Un nuevo informe La empresa de ciberseguridad Netskope revela detalles sobre campañas de ataque que abusan de Microsoft Sway y CloudFlare Turnstile y utilizan códigos QR para engañar a los usuarios para que proporcionen sus credenciales de Microsoft Office a la plataforma de phishing.
Estas campañas se han dirigido a víctimas en Asia y América del Norte en múltiples segmentos liderados por la tecnología, la manufactura y las finanzas.
¿Qué es el quishing?
Los códigos QR son una forma cómoda de navegar por sitios web o acceder a información sin necesidad de introducir una URL en un teléfono inteligente. Sin embargo, su uso conlleva un riesgo: los ciberdelincuentes pueden abusar de ellos para llevar a las víctimas a contenido malicioso.
Este proceso, llamado “quishing”, implica redirigir a las víctimas a sitios web maliciosos o incitarlas a descargar contenido dañino escaneando un código QR. Una vez en el sitio, los cibercriminales trabajan para robar su información personal y financiera. El diseño de los códigos QR hace que sea imposible para el usuario saber a dónde lo dirigirá el código después de escanearlo.
Thomas Damonneville, director de la empresa antiphishing Suplantación de identidad mediante acechodijo a TechRepublic que el quishing “es una tendencia creciente” que “es muy fácil de usar y hace que sea más difícil verificar si el contenido es legítimo”.
Ataques de Quishing a través de Microsoft Sway
En julio de 2024, Netskope Threat Labs descubrió que el tráfico a páginas de phishing a través de Microsoft Sway se había multiplicado por 2000. La mayoría de las páginas maliciosas utilizaban códigos QR.
Microsoft Sway es una aplicación en línea de Microsoft Office que es gratuita y permite a los usuarios crear fácilmente presentaciones u otro contenido basado en la web. El hecho de que la aplicación sea gratuita la convierte en un objetivo atractivo para los cibercriminales.
En las campañas de ataque expuestas por el investigador de Netskope, Jan Michael Alcantara, las víctimas son atacadas con páginas de Microsoft Sway que conducen a intentos de phishing para obtener credenciales de Microsoft Office.
La investigación de Netskope no menciona cómo se enviaron los enlaces fraudulentos a las víctimas. Sin embargo, es posible difundir esos enlaces a través del correo electrónico, las redes sociales, los SMS o el software de mensajería instantánea.
La carga útil final parece similar a la página de inicio de sesión legítima de Microsoft Office, como se expuso en un artículo de mayo de 2024. publicación del mismo investigador.
Ataque más sigiloso con CloudFlare Turnstile
Turnstile de CloudFlare es una herramienta gratuita que reemplaza los captchas, que han sido utilizados en campañas de ataque denunciadas. Este servicio legítimo permite a los propietarios de sitios web agregar fácilmente el código Turnstile necesario a su contenido, lo que permite a los usuarios simplemente hacer clic en un código de verificación en lugar de resolver un captcha.
Desde la perspectiva de un atacante, el uso de esta herramienta gratuita resulta atractivo porque exige que los usuarios hagan clic en un torniquete de CloudFlare antes de ser redirigidos a la página de phishing. Esto añade una capa de protección contra la detección del atacante, ya que la carga útil final del phishing queda oculta a los escáneres de URL en línea.
Técnica de phishing del tipo atacante intermediario
Las técnicas tradicionales de phishing suelen recopilar credenciales antes de mostrar una página de error o redirigir al usuario a la página de inicio de sesión legítima. Este enfoque hace creer a los usuarios que han introducido credenciales incorrectas, lo que probablemente los haga ignorar el fraude.
La técnica de phishing del atacante intermediario es más discreta. Se recopilan las credenciales del usuario y se utilizan inmediatamente para iniciar sesión en el servicio legítimo. Este método, también llamado phishing transparente, permite iniciar sesión con éxito después del robo fraudulento de credenciales, lo que hace que el ataque sea menos visible.
Dificultades en la detección de códigos QR maliciosos
“Nadie puede leer un código QR con sus propios ojos”, dijo Damonneville. “Solo se puede escanear con el dispositivo adecuado, un teléfono inteligente. Algunos enlaces pueden ser tan largos que no se puede comprobar el enlace completo, si se revisa… Pero ¿quién comprueba los enlaces?”
Las detecciones basadas únicamente en texto tampoco son efectivas contra los códigos QR, ya que son imágenes. Tampoco existe un estándar generalizado para verificar la autenticidad de un código QR. Los mecanismos de seguridad, como las firmas digitales para códigos QR, no se implementan comúnmente, lo que dificulta la verificación de la fuente o la integridad del contenido.
¿Cómo puedes evitar que un código QR sea objeto de phishing?
Sin embargo, muchos lectores de códigos QR ofrecen una vista previa de la URL, lo que permite a los usuarios verla antes de escanearla. Cualquier sospecha sobre la URL debería incitar al usuario a no utilizar el código QR. Además:
- Los códigos QR que conducen a acciones como iniciar sesión o proporcionar información deben despertar sospechas y analizarse cuidadosamente.
- Las soluciones de seguridad también pueden ayudar, ya que pueden detectar URL de phishing. Las URL siempre deben ser escaneadas por una herramienta de este tipo.
- Los pagos no deben realizarse a través de código QR a menos que esté seguro de que es legítimo.
Microsoft Sway no es el único producto legítimo que los ciberdelincuentes podrían utilizar para alojar páginas de phishing.
“Observamos a diario el uso de sitios o aplicaciones legítimos para albergar ataques de quishing o phishing, como Github, Gitbooks o Google Docs, por ejemplo”, afirma Damonneville. “Sin mencionar todos los acortadores de URL que hay en el mercado o los sitios de alojamiento gratuitos, que se utilizan ampliamente para ocultar una URL fácilmente”.
Esto refuerza una vez más la idea de que es necesario concientizar a los usuarios y capacitar a los empleados para distinguir una URL sospechosa de una legítima.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
GIPHY App Key not set. Please check settings