یک کمپین پیشرفته فیشینگ QR Code با نام Quish Splash توانست حتی برخی از پیشرفتهترین سیستمهای امنیتی ایمیل را دور بزند و بیش از 1.6 میلیون کاربر را در معرض ریسک قرار دهد. طبق گزارش پژوهشگران شرکت 7AI، این کمپین بین 26 فوریه تا 18 مارس 2026 اجرا شد و ایمیلهای مخرب بدون شناسایی توسط Microsoft Defender و سایر ابزارهای امنیتی وارد صندوقهای ورودی کاربران شدند. استفاده از فیشینگ QR Code به عنوان یک روش نوآورانه مبتنی بر فناوری دیجیتال، نشان میدهد که حتی امنترین سیستمهای ایمیل نیز در برابر تکنیکهای پیشرفته فیشینگ آسیبپذیر هستند و محدودیتهای امنیت سنتی را بهطور کامل دور میزنند.
چگونه QR Code به سلاح فیشینگ تبدیل شد؟
در کمپین فیشینگ QR Code Quish Splash، هکرها لینکهای مخرب را داخل تصاویر BMP پنهان کردند تا از دید فیلترهای امنیتی دور بمانند. این تکنیک باعث شد لینکهای فیشینگ برای اسکنرهای خودکار نامرئی باشند، زیرا ابزارهای امنیتی بیشتر روی متن تمرکز دارند و پیکسلهای تصویر را بررسی نمیکنند.
هکر با نام مستعار Baron Lester، ایمیلهایی با موضوع تحقیقات COVID-19 و RSV ارسال کرد که کاملاً با استانداردهای SPF، DKIM و DMARC سازگار بودند. دامنه ارسالکننده یعنی iconicdeciphercom به درستی تنظیم شده بود، بنابراین سیستمهای امنیتی ایمیل این پیامها را کاملاً قابل اعتماد و با امتیاز اسپم پایین شناسایی کردند. این تاکتیک نشان میدهد که فیشینگ QR Code میتواند حتی سیستمهای امنیتی پیشرفته را فریب دهد.
استراتژی سهمرحلهای برای موفقیت کمپین فیشینگ QR Code
کمپین فیشینگ QR Code در سه مرحله اجرا شد تا هشدارها را به حداقل برساند:
- موج اول: 26 فوریه، ارسال آزمایشی برای 7 نفر، شامل یک مدیر.
- موج دوم: 17 مارس، ارسال 25 ایمیل خودکار به زیرمجموعه مستقیم همان مدیر.
- موج سوم: 18 مارس، ارسال ایمیل پیگیری با 77 هزار ID جدید در یک روز.
این استراتژی نشان میدهد هکرها همزمان سازمانهای زیادی را هدف قرار داده و فیشینگ QR Code را به شکل حرفهای و صنعتی اجرا کردهاند.
تکنیکهای پیشرفته فرار از شناسایی در کمپین فیشینگ QR Code
یکی از هوشمندانهترین روشهای مهاجمان در این کمپین فیشینگ QR Code، بهرهگیری از پاسخهای خودکار (auto-reply) بود. هرگاه کارمندی حالت غیرفعال بودن موقت در دفتر یا همان Out of Office را فعال کرده بود، سیستم بهطور خودکار پاسخی به آدرس covid_info@iconicdecipher.com ارسال میکرد. این تکنیک به هکرها اجازه میداد تا فعال بودن ایمیل و واقعی بودن گیرنده را تأیید کنند و هدف خود را با دقت بیشتری تنظیم نمایند.
علاوه بر این، هر گیرنده یک QR Code منحصر به فرد دریافت میکرد. این تکنیک باعث شد حتی اگر یکی از ایمیلها توسط فیلترهای امنیتی شناسایی یا مسدود شود، ایمیلهای دیگر با هش متفاوت همچنان عبور کنند. به این ترتیب، هر تصویر QR به عنوان یک فایل جدید از نظر سیستمهای امنیتی محسوب میشد و شناسایی فیشینگ QR Code توسط ابزارهای خودکار را بسیار دشوار میکرد.
تهدید واقعی کاربران موبایل در کمپین فیشینگ QR Code
خطر اصلی کمپین زمانی آشکار شد که قربانیان، QR Codeهای مخرب را با تلفن همراه خود اسکن کردند. از آنجا که دستگاههای موبایل معمولاً خارج از کنترل امنیتی سازمان هستند، مهاجم توانست بدون نیاز به لپتاپ سازمانی، اجرای کد از راه دور (RCE) انجام دهد و به اطلاعات حساس و دادههای محرمانه دسترسی پیدا کند.
این موضوع نشان میدهد که حتی امنترین صندوقهای ورودی ایمیل، زمانی که فیشینگ QR Code به شکل هدفمند و هوشمند طراحی شود، دیگر نمیتوانند بهطور کامل به عنوان پناهگاه مطمئن عمل کنند و کاربران موبایل بیشترین آسیبپذیری را در برابر این نوع حملات تجربه میکنند.
جمعبندی: زنگ خطر برای فیلترهای ایمیل سازمانی
کمپین Quish Splash یک هشدار جدی برای مدافعان امنیت سایبری است. این حمله نشان میدهد که هکرها با ترکیب فیشینگ QR Code، تکنیکهای مخفیسازی لینکها در تصاویر BMP و استفاده از پاسخهای خودکار، محدودیتهای سنتی امنیت ایمیل را دور میزنند و روشهای خلاقانهتری برای نفوذ به سامانهها ایجاد میکنند.
