Los códigos de respuesta rápida pueden ser muy convenientes para viajar a sitios web, descargar aplicaciones y ver menús en restaurantes, razón por la cual se han convertido en un vehículo para que los delincuentes roben credenciales, infecten dispositivos móviles e invadan sistemas corporativos.
«Estamos viendo un aumento exponencial en los ataques dirigidos contra dispositivos móviles, muchos de ellos ataques de phishing», observó Kern Smith, vicepresidente de preventas para América de Zimperium , una empresa de seguridad móvil con sede en Dallas.
«Una gran mayoría de sitios de phishing están dirigidos a dispositivos móviles», dijo a TechNewsWorld. «La razón por la que los atacantes hacen esto es que saben que los dispositivos móviles son más susceptibles a los ataques de phishing».
«El phishing QR, o quishing, es un gran vector de ataque para los atacantes porque pueden distribuir un código QR ampliamente, y muchos sistemas anti-phishing corporativos no están diseñados para escanear códigos QR», afirmó.
Reliaquest, una empresa de automatización de seguridad, seguridad en la nube y gestión de riesgos con sede en Tampa, Florida, señaló en un informe reciente que vio un aumento del 51% en los ataques de quishing en septiembre con respecto a la cifra acumulada de los ocho meses anteriores.
“Este aumento es, al menos en parte, atribuible a la creciente prevalencia de teléfonos inteligentes que tienen escáneres de códigos QR integrados o aplicaciones de escaneo gratuitas; Los usuarios a menudo escanean códigos sin siquiera pensar en su legitimidad”, escribió.
Cobalt Strike
Cobalt Strike es una poderosa herramienta de emulación de amenazas que proporciona un agente posterior a la explotación y canales encubiertos ideales para simulaciones de atacantes y ejercicios del Red Team.
Conocer..
Parte de la epidemia de phishing
Shyava Tripathi, investigador del Centro de Investigación Avanzada de Trellix, creador de una plataforma extendida de detección y respuesta en Milpitas, California, señaló que el phishing es responsable de más de un tercio de todos los ataques e infracciones.
«Los ataques basados en códigos QR no son nuevos, pero se han vuelto cada vez más frecuentes en campañas sofisticadas dirigidas a empresas y consumidores, y Trellix detectó más de 60.000 muestras de códigos QR maliciosos sólo en el tercer trimestre», dijo a TechNewsWorld.
Actualmente, Quishing ocupa un lugar destacado en la agenda de muchas organizaciones, afirmó Steve Jeffery, ingeniero líder de soluciones en Fortra, una empresa global de automatización y ciberseguridad. “Representa un riesgo que puede eludir los controles de seguridad existentes. Por lo tanto, la protección depende de que el destinatario comprenda plenamente la amenaza y no muerda el anzuelo”, dijo a TechNewsWorld.
Hacer clic en URL maliciosas sigue siendo uno de los principales riesgos de apropiación de cuentas, continuó. Citó datos de PhishLabs de Fortra que mostraron en el segundo trimestre de 2023 que más de las tres cuartas partes de los ataques por correo electrónico de robo de credenciales contenían un enlace que dirigía a las víctimas a sitios web maliciosos.
«Quishing es simplemente una extensión de estos ataques de phishing», afirmó. “En lugar de un hipervínculo a un sitio web fraudulento o malicioso, el atacante utiliza un código QR para entregar la URL. Dado que la mayoría de los sistemas de seguridad del correo electrónico no leen el contenido de los códigos QR, es difícil evitar la entrada de estos mensajes, de ahí el aumento de la prevalencia de este tipo de ataques”.
Quishing por credenciales
Mike Britton, CISO de Abnormal Security , un proveedor global de servicios de seguridad de correo electrónico, estuvo de acuerdo en que el quishing es un problema creciente. Citó datos de Anormal que encontraron que el 17% de todos los ataques que eluden los filtros de spam y basura utilizan códigos QR.
Añadió que los datos de su empresa también muestran que el phishing de credenciales representa aproximadamente el 80% de todos los ataques basados en códigos QR, y el fraude de facturas y la extorsión completan los tres principales tipos de ataques.
«Aprovechar los códigos QR es una táctica de ataque atractiva para actores maliciosos porque el destino resultante al que el código QR envía al destinatario puede ser difícil de detectar», dijo Britton a TechNewsWorld.
“A diferencia de los ataques tradicionales por correo electrónico”, continuó, “el contenido de texto es mínimo y no hay ninguna URL maliciosa evidente. Esto reduce significativamente la cantidad de señales disponibles para que las herramientas de seguridad tradicionales las detecten y analicen para detectar un ataque”.
«Debido a que pueden evadir fácilmente tanto la detección humana como la detección mediante herramientas de seguridad tradicionales, los ataques con códigos QR tienden a funcionar mejor que los tipos de ataques más tradicionales», dijo.
Amenazas QR integradas
Randy Pargman, director de detección de amenazas en Proofpoint , una empresa de seguridad empresarial en Sunnyvale, California, sostuvo que la razón principal por la que los actores maliciosos prefieren los códigos QR a las URL o archivos adjuntos de phishing normales es porque las personas que escanean códigos QR generalmente lo hacen por su cuenta. teléfono, que probablemente no esté monitoreado por un equipo de seguridad.
«Eso hace que sea difícil para las empresas saber qué empleados interactuaron con mensajes de phishing», dijo a TechNewsWorld.
Explicó que las estafas de phishing con códigos QR son difíciles de detectar porque la URL de phishing no es fácil de extraer y escanear del código QR. Para agravar el problema, continuó, la mayoría de las firmas de correo electrónico benignas contienen logotipos, enlaces a medios sociales incrustados en imágenes e incluso códigos QR que apuntan a sitios web legítimos.
«Por lo tanto, la presencia de un código QR en sí no es una señal segura de phishing», dijo. «Muchas campañas de marketing legítimas utilizan códigos QR, que pueden permitir que códigos QR maliciosos se mezclen con el ruido de fondo».
Nicole Carignan, vicepresidenta de IA cibernética estratégica de Darktrace, una empresa global de IA de ciberseguridad, agregó que el mayor uso de códigos QR en ataques de phishing es el último ejemplo de cómo los atacantes están adoptando técnicas que pueden frustrar las defensas tradicionales con mayor agilidad y eficiencia.
«Las soluciones tradicionales buscan enlaces maliciosos en lugares fáciles de encontrar», dijo a TechNewsWorld. «Por el contrario, encontrar códigos QR en correos electrónicos y determinar su destino apropiado requiere técnicas rigurosas de reconocimiento de imágenes para mitigar los riesgos».
Mejores prácticas para la seguridad del código QR
Carignan señaló que la investigación de Darktrace ha descubierto que los ataques de quishing suelen ir acompañados de objetivos altamente personalizados y dominios de remitente recién creados, lo que reduce aún más la probabilidad de que los correos electrónicos sean detectados por soluciones de seguridad de correo electrónico tradicionales que se basan en firmas y listas de correos incorrectos conocidos para detectar actividad maliciosa.
«La técnica de ingeniería social más común que acompaña a los códigos QR maliciosos es la suplantación de equipos de TI internos, específicamente correos electrónicos que afirman que los usuarios necesitan actualizar las configuraciones de autenticación de dos factores», dijo. “Al configurar la autenticación de dos factores, la mayoría de las instrucciones requieren que los usuarios escaneen un código QR. Por lo tanto, los atacantes ahora están imitando este proceso para evadir las soluciones tradicionales de correo electrónico seguro”.
Si bien existen muchas soluciones tecnológicas destinadas a abordar posibles ataques basados en códigos QR, una regla simple puede ser suficiente para muchas personas.
«Cuando hablamos con la gente sobre las mejores prácticas en torno a los códigos QR, una de las reglas más simples que puedes seguir es preguntarte: ¿este código QR se encuentra en un lugar donde una mala persona podría publicarlo?» asesoró Christopher Budd, líder del equipo X-Ops de Sophos, una empresa global de gestión de amenazas y seguridad de redes.
“Si estoy caminando por el patio de comidas de un centro comercial y hay un letrero que dice: ‘Ahorre 20% en todas las tiendas hoy’. Escanea este código.’ Si veo eso, no voy a usar ese código QR. No tengo idea de quién puso ese letrero allí”, dijo a TechNewsWorld.
«Cuando se habla de códigos QR», añadió, «hay que conocer y confiar en su fuente».
Fuente: TechNewsWorld
