Ким Чен Ын в вашем смартфоне: один скан QR-кода — и вы сами протащили шпиона мимо корпоративной защиты
NewsMakerКак хакеры превратили безобидный QR-код в «троянского коня», которого в упор не видят системы безопасности.
Северокорейские хакеры начали активно использовать QR-коды для кражи учётных данных и обхода корпоративной защиты. Об этом предупредило ФБР, связав новую тактику с группировкой Kimsuky , которую американские спецслужбы считают аффилированной с властями КНДР.
Речь идёт о разновидности QR-фишинга . В таких атаках вредоносная ссылка скрыта не в тексте письма, а зашита в QR-код. Злоумышленники рассылают тщательно подготовленные письма и рассчитывают на то, что получатель отсканирует код смартфоном — устройством, которое часто выпадает из поля зрения корпоративных средств защиты.
После сканирования жертву перенаправляют на поддельную страницу входа, имитирующую популярные сервисы вроде Microsoft 365, Okta или корпоративных VPN-порталов. Введённые логины, пароли и данные активных сессий незаметно перехватываются и позже используются для повторного доступа к системам, в том числе с обходом MFA .
По данным ФБР, такие кампании фиксировались на протяжении 2025 года. Основными целями становились аналитические центры, академические учреждения, а также государственные и окологосударственные организации в США и за рубежом, связанные с тематикой Северной Кореи, внешней политики и национальной безопасности.
Северокорейские хакеры начали активно использовать QR-коды для кражи учётных данных и обхода корпоративной защиты. Об этом предупредило ФБР, связав новую тактику с группировкой Kimsuky , которую американские спецслужбы считают аффилированной с властями КНДР.
Речь идёт о разновидности QR-фишинга . В таких атаках вредоносная ссылка скрыта не в тексте письма, а зашита в QR-код. Злоумышленники рассылают тщательно подготовленные письма и рассчитывают на то, что получатель отсканирует код смартфоном — устройством, которое часто выпадает из поля зрения корпоративных средств защиты.
После сканирования жертву перенаправляют на поддельную страницу входа, имитирующую популярные сервисы вроде Microsoft 365, Okta или корпоративных VPN-порталов. Введённые логины, пароли и данные активных сессий незаметно перехватываются и позже используются для повторного доступа к системам, в том числе с обходом MFA .
По данным ФБР, такие кампании фиксировались на протяжении 2025 года. Основными целями становились аналитические центры, академические учреждения, а также государственные и окологосударственные организации в США и за рубежом, связанные с тематикой Северной Кореи, внешней политики и национальной безопасности.