בולשת החקירות הפדרלית של ארה"ב (FBI) פרסמה אזהרה חמורה אתמול (חמישי-9 בינואר 2026) בנוגע לגל תקיפות חדש ומתוחכם מצד האקרים בשירות צפון קוריאה.
השיטה החדשה, המכונה "Quishing" (שילוב של QR ו-Phishing), עוקפת את מנגנוני ההגנה הארגוניים המסורתיים ומכה בנקודה הרגישה ביותר, המכשיר הנייד של העובד.
קבוצת Kimsuky על הכוונת
האזהרה מתמקדת בקבוצת הריגול הידועה לשמצה Kimsuky (המכונה גם APT43 או Velvet Chollima), הפועלת בחסות סוכנות הביון של צפון קוריאה (RGB).
הקבוצה, שבעבר התמקדה בזיוף אימיילים מתוחכם, החלה לשלב קודי QR זדוניים בקמפיינים של "פישינג ממוקד" (Spear-phishing) המכוונים נגד מכוני מחקר, גופי ממשל ומוסדות אקדמיים בארה"ב ובעולם.
המטרה, לגרום לקורבנות לסרוק את הקוד במכשיר הנייד האישי שלהם, שבו לרוב אין הגנות אבטחה ארגוניות חזקות.
איך עובדת התרמית?
ה-FBI זיהה מספר דפוסים מפחידים בקמפיינים האחרונים:
- התחזות לדיפלומטים: שליחת מיילים המתחזים לשגרירים או יועצים, המבקשים "חוות דעת דחופה" על נושאים הקשורים לחצי האי הקוריאני, כאשר הגישה למסמך מתאפשרת רק בסריקת קוד QR.
- הזמנות לכנסים מזויפים: פיתוי קורבנות להירשם לכנס יוקרתי (שלא קיים) דרך עמוד נחיתה שגונב את פרטי ה-Google שלהם.
- עקיפת אימות דו-שלבי (MFA): המתקפות מסתיימות לרוב בגניבת ה-Session Token, מה שמאפשר לתוקפים לעקוף את מנגנוני ה-MFA ולהשתלט על הזהות הדיגיטלית של הקורבן ללא התראות אבטחה.
איום ה-Quishing: "פרצה שקטה" באבטחה
הסכנה הגדולה ב-Quishing היא שהיא מעבירה את הקורבן מהמחשב המוגן של הארגון למכשיר הנייד האישי, שנמצא מחוץ לטווח הראייה של מערכות האבטחה (EDR). זהו וקטור תקיפה בעל אחוזי הצלחה גבוהים במיוחד, המאפשר להאקרים לחדור לרשת הארגונית מבלי להפעיל אזעקות. המקרה מצטרף לדיווחים קודמים על הפצת נוזקות אנדרואיד (כמו DocSwap) בשיטות דומות.
