Sophos publica los resultados de la investigación de Sophos X-Ops sobre un nuevo tipo de amenaza: el quishing. Este nueva forma de ataque implica el uso de códigos QR fraudulentos, enviados por correo electrónico por cibercriminales, para eludir las medidas de seguridad de phishing establecidas por las empresas.
Este código QR fraudulento, incrustado en un documento PDF adjunto a un correo electrónico, adopta la forma de un mensaje sobre nóminas, beneficios para empleados u otros documentos oficiales que una empresa podría enviar a un trabajador. Como los códigos QR no son legibles por ordenador, el empleado debe escanear el código QR con su teléfono móvil. Este código enlaza con una página de phishing, que el trabajador puede no reconocer como maliciosa, ya que los teléfonos suelen estar menos protegidos que un ordenador. El objetivo de los ciberatacantes es obtener las contraseñas de los empleados y sus tokens de autenticación multifactor (MFA) para acceder al sistema de una empresa, saltándose las medidas de seguridad establecidas.
“Dedicamos una cantidad considerable de tiempo a cribar todas los modelos de spam que teníamos para encontrar ejemplos de quishing”, comenta Andrew Brandt, investigador principal de Sophos X-Ops. “Nuestra investigación revela que los ataques que explotan este modo específico se están intensificando, tanto en términos de volumen como de sofisticación, especialmente en lo que se refiere a la apariencia del documento PDF”.
De hecho, algunos ciberatacantes ofrecen herramientas as-a-service para ejecutar campañas de phishing utilizando códigos QR fraudulentos. Además de funciones como la evasión de CAPTCHA o la generación de proxies de direcciones IP para eludir la detección automática de amenazas, estos grupos delictivos ofrecen una sofisticada plataforma de phishing que puede obtener las credenciales o tokens MFA de las víctimas.
Para animar a las empresas a proteger mejor los sistemas contra este tipo de ataques, Sophos X-Ops comparte una lista de recomendaciones:
- Estar atento a los correos electrónicos internos sobre temas de RR.HH., salarios o beneficios de la empresa. Las investigaciones de Sophos X-Ops han descubierto que los trucos de ingeniería social aprovechan estas temáticas para engañar a los empleados y hacer que escaneen códigos QR fraudulentos desde sus dispositivos móviles.
- Instalar Sophos Intercept X para móviles. Disponible en Android, iOS y Chrome OS, esta solución incluye un escáner de códigos QR seguro que ayuda a identificar páginas web conocidas sobre phishing y alerta si la URL se considera maliciosa.
- Supervisar los inicios de sesión peligrosos. Con las herramientas de gestión de identidades, las empresas pueden detectar inicios de sesión inusuales.
- Activar el acceso condicional. Esta función ayuda a aplicar controles de acceso basados en la ubicación del usuario, el estado del dispositivo y el riesgo.
- Permitir una supervisión eficaz de los accesos gracias a registros sofisticados. Este tipo de supervisión avanzada permite visualizar mejor todos los accesos al sistema y detectar a tiempo este tipo de amenazas.
- Implementar un filtro avanzado del correo electrónico. La solución de Sophos de protección contra phishing mediante código QR detecta los códigos QR fraudulentos incluidos directamente en los correos electrónicos y tiene previsto ampliar su solución a los códigos QR de los archivos adjuntos ya en el primer trimestre de 2025.
- Aprovechar la recuperación de correo electrónico bajo demanda. Los clientes de Sophos Central Email que utilizan Microsoft 365 disponen de esta función para eliminar los mensajes de spam o phishing de los correos corporativos.
- Animar a los empleados a estar atentos y notificar los incidentes. La notificación rápida de anomalías al equipo de respuesta a incidentes es esencial para proteger los sistemas de la empresa frente al phishing.
- Revocar las sesiones de usuarios sospechosos. Es imprescindible contar con un plan para revocar el acceso de los usuarios que muestren signos de que sus credenciales hayan sido comprometidas.