De la unión de los términos QR y phishing surge el nombre de este fraude, el QRishing, que consiste en la manipulación de códigos QR para engañar a la víctima y que acceda a enlaces o aplicaciones maliciosas y obtener su información privada.
Qué son los códigos QR y cómo se utilizan
Hoy en día, casi todos tenemos un smartphone y muchos de los modelos actuales ya cuentan con un escáner de códigos QR incorporado, pero cualquiera puede descargar una aplicación que lea estos códigos o elegir una especial, por ejemplo, para un museo.
Para escanear un código QR, el usuario solo tiene que abrir la aplicación del escáner y apuntar la cámara del teléfono hacia el código. La mayoría de las veces, el smartphone te dirigirá a cierto sitio web o a descargar una aplicación. Sin embargo, existen otras opciones, de las que hablaremos más adelante.
Asimismo, algunas aplicaciones pueden crear códigos QR para ofrecer cierta información a cualquiera que lo escanee. Por ejemplo, es posible que reciban el nombre y contraseña de tu red wifi para invitados o información bancaria.
Inventado en Japón en los años 90, desde la pandemia se ha popularizado enormemente para reducir el contacto con soportes físicos en usos como el certificado de vacunación, el menú del restaurante o en el mobiliario urbano. Esto no ha pasado desapercibido para los ciberdelincuentes que pueden «colarnos» enlaces maliciosos.
Veamos algunos ejemplos reales
• Multas de tráfico con un QR que conduce a una web falsa para el pago de la sanción, pero realmente es el ciberdelincuente el que recibe el importe.
• Un tipo de estafa conocida como QR inverso, realizada a camareros al pagar la cuenta. El presunto delincuente enseña a la víctima un código QR vinculado a su propia entidad bancaria, cuando en realidad se trata de una solicitud de dinero. Asimismo, logra hacerse con sus datos personales y bancarios.
• Un tipo de estafa conocida como QR inverso, realizada a camareros al pagar la cuenta. El presunto delincuente enseña a la víctima un código QR vinculado a su propia entidad bancaria, cuando en realidad se trata de una solicitud de dinero. Asimismo, logra hacerse con sus datos personales y bancarios.
• Combinado con otras técnicas, como la instalación de malware o webs que suplantan páginas reales (web spoofing) para que facilites datos personales.
• Colocando pegatinas encima el código QR real en un establecimiento comercial.
Ultima campaña
En primer lugar, la víctima recibe un correo electrónico que incluye su nombre y el de la empresa. En el mensaje se incita a la víctima a escanear un código QR a través de su teléfono móvil. Para ello, los ciberdelincuentes pueden alegar que es necesaria una verificación de la identidad o de un doble factor de autenticación.
Esta campaña de correos fraudulentos es especialmente peligrosa, ya que los ciberdelincuentes utilizan cuentas de correo electrónico comprometidas para personalizar el nombre del remitente y los asuntos, en función de la organización y el correo electrónico del destinatario. Por ejemplo: « Scan requirement: [NOMBRE EMPRESA] Security Authentication for your account: [email_destinatario] ».
En los correos detectados el código QR fraudulento suele encontrarse directamente en el cuerpo del mensaje, aunque también se han detectado versiones en las que se incluye en un documento adjunto.
Esta campaña de correos fraudulentos es especialmente peligrosa, ya que los ciberdelincuentes utilizan cuentas de correo electrónico comprometidas para personalizar el nombre del remitente y los asuntos, en función de la organización y el correo electrónico del destinatario. Por ejemplo: « Scan requirement: [NOMBRE EMPRESA] Security Authentication for your account: [email_destinatario] ».
En los correos detectados el código QR fraudulento suele encontrarse directamente en el cuerpo del mensaje, aunque también se han detectado versiones en las que se incluye en un documento adjunto.
En caso de que la víctima escanee el código QR, será redirigido a una página web fraudulenta, muy parecida a la de inicio de sesión en los servicios de Microsoft de su organización. Además, a través del escaneo del código QR, los ciberdelincuentes consiguen que la dirección de la víctima pueda aparecer ya rellenada en el formulario
En caso de que la víctima introduzca los datos, estos quedarían en manos de los ciberdelincuentes.
En algunos de los casos detectados, los destinatarios eran personal directivo o con grandes responsabilidades en la organización.
Problemas y consejos
Los códigos QR permiten a los atacantes ocultar los enlaces maliciosos de manera efectiva, ya que se esconden dentro de la imagen de los mismos, que a su vez están incrustadas en una imagen PNG o un archivo PDF adjunto.
Aunque los códigos QR tienen legítimos propósitos, su uso en campañas maliciosas está en aumento debido a su efectividad en comparación con los enlaces tradicionales en los correos de phishing: los dispositivos móviles no suelen estar regulados por las empresas, lo que los coloca fuera del alcance de los sistemas de seguridad empresariales.
Los expertos animan a los usuarios a no fiarse de ningún e-mail, SMS o similar que le redirija a un sitio web si no están 100% seguros de conocer al remitente. Así, cualquier QR que no parezca fiable no debería ni llegar a ser escaneado… y, aun pareciéndolo, debemos verificar las URLs durante todo el proceso (pues el dominio puede cambiar varias veces con cada clic) y asegurarnos de que coincide con un dominio legítimo.
Aunque los códigos QR tienen legítimos propósitos, su uso en campañas maliciosas está en aumento debido a su efectividad en comparación con los enlaces tradicionales en los correos de phishing: los dispositivos móviles no suelen estar regulados por las empresas, lo que los coloca fuera del alcance de los sistemas de seguridad empresariales.
Los expertos animan a los usuarios a no fiarse de ningún e-mail, SMS o similar que le redirija a un sitio web si no están 100% seguros de conocer al remitente. Así, cualquier QR que no parezca fiable no debería ni llegar a ser escaneado… y, aun pareciéndolo, debemos verificar las URLs durante todo el proceso (pues el dominio puede cambiar varias veces con cada clic) y asegurarnos de que coincide con un dominio legítimo.
Cómo detectar este fraude
La prevención se basa en tratar de identificar la dirección a la que nos remite el código QR:
Aunque no es infalible, si la web empieza por https quiere decir que cumple con un mínimo de seguridad y protección.
• Extremar precauciones y comprobar que el enlace web o url no es sospechoso, antes de abrirlo. Si es un enlace acortado mejor «alargarlo» antes para verificarlo o no abrirlo. • Si accedemos a una web que nos solicite datos, es preferible acceder nosotros directamente desde la url completa o desde la propia aplicación.
• Como dueño de una empresa comprueba los QR que pones a disposición de tus clientes para comprobar que no han sido falseados.
• Haz una revisión física rápida antes de escanear un código QR de un cartel o señal para asegurarte de que el código no está pegado sobre la imagen original.
• Haz una revisión física rápida antes de escanear un código QR de un cartel o señal para asegurarte de que el código no está pegado sobre la imagen original.
• Utilizar aplicaciones que permitan ver el enlace antes de abrirlo. En el caso de dispositivos iOS se hace desde la propia cámara pero debes activar la funcionalidad. En Android dispones de la app Google Lens que ya viene preinstalada o aplicaciones dedicadas que encontrarás en la Play Store.
• TENER SENTIDO COMUN
.png)
No hay comentarios:
Publicar un comentario