La lucha contra las ciberestafas es un constante tira y afloja, en el que los malos innovan y los buenos intentan contestar a cada nuevo cambio de estrategia. De modo que ahora, cuando las soluciones de ciberseguridad empiezan a tomar medidas contra los correos de phishing que incluyen enlaces a webs maliciosas, los estafadores empiezan a probar cosas nuevas…
…y ahora, de pronto, ya no son enlaces lo que deben buscar las aplicaciones y extensiones anti-phishing, sino imágenes. Y no cualquier tipo de imágenes.
Y es que un equipo de investigadores de ciberseguridad de la compañía Cofense ha detectado una nueva campaña masiva de phishing que utiliza códigos QR maliciosos con el objetivo de hacerse con las credenciales de Microsoft en varias empresas, incluida una destacada compañía energética estadounidense.
Los códigos QR, masivamente adoptados por el gran público tras la pandemia de COVID-19, se han venido utilizando desde entonces en miles de restaurantes y negocios para reemplazar menús y guías físicas por imágenes que, al ser legibles por máquinas, permiten proporcionar enlaces a páginas web.
Ya en 2021 os hablábamos en Genbeta de esta técnica, conocida como 'QRishing', y pocos meses después hubo un famoso caso en EE.UU. en el que los delincuentes colocaron falsos códigos QR en parquímetros para robar datos de pago de las víctimas.
Un ejemplo
Cofense ha publicado un nuevo informe identificando los datos de la campaña, que se inició en mayo y se dirigió contra una amplia gama de industrias. Los delincuentes enviaron miles de correos electrónicos que contenían códigos QR maliciosos a empresas, los cuales llevaban a los usuarios a una web fraudulenta que trataba de suplantar una pantalla de login de Microsoft.
Según cuenta el INCIBE (Instituto de Ciberseguridad Español), que también se ha hecho eco de esta amenaza,
"En caso de que la víctima escanee el código QR, será redirigido a una página web fraudulenta, muy parecida a la de inicio de sesión en los servicios de Microsoft de su organización. Además, a través del escaneo del código QR, los ciberdelincuentes consiguen que la dirección de la víctima pueda aparecer ya rellenada en el formulario.
En caso de que la víctima introduzca los datos, estos quedarían en manos de los ciberdelincuentes. En algunos de los casos detectados, los destinatarios eran personal directivo o con grandes responsabilidades en la organización".
Lo que llamó la atención de esta campaña fue su crecimiento exponencial, al haber pasado de un número reducido de correos electrónicos a una cantidad considerable que supera los volúmenes típicos de campañas similares. El número de correos electrónicos enviados ha crecido aproximadamente un 270% cada mes, según Raymond.
Los hackers lograron enmascarar los enlaces de phishing dentro de redirecciones, lo que hacía que los códigos QR parecieran legítimos cuando los usuarios escaneaban con sus cámaras.
Problemas y consejos
Los códigos QR permiten a los atacantes ocultar los enlaces maliciosos de manera efectiva, ya que se esconden dentro de la imagen de los mismos, que a su vez están incrustadas en una imagen PNG o un archivo PDF adjunto.
Aunque los códigos QR tienen legítimos propósitos, su uso en campañas maliciosas está en aumento debido a su efectividad en comparación con los enlaces tradicionales en los correos de phishing: los dispositivos móviles no suelen estar regulados por las empresas, lo que los coloca fuera del alcance de los sistemas de seguridad empresariales.
Los expertos animan a los usuarios a no fiarse de ningún e-mail, SMS o similar que le redirija a un sitio web si no están 100% seguros de conocer al remitente. Así, cualquier QR que no parezca fiable no debería ni llegar a ser escaneado… y, aun pareciéndolo, debemos verificar las URLs durante todo el proceso (pues el dominio puede cambiar varias veces con cada clic) y asegurarnos de que coincide con un dominio legítimo.
Imagen | Pixabay
Ver 1 comentarios