“¿Hola, quieres un descuento?” Así funciona el quishing, la estafa que usa códigos QR

La empresa de seguridad Check Point alertó de un aumento en los ataques de phishing con códigos QR. Sus investigadores han descubierto una nueva campaña, en la que el código QR no está en una imagen, sino que se crea mediante HTML y caracteres ASCII. A fines de mayo se detectaron más de 600 correos electrónicos que seguían este patrón.

Estos ataques, conocidos como quishing, se diferencian de los ataques de phishing tradicionales en la forma en que se formatea el enlace en un correo electrónico. En lugar de un enlace basado en texto, el sitio web malicioso se señala mediante un código QR. Cuando un usuario escanea el código QR, su dispositivo puede extraer el enlace indicado y llevar al usuario a esa URL.

Empezaron con solicitudes de autenticación estándar y posteriormente, evolucionaron hacia el ataque de routing y objetivos personalizados. Ahora, según el reporte de esta empresa, s está viendo una nueva tendencia hacia la manipulación de códigos QR.

Los ciberdelincuentes están insertando pequeños fragmentos de código en el HTML. A simple vista, en un email, esto podría parecer un código QR estándar, pero para un OCR, no se detecta ninguna información relevante. Existen plataformas online que facilitan a los ciberdelincuentes la generación automática de estos códigos maliciosos, los cuales pueden ser configurados para incluir enlaces dañinos.

En muchos casos de ataques de phishing con códigos QR, el correo electrónico pretende ser una solicitud de autenticación. Sin embargo, la presencia de caracteres ASCII en el código QR puede llevar a los sistemas de seguridad a pasar por alto el riesgo, interpretando erróneamente el email como seguro.

Todas las formas de ataque evolucionan y el phishing de código QR no es diferente. Sin embargo, es único que la evolución se haya producido tan rápidamente.

1. Comenzó con códigos de verificación MFA estándar; eran bastante sencillos y pedían a los usuarios que escanearan un código, ya fuera para restablecer la MFA o incluso para consultar datos financieros.

2. La segunda variante, QR Code Phishing 2.0, eran ataques de routing. El enlace busca dónde está interactuando el usuario con él y se ajusta. Si el internauta está en un Mac, aparece un enlace, si por el contrario cuenta con un teléfono Android, aparece otro. También se han detectado campañas de códigos QR personalizados, en las que los ciberdelincuentes introducen el logotipo de la empresa y el nombre de usuario correcto de forma dinámica.

3. Ahora, estamos viendo el Código QR 3.0, que es la representación de uno basada en texto. Esto hace que sea extremadamente difícil para los sistemas OCR verlo y detectarlo.

Para protegerse frente a estas amenazas, las empresas y profesionales de la seguridad puden tomar las siguientes medidas:

• Apps que verifican autenticidad: El método más fácil y rápido para comprobar un código QR es con Bitdefender Scamio, una aplicación capaz de detectar estafas gratuitamente. Simplemente debe escanear el código QR con este programa, que lo analizará y le dirá si se trata de un código QR malicioso o no.
• No escanee un código QR desde un correo electrónico o mensaje de texto inesperado. Si sospecha de la legitimidad del mensaje, ingrese directamente a la web de la empresa.
• Inspeccione la URL antes de abrirla. Si parece una URL familiar, asegúrese de que no esté falsificada comprobando si hay errores ortográficos o letras cambiadas.
• Proteja su teléfono y sus cuentas. Utilice software antivirus en sus dispositivos, la mayoría de los cuales protegen contra estas nuevas amenazas, y proteja sus cuentas en línea con contraseñas seguras y autenticación multifactor.