Últimamente se ha notado un aumento significativo del uso de códigos QR para la realización de pagos, transferencias, acceso a redes Wi-Fi, menús de restaurantes, entre otros. Si bien esta funcionalidad provee agilidad al momento de compartir información, también puede ser utilizada para ataques de phishing a través del escaneo de códigos QR, que redirijan a sitios web maliciosos diseñados por un atacante. La explotación de este método permitiría a un atacante robar información privilegiada a través de páginas web.
El sitio web falso está pensado en sí para introducir credenciales bancarias, cuentas de correo o de alguna tienda online a la cual es habitual acceder. Además, es posible que redirija a una página para aparentemente descargar una aplicación oficial que, en realidad podría ser falsa e infectaría el teléfono, llevando a descargar un malware que se instalará aprovechando un posible agujero de seguridad en el teléfono o induciendo al usuario a través de técnicas de ingenería social. Adicionalmente la web maliciosa podría ejecutar código JavaScript malicioso con diversas consecuencias desde robo de información y ser victame de pay-per-click, páginas de SPAM, etc.
Los códigos QR maliciosos pueden ser colocados en sitios web, impresos en carteles, impresos en calcomanías, entre otros.
Detección y Protección:
Los atacantes se están volviendo cada vez más sofisticados a la hora de lograr que sus sitios web parezcan legítimos y es fundamental tener consciencia de este tipo de ataques. Es difícil estar seguro de que le han dirigido a un sitio web de phishing. Sin embargo, hay algunos signos que se podrían tener en cuenta para identificar el phishing a través de los códigos QR:
- Desactivar la opción de abrir automáticamente los enlaces al escanear un código QR.
- Usar aplicaciones de escaneo que permitan ver a qué URL dirige ese código antes de abrirlo. Así se puede revisar la dirección antes de acceder al contenido o introducir información. Como:
- QR Scanner-Safe QR Code Reader (Trend Micro)
- Lector y escáner de códigos QR (Kaspersky)
- Lionic Secure QR Code Scanner
- No escanear códigos QR de dudosa procedencia: verificar la identidad del autor para confirmar que es quien dice ser. En caso de duda, buscar en internet más información, o investigar su identidad y objetivos por otra vía (llamada telefónica).
- En caso de realizar pagos o transacciones financieras con QR, comprobar que la operación se haya realizado según lo esperado, tanto para el comprador como al vendedor.
- Si el código QR es físico, por ejemplo, en el mostrador de alguna tienda o impreso en un vaso, un truco de los atacantes es colocar una pegatina sobre el código real: antes de escanearlo, comprobar que no haya sido manipulado, que no tenga un adhesivo u otro elemento pegado sobre el código real.
- En caso de gestionar un negocio, comprobar periódicamente que los códigos QR que se utilizan no hayan sido manipulados.
- Si el código QR lleva a una página en la que se solicita información personal, especialmente contraseñas o datos relacionados con formas de pago, es importante detenerse a analizar un momento si el contexto lo requiere.
- En caso de sospecha o detección de alguna irregularidad, comunicar al negocio e incluso puede enviar un correo a abuse@cert.gov.py
Referencias:
- https://www.bbva.com/es/qrishing-el-phishing-oculto-en-codigos-qr/
- https://www.securemac.com/news/qr-code-phishing-and-how-to-avoid-it
- https://nordvpn.com/cybersecurity/glossary/qr-code-phishing/
- https://www.cyclonis.com/qr-code-phishing-scams-how-works-prevent-it/
- https://blog.elhacker.net/2022/11/como-escanear-codigos-qr-de-forma-segura.html
- https://play.google.com/store/apps/details?id=com.trendmicro.qrscan
- https://play.google.com/store/apps/details?id=com.kaspersky.qrscanner
- https://play.google.com/store/apps/details?id=com.lionic.scanner.qrcode