El phishing de códigos QR, también conocido como “quishing”, está en aumento, según HP, Darktrace, Malwarebytes, AusCERT y muchos otros.
Quishing (o phishing con código QR) es una técnica que han utilizado piratas informáticos y otros. Detrás de un código QR hay un enlace que lleva al usuario a un sitio web malicioso. Ten cuidado.
¿Qué son los Códigos QR?
Los códigos QR son códigos de barras matriciales bidimensionales utilizados para rastrear productos, identificar elementos, simplificar acciones como conectarse a una red inalámbrica o configurar la autenticación multifactor para cuentas, y proporcionar contenido específico a los usuarios móviles (por ejemplo, abriendo una página web o aplicación en el dispositivo del usuario).
En este momento, la mayoría de las personas sabe cómo luce un código QR y que necesitan escanearlo para acceder a la información “incrustada” en él.
Desafortunadamente, no muchos usuarios saben que los códigos QR no son inherentemente seguros y pueden ser utilizados con fines maliciosos.
Phishing con Códigos QR (Quishing): Ejemplos y Tácticas
El phishing con códigos QR generalmente llega a través del correo electrónico y contiene un código QR que apunta a una página web de phishing o estafa.
Los correos de quishing generalmente se hacen pasar por una empresa creíble y le piden a los usuarios que escaneen el código QR en su correo electrónico.
Cuando los objetivos son ejecutivos o empleados corporativos, es más probable que los redirijan, generalmente a través de una serie de redirecciones abiertas, a una página de inicio de sesión falsa de Microsoft 365.
AusCERT recientemente realizó un análisis de muestras de correos electrónicos enviados por sus organizaciones miembros y descubrió que la mayoría de ellos parecían provenir de un gerente dentro de la respectiva organización.
Nota
Patrones de Ataque
DarkTrace ha enumerado recientemente patrones y similitudes en los correos electrónicos de phishing con códigos QR que han visto:
- Los correos electrónicos transmitían un sentido de urgencia.
- Algunos de los correos electrónicos se referían directamente a la activación de la autenticación de dos factores (2FA) o a la activación del código QR, parecían muy convincentes y parecían provenir del departamento de TI de la organización.
- Algunos de los correos electrónicos provenían de cuentas legítimas comprometidas.
- Un correo electrónico se hacía pasar por proveniente de una empresa recientemente adquirida por la empresa objetivo.
“Otra característica compartida por estos correos electrónicos fue que tenían poco o ningún texto incluido en el cuerpo del correo electrónico y no contenían una porción de texto sin formato“, señalaron los investigadores.
“Esto dificulta el análisis textual y el filtrado del correo electrónico en busca de palabras clave y lenguaje sospechoso que podría revelar su intención de phishing”.
Tácticas adicionales utilizadas para eludir las pasarelas de seguridad de correo electrónico incluyen la redirección maliciosa a través de dominios de servicios benignos y enlaces maliciosos contenidos en archivos adjuntos.
¿Es Efectivo el Quishing?
Una prueba reciente de concienciación sobre la seguridad de los empleados realizada por Hoxhunt reveló que solo el 36% de casi 600,000 empleados de diferentes niveles de jerarquía identificaron y denunciaron con éxito el correo electrónico de phishing que llevaba un código QR.
“Más de la mitad no lo reconoció como una amenaza, mientras que otro 5% de los empleados realmente escaneó el código QR o hizo clic en un enlace”, dijo la compañía.
Un informe anecdótico de un profesional de la seguridad que realizó una simulación de phishing con código QR contra los empleados de su organización cuenta una tasa de escaneo/clic similar: 6%.
Mientras los profesionales de la seguridad debaten en línea sobre qué soluciones de terceros, reglas y filtros de flujo de correo, consultas y trucos pueden evitar que los correos electrónicos de phishing con código QR lleguen a las bandejas de entrada de sus colegas, una cosa es evidente: las capacitaciones sobre la concienciación sobre el phishing deben actualizarse para incluir la amenaza del quishing.
El quishing es el phishing con un giro, por lo que los consejos habituales para reconocer el phishing siguen siendo aplicables. Pero se debe informar a los usuarios de que los correos electrónicos de phishing (y los mensajes de texto y mensajes en redes sociales) también pueden incluir códigos QR maliciosos.
Se les debe advertir a los usuarios que sean especialmente cautelosos al evaluar la legitimidad de los correos electrónicos que llevan códigos QR. Deben previsualizar la URL detrás del código QR antes de hacer clic y utilizar un escáner de códigos QR con funciones de seguridad incorporadas.
