Los profesionales de la seguridad siempre están atentos a la evolución de las técnicas de amenaza, y el equipo de Sophos X-Ops investigó recientemente ataques de phishing dirigidos a varios de sus trabajadores, uno de los cuales fue engañado para que facilitara su información. Los atacantes utilizaron el llamado “Quishing” (un acrónimo de «código QR» y «phishing»).
Los códigos QR son un mecanismo de codificación legible por máquina que puede encapsular una amplia variedad de información, desde líneas de texto a datos binarios, pero la mayoría de la gente conoce y reconoce su uso más común hoy en día como una forma rápida de compartir una URL.
La seguridad y el código QR
En el sector de seguridad se suele enseñar a detectar el phishing indicando que se mire la URL antes de hacerle clic en su ordenador. Sin embargo, a diferencia de una URL en texto plano, los códigos QR no pueden ser vigilados de la misma manera.
Además, la mayoría de los usuarios utiliza la cámara de su teléfono para interpretar el código QR, en lugar de un ordenador. Y puede ser difícil examinar cuidadosamente la URL que se muestra momentáneamente en la aplicación de la cámara.
Esto porque la URL puede aparecer segundos antes de que la aplicación la oculte y porque los ciberdelincuentes pueden utilizar técnicas o servicios de redireccionamiento. Los que ocultan u ofuscan el destino final del enlace presentado en la interfaz de la aplicación de la cámara.
Sophos y el problema del Quishing
Pero incluso hay métodos mucho más elaborados. Por ejemplo, Sophos detectó un correo electrónico de suplantación de identidad que incluía un enlace de Google. El que tenía un formato inteligente que, al hacer clic, redirige al visitante al sitio de phishing.
Si se hubiera realizado una búsqueda de la URL, el sitio vinculado directamente desde el código QR (google.com) se habría clasificado como seguro. También hemos visto enlaces que apuntan a servicios de enlaces cortos utilizados por una variedad de otros sitios web legítimos.
Desde Sophos explican que cualquier solución que pretenda interceptar y detener la carga de sitios web Quishing debe abordar el enigma de seguir una cadena de redireccionamiento hasta su destino final. Para luego realizar una verificación de reputación del sitio y abordar la complicación adicional de los phishers y quishers, que ocultan sitios detrás de servicios como CloudFlare.