Ciberataques por código QR: El «Quishing» genera preocupación
Los atacantes aprovechan los códigos QR de los archivos PDF adjuntos a los correos electrónicos para robar credenciales corporativas desde dispositivos móviles.
Los profesionales de la seguridad siempre están atentos a la evolución de las técnicas de amenaza, y el equipo de Sophos X-Ops investigó recientemente ataques de phishing dirigidos a varios de sus trabajadores, uno de los cuales fue engañado para que facilitara su información.
Los atacantes utilizaron el llamado “Quishing” (un acrónimo de «código QR» y «phishing»). Los códigos QR son un mecanismo de codificación legible por máquina que puede encapsular una amplia variedad de información, desde líneas de texto a datos binarios, pero la mayoría de la gente conoce y reconoce su uso más común hoy en día como una forma rápida de compartir una URL.
En el sector de la seguridad se suele enseñar a la gente a detectar el phishing indicándoles que miren detenidamente una URL antes de hacer clic en ella en su ordenador. Sin embargo, a diferencia de una URL en texto plano, los códigos QR no pueden ser vigilados de la misma manera.
Además, la mayoría de los usuarios utiliza la cámara de su teléfono para interpretar el código QR, en lugar de un ordenador, y puede ser difícil examinar cuidadosamente la URL que se muestra momentáneamente en la aplicación de la cámara, tanto porque la URL puede aparecer solo durante unos segundos antes de que la aplicación la oculte a la vista, como porque los ciberdelincuentes pueden utilizar diversas técnicas o servicios de redireccionamiento que ocultan u ofuscan el destino final del enlace presentado en la interfaz de la aplicación de la cámara.
Pero incluso hay métodos mucho más elaborados: Por ejemplo, Sophos detectó un correo electrónico de suplantación de identidad que incluía un enlace de Google con un formato inteligente que, al hacer clic, redirige al visitante al sitio de phishing. Si se hubiera realizado una búsqueda de la URL en este caso, el sitio vinculado directamente desde el código QR (google.com) se habría clasificado como seguro. También hemos visto enlaces que apuntan a servicios de enlaces cortos utilizados por una variedad de otros sitios web legítimos.
Por ende, desde Sophos explican que cualquier solución que pretenda interceptar y detener la carga de sitios web Quishing debe abordar el enigma de seguir una cadena de redireccionamiento hasta su destino final, luego realizar una verificación de reputación de ese sitio, además de abordar la complicación adicional de los phishers y quishers, que ocultan sus sitios detrás de servicios como CloudFlare.