FBI advierte sobre códigos QR maliciosos utilizados para robar credenciales

Esta semana el FBI advirtió acerca de una nueva amenaza en la que los ciberdelincuentes están utilizando códigos de respuesta rápida (QR) creados con fines malintencionados para robar sus credenciales e información financiera.

Este nuevo fraude se caracteriza porque los delincuentes están cambiando los códigos QR legítimos utilizados por las empresas para redirigir a las víctimas potenciales a sitios web maliciosos diseñados para robar su información personal y financiera, instalar malware en sus dispositivos o desviar sus pagos a cuentas bajo su control. Después de que las víctimas escanean lo que parecen códigos legítimos, son enviados a los sitios de phishing de los atacantes, donde se les solicita que ingresen su información financiera y de inicio de sesión. Una vez ingresado, se envía a los ciberdelincuentes que pueden usarlo para robar dinero usando cuentas bancarias secuestradas.

“Los ciberdelincuentes están manipulando los códigos QR para redirigir a las víctimas a sitios maliciosos que roban información financiera y de inicio de sesión”, dijo la agencia federal de aplicación de la ley.

¿Cómo funciona?

En las campañas de phishing más recientes, los atacantes usan códigos QR en lugar de botones para llevar a las víctimas a sitios de phishing, así se ejecutó una reciente campaña de phishing dirigida a usuarios de una banca electrónica alemana. Los atacantes utilizaron códigos QR en lugar de botones en los correos electrónicos no deseados para dificultar la detección de sus ataques por parte del software de seguridad y redirigir con éxito a las víctimas a sitios de phishing. Estos correos electrónicos no contienen URL de texto claro y, en cambio, están ofuscados a través de códigos QR, lo que dificulta que el software de seguridad los detecte.

Correo electrónico con código QR que conduce al sitio de phishing
Correo electrónico con código QR que conduce al sitio de phishing
Fuente: Cofense

Los códigos QR tienen una mayor eficacia, ya que se dirigen a los usuarios móviles, que tienen menos probabilidades de estar protegidos por las herramientas de seguridad de Internet. Una vez que la víctima llega al sitio de phishing, se le solicita que ingrese su ubicación bancaria, código, nombre de usuario y PIN.

A las víctimas redirigidas con éxito a las páginas de destino de phishing se les pidió que ingresaran la ubicación del banco, el código, los nombres de usuario y los PIN.

Página de inicio de sesión en el sitio de phishing
Página de inicio de sesión en el sitio de phishing
Fuente: Cofense

Si estos detalles se ingresan en la página de phishing, el usuario espera la validación y luego se le solicita que ingrese sus credenciales nuevamente debido a que son incorrectas.

Pantalla de verificación en el sitio de phishing
Pantalla de verificación en sitio de phishing
Fuente: Cofense

Esta repetición es una táctica común en las campañas de phishing para eliminar los errores tipográficos cuando el usuario ingresa sus credenciales por primera vez. No importa cuán legítimo pueda parecer un correo electrónico, debe evitar hacer clic en botones, URL o incluso códigos QR que lo llevarán a un sitio externo.

C2user Recomienda:

Siempre que se le solicite ingresar las credenciales de su cuenta, recuerde siempre validar primero el dominio en el que se encuentra antes de comenzar a escribir.

Tener precaución al ingresar sus datos, su información financiera y al realizar pagos a través de un sitio al que se navega a través de un código QR.

Evitar instalar aplicaciones a través de códigos QR o instalar escáneres de códigos QR (en su lugar, use el que viene con el sistema operativo de su teléfono).

Por último, pero no menos importante, siempre ingrese las URL a mano cuando realice pagos en lugar de escanear un código QR que podría configurarse para redirigirlo a sitios maliciosos.