SANS Internet Storm Center 近期觀察到一波新型態的網路釣魚攻擊,這波新攻擊駭客不採用傳統圖片檔的 QR Code 來發送,而是利用 HTML 原始碼中的表格 Table 標籤,直接在郵件中繪製出 QR Code,藉此繞過郵件安全閘道的掃描。
這波攻擊主要集中在 2025 年 12 月底,攻擊者利用這種技術將受害者導向惡意釣魚網站,試圖竊取用戶憑證。
HTML 表格拼湊出的偽裝 QR Code 隱形陷阱
傳統的 Quishing(QR Code 釣魚)通常是將 QR Code 存成 PNG 或 JPEG 圖檔並夾帶在郵件中。為了防堵這類攻擊,過去的資安解決方案,軟體和平台會對郵件內圖片進行 OCR(光學字元辨識)或 QR Code 解碼。但是,這一次駭客選擇的卻是「無圖片」的攻擊方式。
根據資安研究員 Jan Kopriva 的分析,這批新型態的釣魚郵件內容僅有簡短的文字和一個看似普通的 QR Code。如果進一步檢視原始碼,就會發現這個 QR Code 根本不是圖片,而是由數百個 HTML 表格儲存格(Table Cells)所組成的,這對使用者來說看起來仍然是 QR Code,而且也是能掃。
為什麼它可能更容易躲過偵測 ?
這種用 HTML 表格繪製QR Code 的攻擊手法之所以能奏效,主要利用了現有防禦體系的盲點,也就是說呢,一般的郵件安全產品主要是針對內嵌圖片或附件圖片來做 QR 解碼,遇到純 HTML 表格組出來的方塊可能就漏掉,因為系統會將其視為無害的 HTML 排版結構,而不是可疑的影像檔案。
而且對使用者端來說,掃 QR 往往是在手機上完成,手機可能不在企業 EDR 或網路檢測的保護範圍內,因此手機用戶的風險相對會跟著放大。一旦使用者透過手機鏡頭掃描並連線至釣魚網站,如果沒有納管到企業到的 EDR ,單靠企業內部的防火牆,或一般的端點防護往往難以攔截。
FBI警示北韓駭客組織Kimsuky鎖定智庫發動QR攻擊
除了技術層面的偽裝變形,國家級駭客組織也正大規模利用 QR Code 進行針對性攻擊。美國聯邦調查局(FBI)近期發出警示,指出北韓駭客組織 Kimsuky(又稱 APT43、Emerald Sleet)正利用惡意 QR Code 對美國及外國政府機構、智庫與學術單位進行魚叉式網路釣魚(Spear Phishing)。
FBI 指出,Kimsuky 的攻擊手法極具欺騙性,常見情境包括偽裝成外國顧問、大使館人員或智庫研究員,並在郵件中要求受害者掃描 QR Code 以填寫「關於朝鮮半島局勢的問卷」、「存取安全雲端硬碟」或「註冊研討會」等資訊,受害者掃描完 QR Code 就會被導向偽造的 Microsoft 365、Okta 或 VPN 登入頁面,並藉機竊取憑證。
FBI 強調,這類 Quishing 攻擊的核心威脅在於強迫使用者「更換裝置」。當受害者從受到企業嚴密監控的電腦,轉移到個人或未受管制的行動裝置上進行掃描時,便繞過了企業內部的 EDR 端點偵測與網路流量檢查。攻擊者一旦取得使用者的帳號憑證與連線階段 Token(Session Token),就能繞過多因素驗證(MFA),長驅直入連進該單位的網路。
CyberQ 資安觀點
CyberQ 指出,面對 HTML 表格繪製技術與國家級駭客的雙重威脅,企業除了升級郵件過濾邏輯外,加強員工對「行動裝置掃碼」的風險意識,已成為不可或缺的防線。
CyberQ 提醒,雖然利用 HTML 表格繪製圖形並非全新技術,但將其應用於大規模釣魚活動,顯示攻擊者正積極測試防禦系統的極限。再次提醒企業,單純依賴如圖片偵測這類技術來偵測資安威脅,已不足以應對此類與未來衍生的諸多攻擊模式。
CyberQ 建議,加強員工的資安教育仍是最後一道防線,使用者都應該要被告知,要對任何要求掃描 QR Code 才能進行登入、驗證或查看文件的郵件保持高度懷疑,即使該 QR Code 看起來毫無異狀,也要小心背後會不會是精心設計的 HTML 陷阱喔。
首圖由 Nano Banana AI 生成
