Novas campanhas de phishing têm mirado o comprometimento de aparelhos móveis pessoais por meio de QR Codes maliciosos para ampliar o cerco contra as organizações. É o que reportou o último Incident Response de 2023 da Cisco Talos, referente ao trimestre final do ano passado. De acordo com a análise, as empresas precisam manter atenção ao recebimento de códigos bidimensionais pelos seus colaboradores, que podem levá-los a links suspeitos.
Esse formato de ataque cibernético responde a nova tendência estabelecida pela pandemia sobre o uso dos QR Codes como forma de acesso rápido e fácil a diversas URLs da internet. Segundo o Head de Outreach da Cisco Talos, Nick Biasini, a facilidade com que as pessoas passaram a incluir o recurso em suas vidas chamou a atenção do cibercrime para uma nova via de ataque, capaz de comprometer diretamente os dispositivos pessoais.
“Há uma variedade de motivos que levaram a esse aumento das campanhas de phishing por QR Code. A mais importante é que os aparelhos móveis usados para escanear esses códigos frequentemente estão fora da fronteira de proteção da companhia. Portanto, uma vez comprometidos, qualquer credencial ou informação crítica contida neles é exposta também”, explicou Biasini em entrevista para a Security Report.
O especialista ainda aponta que esse tipo de cenário é bastante recorrente, especialmente diante das políticas de Bring Your Own Device (BYOD), permitindo aos usuários usarem seus próprios equipamentos para trabalhar. Enquanto os aparelhos internos possuem controles capazes de barrar o link do QR Code antes de ele ser acessado, os equipamentos não monitorados estão expostos a todo o tipo de brecha de segurança.
Através dos QR Codes, os agentes hostis podem entregar outros tipos de conteúdos maliciosos, direcionando a malwares infostealers ou mesmo para páginas falsas de login, para o usuário entregar esses dados sem perceber. Todavia, as campanhas se baseiam nos mesmos métodos de engenharia social que já eram usados nos golpes tradicionais de phishing, abrindo mais um flanco nos processos de Security Awareness.
“Isso é, de fato, um novo caminho para os cibercriminosos agirem. Os indivíduos ativos nesse espaço tendem a ser bastante inventivos, migrando com impressionante facilidade para as oportunidades que gerarem o maior sucesso possível, com mais comprometimentos e mais geração de lucro sobre os dados comprometidos. O qhishing é uma resposta viável a essa demanda deles”, comenta o executivo.
BYOD e Cibersegurança
Atualmente, cada vez mais empresas legítimas estão recorrendo ao QR Code para disseminar informações aos seus clientes. Com mais links circulando cotidianamente, os cibercriminosos passaram a disfarçar seu conteúdo entre os canais oficiais, tornando ainda mais difícil discernir quando um código de imagem está direcionando a um link oficial ou falso antes de acessá-lo.
Isso, alinhado à descoberta da Consultoria Agency de que 97% acessam contas corporativas por devices pessoais, demonstra uma nova superfície de risco para as empresas, o que pode pôr em xeque a nova realidade de uso dos próprios aparelhos digitais nas atividades cotidianas. Nick Biasini, entretanto, acredita que o BYOD não precisa ser necessariamente repensado, mas sim protegido apropriadamente.
A conscientização do usuário também cumpre um papel essencial na estratégia contra esses agentes maliciosos. Por ser um novo vetor de ataque, ainda desconhecido pelo grande público, os colaboradores devem ser alertados dos riscos que QR Codes suspeitos oferecem à integridade da empresa, assim como os links tradicionais. É importante incluir esse ensinamento nos treinamentos padrões de engenharia social, visando prepará-los contra esse risco.
“Novamente, o fato de as pessoas estarem mais confortáveis com o QR Code expande essa capacidade de sucesso. Após passarmos anos educando os usuários dos riscos de acessarem links e anexos suspeitos, os cibercriminosos decidiram ir além, recorrendo a QR Codes e mensagens de texto. Eles estão buscando meios de aumentar o sucesso das operações, e precisamos evoluir nossas preparações da mesma maneira”, concluiu Biasini.