利用二维码进行的钓鱼、投毒，成为目前常见的邮件攻击手段之一，该类二维码主要存在于网络链接图片、邮件内容图片、附件图片中。

近日，安全团队捕获到一类基于员工福利、节日礼品的二维码钓鱼邮件。攻击者打着“员工福利”之类的名号，降低防备心，将二维码放在邮件正文中或者附件中，再加上精心准备的钓鱼界面，稍有不慎就泄露自己的银行卡号密码等，最终被攻击者利用，造成敏感信息泄露个人经济损失。部分样本如下：

相较于薪资补贴、个人所得税申报等二维码钓鱼邮件，这类邮件在发件人成功伪造收件人相同邮件域账户的情况下，很多收件人认为是公司内部邮件而放松警惕，目前有企业员工上当受骗。

目前ASEG反欺诈策略能精确识别发件人是否为伪造的企业邮件账户，启发式规则库已提取该类邮件特征，能进行拦截，并处于持续优化更新中。

目前启发式规则库支持对该类邮件全方面拦截，检测点包括但不限于：用户名伪造检测、发件域信誉、HELO、EHLO、rDNS、RBL、内置钓鱼模板匹配度、恶链、0day-Phish等等。

Product_xxxxx.zip

发票和账单.rar

目前启发式规则库已支持对该类邮件的检测，配合沙箱联动处理能达到预期拦截效果。

二. 防护建议

✅ 1.企业单位邮件域配置SPF记录，预防内部账号伪造

✅ 2.警惕包含以下内容的特定邮件

使用“xx部门”、“公司财务”等用户名的发件人；

• 非工作时间发送的邮件，联系发件人确认真实性；

• 包含“薪资补贴”、“福利”、“订单”、“询价”及“票据”等关键词的邮件主题；

• 包含“您好，xx”、“尊敬的xx”等泛化问候词的邮件内容；

• 包含“邮箱备案”、“状态异常”、“安全升级”等伪造IT信息部门发送的邮件内容；

• 携带未知网页链接或附件，在不确定安全性时不要点击；