Nuevo fraude con los códigos QR. Investigadores de Sophos X-Ops han alertado sobre la creciente amenaza del "quishing". Una técnica por la cual los cibercriminales aprovechaban los códigos QR de los archivos PDF adjuntos en los correos electrónicos para robar credenciales de las empresas desde los dispositivos móviles.
¿Cómo roban los datos los ciberdelicuentes?
Según explican desde Shopos, a través del escaneo del código con el teléfono móvil, el trabajador accede a una página de phising sin tener constancio de ello, ya que los móviles no tienen tanta protección en este sentido. El "quishing", un nuevo tipo de amenaza que ha sido publicada en los recientes resultados de Shopos que supone una novedosa forma para los ciberdelicuentes para escapar de medidas de seguridad de phishing establecidas por las empresas. Esta nueva forma de ataque, como explican en el estudio, implica el uso de códigos QR fraudulentos y enviados por email por parte de los malhechores.
Así funciona el "quishing"
Esta técnica consiste en incrustar un código QR fraudulento en el documento PDF que se envía por correo electrónico a los empleados. Suelen ser mensajes acerca de nóminas, programas de beneficios para los empleados o documentos internos de la empresa que son susceptibles de caer en manos de los trabajadores. La trampa está aquí, al no ser legibles los códigos QR con el propio ordenador, el empleado se ve obligado a su usar su dispositivo móvil para escanear el pertinente código QR.
Este código tiene un enlace que lleva a una página de phishing y es así como aprovechan los ciberdelincuentes para conseguir las contraseñas de los empleados y sus tokens de autenticación multifactor (MFA) para acceder al sistema de una empresa, saltándose las medidas de seguridad establecidas.
Dedicamos una cantidad considerable de tiempo a cribar todas los modelos de spam que teníamos para encontrar ejemplos de quishing”, comenta Andrew Brandt, investigador principal de Sophos X-Ops. “Nuestra investigación revela que los ataques que explotan este modo específico se están intensificando, tanto en términos de volumen como de sofisticación, especialmente en lo que se refiere a la apariencia del documento PDF.
Ataques que crecen en términos de organización
Según comentan desde Shopos, además de las tácticas de ingeniería social, la calidad de los correos electrónicos, los archivos adjuntos y los gráficos de los códigos QR, estos ataques parecen estar creciendo también en términos de organización. De hecho, algunos ciberatacantes ofrecen herramientas as-a-service para ejecutar campañas de phishing utilizando códigos QR fraudulentos.
Además de funciones como la evasión de CAPTCHA o la generación de proxies de direcciones IP para eludir la detección automática de amenazas, estos grupos delictivos ofrecen una sofisticada plataforma de phishing que puede obtener las credenciales o tokens MFA de las víctimas.
El consejo a las empresas para evitar este nuevo ataque
Tal y como informan desde Shopos en su nota de prensa, las empresas pueden protegerse de estos ataques gracias a un buen equipamiento de herramientas así como también instalando en las empresas una cultura y entorno de trabajo adecuados y protegidos con alta seguridad. Además, de ello, desde la empresa dan estan recomendaciones específicas:
- Estar atento a los correos electrónicos internos sobre temas de RR.HH., salarios o beneficios de la empresa. Las investigaciones de Sophos X-Ops han descubierto que los trucos de ingeniería social aprovechan estas temáticas para engañar a los empleados y hacer que escaneen códigos QR fraudulentos desde sus dispositivos móviles.
- Instalar Sophos Intercept X para móviles. Disponible en Android, iOS y Chrome OS, esta solución incluye un escáner de códigos QR seguro que ayuda a identificar páginas web conocidas sobre phishing y alerta si la URL se considera maliciosa.
- Supervisar los inicios de sesión peligrosos. Con las herramientas de gestión de identidades, las empresas pueden detectar inicios de sesión inusuales.
- Activar el acceso condicional. Esta función ayuda a aplicar controles de acceso basados en la ubicación del usuario, el estado del dispositivo y el riesgo.
- Permitir una supervisión eficaz de los accesos gracias a registros sofisticados. Este tipo de supervisión avanzada permite visualizar mejor todos los accesos al sistema y detectar a tiempo este tipo de amenazas.
- Implementar un filtro avanzado del correo electrónico. La solución de Sophos de protección contra phishing mediante código QR detecta los códigos QR fraudulentos incluidos directamente en los correos electrónicos y tiene previsto ampliar su solución a los códigos QR de los archivos adjuntos ya en el primer trimestre de 2025.
- Aprovechar la recuperación de correo electrónico bajo demanda. Los clientes de Sophos Central Email que utilizan Microsoft 365 disponen de esta función para eliminar los mensajes de spam o phishing de los correos corporativos.
- Animar a los empleados a estar atentos y notificar los incidentes. La notificación rápida de anomalías al equipo de respuesta a incidentes es esencial para proteger los sistemas de la empresa frente al phishing.
- Revocar las sesiones de usuarios sospechosos. Es imprescindible contar con un plan para revocar el acceso de los usuarios que muestren signos de que sus credenciales hayan sido comprometidas.
