Los códigos QR se están utilizado en campañas de phishing. Ya en enero de 2022, el FBI advirtió que los ciberdelincuentes utilizan cada vez más códigos QR para robar credenciales e información financiera.
A pesar de su eficacia para eludir las protecciones, los códigos QR aún requieren que la víctima tome medidas para verse comprometida, lo cual es un factor mitigante decisivo que favorece al personal bien capacitado. Además, la mayoría de los escáneres de códigos QR en los teléfonos inteligentes modernos pedirán al usuario que verifique la URL de destino antes de iniciar el navegador como medida de protección.
Los actores de amenazas están llevando el phishing de imágenes al siguiente nivel al aprovechar los códigos QR, también conocidos como "Qishing", para ocultar sus URL maliciosas. Las nuevas muestras observadas utilizan esta técnica disfrazadas principalmente en notificaciones de autenticación multifactor (MFA), que inducen a sus víctimas a escanear el código QR con sus teléfonos móviles para obtener acceso. Sin embargo, en lugar de ir a la ubicación deseada del objetivo, el código QR lo lleva a la página de phishing del actor de la amenaza.
Los códigos QR, imágenes cuadradas que contienen información codificada que puede escanearse con un teléfono inteligente, se están volviendo cada vez más populares. Dado que el número de usuarios de teléfonos inteligentes alcanzó los 6.920 millones este año, el acceso a la información contenida en estas ingeniosas imágenes está al alcance de alrededor del 86% de la población mundial. Dado que la mayoría, si no todos, los teléfonos inteligentes actuales cuentan con escáneres QR y, para aquellos que no vienen equipados con ellos, se pueden descargar aplicaciones gratuitas para agregar esta funcionalidad.
Quick-Response, también conocido como códigos QR, desarrollado por Denso Wave, fue utilizado inicialmente por la industria automotriz en los años 90 para sus líneas de producción. Desde que Denso Wave puso a disposición del público el código fuente de este sistema en 1994, su popularidad aumentó rápidamente. En el año 2000, fue aprobado por la Organización Internacional de Normalización (ISO) como uno de sus estándares internacionales.
Al ser de código abierto, los generadores de códigos QR se han vuelto accesibles para cualquier persona con acceso a Internet. La mayor disponibilidad y flexibilidad de los códigos QR los convierte en las herramientas perfectas para que los ciberdelincuentes disfracen aún más sus enlaces maliciosos y evadan los filtros antispam.
El uso de imágenes con fines maliciosos no es nuevo. Los actores de amenazas han estado incorporando imágenes en correos electrónicos de phishing que contienen código malicioso. Estas imágenes son representaciones de mensajes legítimos disfrazados de contenido de cuerpo completo.
Códigos QR en phishing
La empresa Cofense dice que el ataque comienza con un correo electrónico de phishing que afirma que el destinatario debe tomar medidas para actualizar la configuración de su cuenta de Microsoft 365.
Los correos electrónicos contienen archivos adjuntos PNG o PDF con un código QR que el destinatario debe escanear para verificar su cuenta. Los correos electrónicos también indican que el objetivo debe completar este paso en 2 o 3 días para agregar una sensación de urgencia.
Los actores de amenazas utilizan códigos QR incrustados en imágenes para eludir las herramientas de seguridad del correo electrónico que escanean un mensaje en busca de enlaces maliciosos conocidos, lo que permite que los mensajes de phishing lleguen a la bandeja de entrada del objetivo.
Para evadir la seguridad, los códigos QR de esta campaña también utilizan redireccionamientos en los servicios Web3 de Bing, Salesforce y Cloudflare para redirigir a los objetivos a una página de phishing de Microsoft 365.
Ocultar la URL de redireccionamiento en el código QR, abusar de servicios legítimos y utilizar codificación Base64 para el enlace de phishing ayudan a evadir la detección y superar los filtros de protección del correo electrónico.
Además de la capacitación, Cofense también sugiere que las organizaciones utilicen herramientas de reconocimiento de imágenes como parte de sus medidas de protección contra el phishing, aunque no se garantiza que detecten todas las amenazas de códigos QR.
Fuente: TrustWave