La detección de Códigos QR maliciosos da un gran paso adelante

El phishing con códigos QR, también conocido como quishing, es el último ataque que llega a las bandejas de entrada. Esta amenaza emergente puede sortear las defensas tradicionales del correo electrónico y está forjando una nueva forma de enviar ataques directamente a los usuarios. Junto con el phishing por correo electrónico, la suplantación de ejecutivos, el phishing selectivo y los ataques BEC; por eso en este blog abordaremos la amenaza que se ha convertido en una de las principales preocupaciones para los equipos de seguridad y TI.

¿Por qué códigos QR?

Cuando Microsoft deshabilitó las macros para evitar que los actores de amenazas las explotaran para entregar malware, los actores de amenazas comenzaron a probar varias técnicas nuevas de entrega de ataques como código QR maliciosos. Utilizados por los especialistas en marketing como una forma rápida y sencilla de conectarse con los consumidores e impulsar la participación, los códigos QR se han convertido en parte de nuestra vida diaria y ahora se utiliza en tiendas minoristas, boletos de avión, menús sin contacto y escaneo para pagar, ente muchos usos más.

Si bien es de conocimiento común que los códigos QR estándar pueden usarse de manera maliciosa, una encuesta reciente sobre códigos QR de Scantrust encontró que “más del 80% de los usuarios de códigos QR con sede en EE. UU. dijeron que creen que los códigos QR son seguros”. En esta confianza inherente a los códigos QR de la que dependen los actores de amenazas. Eso y el hecho de que los códigos QR no exponen URL maliciosas que hacen sean muy difíciles de detectar con las herramientas tradicionales de seguridad del correo electrónico.

¿Qué es el phishing con códigos QR?

Una estafa con códigos QR se produce cuando un mal actor crea una campaña de phishing con códigos QR maliciosos para engañar a un usuario para que navegue a una URL maliciosa. Esto los lleva a un sitio web malicioso que luego recopila sus credenciales o descarga malware en sus dispositivos. Estas campañas incluyen estafas de pagos, estafas de paquetes, estafas de correo electrónico e incluso estafas de donaciones durante la temporada navideña. Debido a que todos los códigos QR tienen un aspecto similar, la detección es difícil y los usuarios se dejan engañar fácilmente.

¿Por qué llegan los códigos QR?

Los proveedores de seguridad de correo electrónico tradicionales y la mayoría de las herramientas de seguridad de correo electrónico basadas en API tienen dificultades para detectar estos ataques. Esto se debe a que estas herramientas escanean mensajes de correo electrónico en busca de enlaces sospechosos conocidos; no escanean imágenes en busca de enlaces ocultos dentro de imágenes de códigos QR maliciosos.

Este método de ataque también crea un nuevo punto ciego de seguridad. Los códigos QR se escanean mediante un dispositivo independiente, como un teléfono inteligente, desde donde se entrega el correo electrónico. Y es menos probable que los teléfonos inteligentes cuenten con una sólida protección de seguridad necesaria para detectar y prevenir estos ataques. Por este motivo, es fundamental que una herramienta de seguridad del correo electrónico incluya detección de códigos QR para bloquear los correos electrónicos de phishing antes de que lleguen a las bandejas de entrada de los usuarios. Cuando los mensajes de analizan después de su entrega, como ocurre con las herramientas basadas en API, existe la posibilidad de que los usuarios lleguen a ellos primero, antes de que los recuperen.

Riesgos de detección de códigos QR solo después de la entrega

Las herramientas de seguridad de correo electrónico solo posteriores a la entrega afirman “detectar y bloquear” correos electrónicos de phishing con códigos QR, pero simplemente no pueden. Si bien pueden incluir un nivel de detección de códigos QR sospechosos, esto ocurre solo después de que la amenaza ha llegado a la bandeja de entrada del usuario. Además, estas herramientas no protegen códigos QR sospechosos. Esto significa que tienen una alta tasa de errores, lo que genera más riesgo para su empresa.

Además de crear más riesgos, también crean más trabajo para sus equipos. Al basarse únicamente en anomalías de comportamiento estas herramientas señalarán numerosos correos electrónicos comerciales legítimos, lo que genera una gran cantidad de falsos positivos. Esto significa que hay mucho más trabajo para los equipos de seguridad y TI cuando probablemente ya estén inundados de alertas de amenazas.

En resumen, un enfoque posterior a la entrega no se adapta a las necesidades de la empresa moderna actual y es extremadamente costoso. ¿Necesitas ayuda con una herramienta que te ayude con este tipo de ataques? Contáctanos.

Fuente: Proofpoint