El quishing es una práctica reciente puesta de moda por los cibercriminales. Esta nueva modalidad de ataque consiste en la utilización de códigos QR fraudulentos, remitidos a través del email por los delincuentes, con el propósito de burlar las medidas de seguridad contra el phishing fijadas por las compañías.
El código QR fraudulento, incrustado en un documento PDF adjunto a un correo electrónico, toma forma de un mensaje sobre nóminas, beneficios para empleados, comunicaciones sobre salud laboral u otros documentos oficiales que una empresa podría enviar a un empleado.
Dado que los códigos QR no son legibles por ordenador, el trabajador tiene que escanear el código QR con su dispositivo móvil. El código enlaza con una página de phishing, que el empleado tal vez no reconozca como maliciosa, puesto que los teléfonos suelen disponer de menos protección que un ordenador. El propósito de los ciberatacantes es conseguir las contraseñas de los empleados y sus tokens de autenticación multifactor (MFA) para acceder al sistema de la empresa, saltándose las medidas de seguridad establecidas.
Intensificación de los ataques
La compañía de ciberseguridad Sophos acaba de publicar los resultados de la investigación de la unidad operativa Sophos X-Ops sobre el quishing. “Dedicamos una cantidad considerable de tiempo a cribar todas los modelos de spam que teníamos para encontrar ejemplos de quishing”, comenta Andrew Brandt, investigador principal de Sophos X-Ops. “Nuestra investigación revela que los ataques que explotan este modo específico se están intensificando, tanto en términos de volumen como de sofisticación, especialmente en lo que se refiere a la apariencia del documento PDF”, añade.
La sutileza de los ataques es cada vez mayor. Los cibermalos desarrollan nuevas tácticas de ingeniería social y mejoran la calidad de los correos electrónicos, los archivos adjuntos y los gráficos de los códigos QR. Pero el engaño se está perfeccionando incluso en términos de organización: algunos ciberatacantes ofrecen herramientas as-a-service para ejecutar campañas de phishing utilizando códigos QR fraudulentos. Junto a funciones como la evasión de CAPTCHA o la generación de proxies de direcciones IP para eludir la detección automática de amenazas, estos grupos criminales presentan una sofisticada plataforma de phishing para conseguir las credenciales o tokens MFA de las víctimas, destaca la investigación de Sophos X-Ops, que aporta además un serie de consejos de prevención para protegerse del quishing.
Recomendaciones
- Mucha atención a los emails internos sobre asuntos de RR.HH., salarios o beneficios de la empresa. Las investigaciones evidencian que los trucos de ingeniería social aprovechan estas temáticas para intentar engañar a los empleados y hacer que escaneen códigos QR fraudulentos desde sus dispositivos móviles.
- Supervisar los inicios de sesión peligrosos. Las empresas pueden detectar inicios de sesión inusuales si utilizan herramientas de gestión de identidades.
- Activar el acceso condicional. La función hace posible aplicar controles de acceso basados en la ubicación del usuario, el estado del dispositivo y el peligro.
- Permitir la supervisión eficaz de los accesos mediante registros sofisticados. Así se podrán visualizar mejor todos los accesos al sistema y detectar a tiempo este tipo de amenazas.
- Instalar aplicaciones contra el quishing. Existen distintas soluciones con un escáner de códigos QR seguro que contribuyen a la identificación de páginas web conocidas sobre phishing. Se trata de poder sospechar si la URL puede considerarse maliciosa.
- Implementar un filtro avanzado del correo electrónico. Esta barrera puede detectar los códigos QR fraudulentos incluidos directamente en los correos electrónicos.
- Aprovechar la recuperación de correo electrónico bajo demanda. Si se dispone de esta función, y así poder eliminar los mensajes de spam o phishing de los correos corporativos.
- Animar a los empleados a ser precavidos y notificar los incidentes. La notificación rápida de anomalías resulta esencial para proteger los sistemas de la empresa frente a este tipo de ataques.
- Revocar las sesiones de usuarios sospechosos. Debe actuarse para restringir el acceso de todos aquellos que muestren señales de que sus credenciales han sido comprometidas.