Ataques de phishing emplean códigos QR para evadir el análisis de URL

  • Endpoint

La víctima recibe un email con el asunto "Revisar documento importante", en el que se le invita a escanear el código con su smartphone para ver el documento. De este modo, el atacante logra evadir los controles de seguridad corporativos estándar.

Las tácticas de phishing evolucionan con el tiempo, en muchos casos para evadir las medidas de seguridad. Muchas empresas disponen de productos de seguridad que analizan las URL insertadas en los correos electrónicos con la esperanza de encontrar ese enlace malicioso, pero sólo pueden ser efectivas si existe esa URL. Pues bien, el Phishing Defense Center de Cofense detuvo una campaña de phishing dirigida a clientes financieros en la que el atacante empleó una URL codificada en un código QR para evadir las tecnologías de detección. Se trata de la primera vez que los códigos QR son utilizados como táctica de phishing.

El correo electrónico en sí es relativamente simple. Se presenta como un correo electrónico de SharePoint con la línea de asunto: "Revisar documento importante". El cuerpo del mensaje invita a la víctima a escanear el código para ver el documento. El único contenido visible es un código QR que un usuario curioso puede tener la tentación de escanear. El cuerpo del mensaje en texto sin formato consta de varios elementos HTML básicos y un archivo de imagen .gif incrustado del código QR. Muy básico, pero muy eficaz.

La mayoría de las aplicaciones de escáner de códigos QR para smartphone redirigen instantáneamente al usuario al sitio web malicioso a través del navegador nativo del teléfono. En este caso, la víctima sería redirigida a un sitio de phishing de SharePoint. La víctima se enfrenta a opciones para iniciar sesión con AOL, Microsoft u otros servicios de cuenta. Si bien esto suena como un simple phish, hay una táctica más nefasta en juego: eliminar al usuario de la seguridad de una red empresarial corporativa.

Al incitar a la víctima usar su teléfono para escanear el código QR, el atacante logra evadir los controles de seguridad corporativos estándar. Las pasarelas de correo electrónico seguras, los servicios de protección de enlaces, los sandboxes y los filtros de contenido web ya no importan, porque el usuario ahora está interactuando con el sitio de phishing en su propio espacio de seguridad: su teléfono móvil. Además, el sitio de phishing está optimizado para la visualización móvil.

Si bien el usuario puede usar su dispositivo personal para acceder al phish, aún se encuentra en la mentalidad de empresa, ya que el correo electrónico original se recibió en la dirección de correo electrónico de su empresa. Por lo tanto, es muy probable que la víctima ingrese las credenciales de su cuenta corporativa para intentar acceder a este documento.