ФБР предупредило о новой тактике фишинга от северокорейских хакеров — с помощью QR-кодов

ФБР предупредило о новой тактике северокорейских хакеров из группировки Kimsuky. По данным ведомства, с 2025 года злоумышленники используют в фишинговых атаках вредоносные QR-коды — такой метод получил название «квишинг» (quishing).

Целями хакеров становятся некоммерческие организации, аналитические центры, университеты, а также американские и зарубежные эксперты по внешней политике, связанные с северокорейской тематикой. Особенность метода в том, что жертва сканирует QR-код с корпоративного компьютера и переходит по ссылке уже с мобильного устройства — это позволяет обойти традиционные системы защиты электронной почты.

В отчете приводятся конкретные случаи атак. В мае 2025 года хакеры рассылали письма от имени иностранного советника, сотрудника посольства и работника аналитического центра — во всех случаях адресатам предлагалось отсканировать QR-код якобы для доступа к опросу или защищенному хранилищу. В июне того же года злоумышленники разослали приглашения на несуществующую конференцию: QR-код вел на поддельную страницу регистрации, а затем — на фейковую форму входа в аккаунт Google.

По данным ФБР, после сканирования кода жертва попадает на контролируемые хакерами серверы, которые собирают информацию об устройстве и перенаправляют на поддельные страницы авторизации Microsoft 365, Okta или VPN-порталов. Похищенные токены сессии позволяют злоумышленникам обходить двухфакторную аутентификацию и получать доступ к облачным аккаунтам без срабатывания стандартных оповещений о неудачном входе.

Ведомство рекомендует организациям обучать сотрудников тому, как распознавать подозрительные QR-коды, использовать устойчивую к фишингу многофакторную аутентификацию и внедрять системы управления мобильными устройствами, способные проверять ссылки до перехода по ним.

В октябре прошлого года стало известно, что Северная Корея направила около 100 «IT-специалистов» в китайский приграничный город Дандун. Как предполагал источник издания NK News, они должны были заниматься в том числе незаконной деятельностью — хакерством и кражей криптовалюты для получения больших сумм в иностранной валюте, необходимой режиму Кимов.