卡巴斯基专家发现,网络钓鱼电子邮件中恶意二维码的使用量显著增加。这种技术使组织面临凭证盗窃和安全漏洞的风险。分析师莱安德罗·库佐表示,其有效性在于安全决策完全取决于员工,他们通常自动扫描二维码,且在受保护的机构电子邮件环境之外进行。库佐警告称,如果没有先进的图像分析和更好的用户实践,公司将面临财务损失和声誉损害。研究人员指出,这些欺诈性代码直接插入邮件正文或隐藏在附件的 PDF 文件中。一旦扫描,链接可能会将受害者重定向到伪造的微软门户或公司内联网,旨在窃取用户名和密码。此外,还发现了使用人力资源部门关于休假安排或人员名单的虚假通知,以及包含语音网络钓鱼(vishing)策略的欺诈性发票的活动。为缓解此威胁,专家建议持续培训员工以识别可疑邮件并了解扫描未知代码的风险,实施多因素身份验证和严格的访问控制,以及使用能够阻止垃圾邮件、商业电子邮件欺诈(BEC)攻击和图像传播威胁的专业电子邮件保护解决方案。
