
「不用圖片了,直接用文字拼 QR Code」。
文章提到最近一個案例。
釣魚信內容其實很普通:
它假裝有人透過 DocuSign 傳了一份機密文件給你。
但信裡會說:
「請掃描下方 QR Code 查看文件」
然後要求你登入公司帳號。
但那個 QR Code,
其實根本不是圖片。
而是:
用一堆文字、符號、空格拼出來的「假 QR Code 圖」。
這樣很多傳統掃描系統就可能漏掉。
因為它看起來像文字,
不是圖片。
本質上就是:
「利用文字偽裝圖片,繞過安全檢測」。
這種用 Unicode 字元畫出來的 QR Code,研究人員還特地把其中一部分模糊掉,避免真的有人拿去掃到惡意網址。
老實說,這種 QR Code 看起來其實蠻怪的。
因為它不是正常圖片,而是用很多:
- 特殊符號
- 偽圖形字元
- Unicode 方塊字元
一塊一塊拼出來的。
所以仔細看會發現:
- 線條中間有空隙
- 格子不太整齊
- 有種「文字畫」的感覺
而且重點是:
在 Email 原始碼裡,其實根本不存在真正的圖片檔。
換句話說:
信件裡沒有 PNG、JPG、SVG 之類的 QR Code 圖片。
它本質上只是:
「一大堆文字排版」而已。
所以很多只會掃圖片的資安系統,可能就不會把它當成 QR Code 處理。
這也是攻擊者現在想利用的點:
「利用純文字偽裝圖片內容,繞過 QR Code 偵測」。
結果就是:
一般的網址掃描器看不到連結,
而圖片分析工具也抓不到 QR Code 裡藏的網址。
所以攻擊者就以為:
「這封釣魚信應該能順利寄到受害者信箱了吧。」
不過文章也直接吐槽:
「別擔心,我們還沒忘記怎麼攔 ASCII Art。」
接著文章提了一個重點:
「Email 裡出現 QR Code,真的正常嗎?」
其實有些情況是合理的。
例如:
- 分享聯絡資訊
- App 下載連結
- 地圖位置
- Wi-Fi 設定
- 手機登入配置
因為 QR Code 本來就很適合:
「把資訊快速傳到手機」。
但如果有人要求你:
「掃 QR Code 後,在手機上輸入公司帳密」
那基本上就是超大紅旗。
尤其是:
如果那個 QR Code 還是用 ASCII Art 拼出來的,
幾乎就能直接判定:
這是釣魚,或是想把你導到惡意網站。
因為正常人根本沒必要:
「故意把 QR Code 做成文字圖」。
唯一合理目的通常只有一個:
「想繞過資安檢測」。
最後文章也給了一些防護建議。
企業端最好使用:
- 有進階反釣魚能力的 Secure Email Gateway
- 端點防護方案
- 網頁防護機制
避免這類信件直接進到員工信箱。
另外也很重要的是:
定期做資安意識教育。
讓員工知道:
現在連 ASCII Art 都可能是釣魚手法。
因為很多人看到文字圖,
反而會降低戒心,覺得:
「這應該只是排版吧?」
但現在攻擊者就是利用這種心理在騙人。
資料來源: ASCII art in phishing emails | Kaspersky official blog