Los ciberdelincuentes utilizan cada vez más códigos QR para robar credenciales e información financiera. A pesar de su eficacia para eludir las protecciones, los códigos QR aún requieren que la víctima tome medidas para verse comprometida, lo cual es un factor mitigante decisivo que favorece al personal bien capacitado; además, la mayoría de los escáneres de códigos QR en los teléfonos inteligentes modernos pedirán al usuario que verifique la URL de destino antes de iniciar el navegador como medida de protección.

Los actores de amenazas están llevando el phishing de imágenes al siguiente nivel al aprovechar los códigos QR, también conocidos como «Qishing», para ocultar sus URL maliciosas. Las nuevas muestras observadas utilizan esta técnica disfrazadas principalmente en notificaciones de autenticación multifactor (MFA), que inducen a sus víctimas a escanear el código QR con sus teléfonos móviles para obtener acceso. Sin embargo, en lugar de ir a la ubicación deseada del objetivo, el código QR lo lleva a la página de phishing del actor de la amenaza.

Los códigos QR se están volviendo cada vez más populares, dado que el número de usuarios de teléfonos inteligentes alcanzó los 6.920 millones este año, el acceso a la información contenida en estas ingeniosas imágenes está al alcance de alrededor del 86% de la población mundial; además, los teléfonos inteligentes actuales cuentan con escáneres QR y, para aquellos que no vienen equipados con ellos, se pueden descargar aplicaciones gratuitas para agregar esta funcionalidad.

El ataque comienza con un correo electrónico de phishing que afirma que el destinatario debe tomar medidas para actualizar la configuración de su cuenta de Microsoft 365. Los correos electrónicos contienen archivos adjuntos PNG o PDF con un código QR que el destinatario debe escanear para verificar su cuenta. Los correos electrónicos también indican que el objetivo debe completar este paso en 2 o 3 días para agregar una sensación de urgencia.

Los actores de amenazas utilizan códigos QR incrustados en imágenes para eludir las herramientas de seguridad del correo electrónico que escanean un mensaje en busca de enlaces maliciosos conocidos, lo que permite que los mensajes de phishing lleguen a la bandeja de entrada del objetivo, también utilizan redireccionamientos en los servicios Web3 de Bing, Salesforce y Cloudflare para redirigir a los objetivos a una página de phishing de Microsoft 365, ocultar la URL de redireccionamiento en el código QR, abusar de servicios legítimos y utilizar codificación Base64 para el enlace de phishing ayudan a evadir la detección y superar los filtros de protección del correo electrónico. Conviene estar atento a los modelos de qrishing más frecuentes: multas de tráfico con códigos QR que dirigen a los usuarios a sitios web falsos para pagar multas; sitios web fraudulentos que se hacen pasar por legítimos (web spoofing) para recopilar datos del usuario mediante malware; y pegatinas colocadas encima de códigos QR legítimos en establecimientos comerciales.

¿Cómo evitar la ciberestafa del qrishing?

Además de la capacitación como medida de concientización, es recomendable tomar en consideración las siguientes indicaciones:

• Desactivar la opción de abrir automáticamente los enlaces.
• Usar aplicaciones de escaneo que permitan ver a qué URL dirige.
• Desconfiar de las páginas que exigen facilitar datos personales o bancarios.
• Solo instalar apps o realizar operaciones digitales y transacciones si la web es fiable.
• Sospechar de los códigos QR físicos que se encuentren en lugares poco comunes.
• Verificar que los códigos QR de puntos físicos no tienen una pegatina encima.

Fuente:

• https://www.redseguridad.com/actualidad/qrishing-la-ciberestafa-del-codigo-qr_20230411.html
• https://blog.segu-info.com.ar/2023/09/qishing-phishing-en-qr.html