O phishing por meio de QR Code, ou Quishing, continua a ser um tema relevante na segurança de e-mails. Os pesquisadores da Check Point Software estão desde agosto de 2023 observando um aumento massivo no phishing por QR Code que segue elevado até março deste ano.
“Os cibercriminosos estão constantemente encontrando novas formas de usar os QR Codes em campanhas de phishing. Recentemente, apontamos o uso de Ataques de Roteamento de QR Code Condicional (Conditional QR Code Routing Attacks)”, observa Jeremy Fuchs, pesquisador e analista de Segurança Cibernética da Check Point Software.
Agora, Fuchs e a equipe de pesquisadores da empresa descobriram uma nova campanha de QR Code, na qual os atacantes usam modelos personalizados específicos para cada organização, tornando cada ataque único para a empresa e para o indivíduo. Nas últimas três semanas, os pesquisadores encontraram mais de 2 mil desses e-mails espalhados por mais de 1.100 clientes em diferentes regiões no mundo.
Os pesquisadores da Check Point Software destacaram alguns exemplos. O primeiro exemplo de e-mail refere-se a um ataque em que tenta se passar por uma atualização de autenticação. Observou-se que a autenticação da conta expirará rapidamente e, para evitar interrupções no e-mail, é necessário fazer novamente a autenticação da conta.
Nesse e-mail, o logotipo da empresa que é legítima está presente; e isso muda dinamicamente dependendo da empresa alvo. Isso torna o ataque de phishing mais legítimo e personalizado. Os atacantes inserem o nome e a identificação (user name de usuário) da vítima no e-mail e, novamente, isso é preenchido dinamicamente.
Um segundo exemplo de e-mail identificado pelos pesquisadores adota a mesma fórmula de adicionar o logotipo da empresa, adicionar o nome da vítima e “implorar” no texto da mensagem para que os usuários “atualizem sua autenticação antes de enfrentar problemas com seu e-mail”. Se o usuário escaneasse o QR Code seria levado a um site de roubo de dados e de credenciais.
Técnicas do Quishing
Esse é um ataque particularmente engenhoso e astuto e incrivelmente personalizado e direcionado, em que é fornecido o logotipo da empresa legítima e usando o nome e user name corretos. Ao mudar dinamicamente dependendo do alvo, esse ataque também é escalável, pois se baseia na urgência. “Uma vez que os atacantes sugerem à vítima que o acesso ao e-mail será alterado, os usuários podem ser inclinados a agir rapidamente, pois o uso do QR Code também transmite uma camada de confiança”, explica Fuchs.
Os usuários finais estão acostumados a usar QR Codes, embora menos em um contexto empresarial que como consumidores. Ainda assim, é uma tecnologia familiar. E, como o usuário tem de escanear o QR Code no seu smartphone, ele também abre a porta para um comprometimento desse dispositivo. Em resumo, este é um ataque astuto que tem o potencial de causar graves danos.
Melhores Práticas
Para se proteger contra esse tipo de ataque, recomenda-se aos profissionais de segurança implementar proteções que decodifiquem automaticamente os QR Codes incorporados em e-mails e analise as URLs em busca de conteúdo malicioso.
Também é válido utilizar segurança que reescreva o QR Code incorporado no corpo do e-mail e o substitua por um link reescrito e seguro, ou implementar segurança que utilize inteligência artificial (IA) avançada para analisar múltiplos indicadores de phishing.
Principalmente aos usuários, a dica é: se receber um e-mail alarmando que a ação é urgente ou uma ação que pareça fora do comum, não deverá escanear QR Code e buscar informações e confirmações diretamente da empresa ou pessoa que enviou o e-mail.
