Sophos ha publicado los resultados de un estudio sobre un nuevo tipo de amenaza que se conoce con el nombre de quishing. Esta nueva amenaza hace uso de códigos QR fraudulentos que son enviados mediante correo electrónico por los atacantes. De esta forma, intentan eludir las medidas de seguridad de phishing implementas por las empresas.
El código QR fraudulento se incrusta en un documento PDF que va adjunto a un correo electrónico y que adopta la forma de un mensaje sobre nóminas, beneficios para empleados u otros documentos oficiales. Cuando se recibe ese código, los usuarios tienen que leerlos con su móviles, lo que le lleva a la página phishing, página que el trabajador no suele reconocer como maliciosa, ya que los teléfonos suelen estar menos protegidos que los ordenadores. El objetivo final es conseguir las claves de los empleados para poder acceder al sistema de la empresa.
“Dedicamos una cantidad considerable de tiempo a cribar todas los modelos de spam que teníamos para encontrar ejemplos de quishing”, comenta Andrew Brandt, investigador principal de Sophos X-Ops. “Nuestra investigación revela que los ataques que explotan este modo específico se están intensificando, tanto en términos de volumen como de sofisticación, especialmente en lo que se refiere a la apariencia del documento PDF”.
Además de las tácticas de ingeniería social, la calidad de los correos electrónicos, los archivos adjuntos y los gráficos de los códigos QR, estos ataques parecen estar creciendo también en términos de organización. De hecho, algunos ciberatacantes ofrecen herramientas as-a-service para ejecutar campañas de phishing utilizando códigos QR fraudulentos. Además de funciones como la evasión de CAPTCHA o la generación de proxies de direcciones IP para eludir la detección automática de amenazas, estos grupos delictivos ofrecen una sofisticada plataforma de phishing que puede obtener las credenciales o tokens MFA de las víctimas.
Para animar a las empresas a proteger mejor los sistemas contra este tipo de ataques, Sophos X-Ops comparte una lista de recomendaciones:
- Estar atento a los correos electrónicos internos sobre temas de RR.HH., salarios o beneficios de la empresa. Las investigaciones de Sophos X-Ops han descubierto que los trucos de ingeniería social aprovechan estas temáticas para engañar a los empleados y hacer que escaneen códigos QR fraudulentos desde sus dispositivos móviles.
- Instalar Sophos Intercept X para móviles. Disponible en Android, iOS y Chrome OS, esta solución incluye un escáner de códigos QR seguro que ayuda a identificar páginas web conocidas sobre phishing y alerta si la URL se considera maliciosa.
- Supervisar los inicios de sesión peligrosos. Con las herramientas de gestión de identidades, las empresas pueden detectar inicios de sesión inusuales.
- Activar el acceso condicional. Esta función ayuda a aplicar controles de acceso basados en la ubicación del usuario, el estado del dispositivo y el riesgo.
- Permitir una supervisión eficaz de los accesos gracias a registros sofisticados. Este tipo de supervisión avanzada permite visualizar mejor todos los accesos al sistema y detectar a tiempo este tipo de amenazas.
- Implementar un filtro avanzado del correo electrónico. La solución de Sophos de protección contra phishing mediante código QR detecta los códigos QR fraudulentos incluidos directamente en los correos electrónicos y tiene previsto ampliar su solución a los códigos QR de los archivos adjuntos ya en el primer trimestre de 2025.
- Aprovechar la recuperación de correo electrónico bajo demanda. Los clientes de Sophos Central Email que utilizan Microsoft 365 disponen de esta función para eliminar los mensajes de spam o phishing de los correos corporativos.
- Animar a los empleados a estar atentos y notificar los incidentes. La notificación rápida de anomalías al equipo de respuesta a incidentes es esencial para proteger los sistemas de la empresa frente al phishing.
- Revocar las sesiones de usuarios sospechosos. Es imprescindible contar con un plan para revocar el acceso de los usuarios que muestren signos de que sus credenciales hayan sido comprometidas.
A pesar del continuo desarrollo de nuevos tipos de ataque, las empresas pueden protegerse de los ataques contra sus sistemas equipándose con las herramientas adecuadas, fomentando una cultura y un entorno de trabajo adecuados y rodeándose de proveedores de seguridad.
