Os Cyber Criminosos constantemente ajustam e refinam suas táticas na tentativa de evitar detecção ou se tornarem mais eficientes em alcançar objetivos maliciosos. Muitas vezes, esses ajustes táticos exploram mudanças na sociedade—um exemplo recente pertinente foi o aumento de e-mails de phishing direcionados a funcionários remotos.
Outra mudança tecnológica acelerada pela pandemia de COVID-19 é o ressurgimento dos códigos QR. À medida que se tornam mais comuns, vale a pena explorar o potencial de explorá-los. Este artigo analisa o uso de códigos QR em ataques de phishing.
O Que São Códigos QR (QR Codes)?
Códigos de resposta rápida (QR) são códigos de barras que armazenam informações de forma bidimensional, o que significa que as informações neles podem ser lidas de cima para baixo e da esquerda para a direita. Dispositivos digitais, incluindo smartphones, podem facilmente ler as informações contidas na imagem em forma de quadrado.
Cada código tem uma capacidade máxima de dados de 4.296 caracteres alfanuméricos. A tecnologia remonta ao Japão em 1994, quando engenheiros começaram a usar os códigos de barras para rastrear peças em uma fábrica automotiva. Cada código QR contém padrões de detecção de posição, que facilitam a leitura precisa e rápida pelos dispositivos de digitalização.
Depois de serem limitados principalmente a casos de uso industrial, os códigos QR começaram a se espalhar para uma variedade de aplicações voltadas para o consumidor em 2011, como empresas colocando-os em anúncios de eventos, descontos e promoções. A adoção avançou lentamente, no entanto, e alguns analistas de tecnologia especularam sobre o desaparecimento de seu uso em 2014 devido a uma combinação de implementação inadequada por parte das empresas e usuários que não estavam motivados o suficiente para instalar o aplicativo dedicado necessário para escaneá-los.
À medida que os smartphones se tornaram mais avançados, os fabricantes adicionaram scanners de QR às câmeras de seus smartphones, para que os usuários não precisassem de um aplicativo dedicado. O resultado foi um aumento gradual no número de pessoas escaneando códigos QR para baixar aplicativos, visitar sites ou acessar um ponto de acesso Wi-Fi. A preferência pelos métodos tradicionais de realizar essas ações significava que havia uma diminuição natural na quantidade de pessoas que escaneavam códigos QR.
O Ressurgimento dos Códigos QR
Entre as muitas mudanças tecnológicas influenciadas pela Covid-19, houve um grande ressurgimento nos códigos QR. Com o distanciamento social obrigatório em ambientes de varejo, empresas como restaurantes e cafés tiveram que descobrir maneiras de manter funcionários e clientes seguros enquanto tentavam ganhar dinheiro e sobreviver.
Os códigos QR forneceram uma solução, permitindo que os clientes escaneassem um código de barras, visualizassem menus e fizessem pedidos, tudo mantendo uma distância segura dos membros da equipe. Abster-se de menus físicos tinha o objetivo de ajudar a reduzir a propagação do coronavírus por meio de gotículas em menus inadequadamente desinfetados.
Os códigos QR também foram amplamente utilizados para confirmar o status de vacinação dos indivíduos. Em lugares onde a entrada era limitada apenas a pessoas totalmente vacinadas, escanear um código ajudava as empresas a garantir que aderissem a esses protocolos de segurança.
Como acontece um Ataque de Phishing com Código QR
Agora que os códigos QR são ubíquos, os criminosos cibernéticos têm a chance de explorar sua popularidade e enganar as pessoas. Inserir links para sites maliciosos dentro de um código QR provavelmente trará benefícios, já que as pessoas tendem a confiar automaticamente neles. Enquanto URLs suspeitas são detectáveis por humanos em texto simples, mascará-las dentro de códigos QR significa que as pessoas não podem lê-las e ver que o URL parece suspeito.
A possibilidade de criminosos cibernéticos aproveitarem os códigos QR levou os analistas de segurança a cunhar um novo tipo de ataque de phishing conhecido como “quishing.” Aqui está como alguns desses ataques funcionam:
- Golpes de Estacionamento em San Antonio e Austin
Em dezembro de 2021, a polícia em San Antonio e Austin alertou os texanos sobre um golpe com código QR em que criminosos cibernéticos colocaram adesivos de código QR maliciosos em parquímetros. Ambas as cidades permitem que as pessoas paguem pelo estacionamento com moedas ou um aplicativo dedicado. Ao explorar o uso generalizado de códigos QR, os Cyber Criminosos esperavam que indivíduos desprevenidos escaneassem o código e tentassem pagar pelo estacionamento no site para onde foram direcionados. Este URL era, na verdade, um link falso que enganava as pessoas a revelarem os detalhes de seus cartões de pagamento.
- Roubo de Credenciais do Microsoft 365
No outono de 2021, os atacantes executaram uma campanha de roubo de credenciais usando contas de e-mail previamente comprometidas para enviar mensagens de e-mail das contas reais usadas por colegas de negócios–o que passa direto pelos tradicionais gateways de e-mail seguros (SEG)–e parecerem reais e seguros para os destinatários.
Uma possível fraqueza dessa tática do ponto de vista de um hacker é que as pessoas podem naturalmente relutar ou ficar confusas ao escanear um código QR contido em um e-mail. Como em todas as formas de ataques de engenharia social, essa hesitação pode ser contornada criando um senso de urgência com as vítimas e elaborando e-mails altamente credíveis.
- Impersonação de e-mail – um ator de ameaça envia um e-mail de uma fonte aparentemente legítima contendo um código QR no corpo do e-mail
ou… - Na vida real (IRL) – onde Cyber Criminosos cobrem códigos QR legítimos com seus próprios códigos QR maliciosos em locais físicos, como menus de restaurantes, portas e janelas de lojas, quiosques de informações e murais escolares
então… - Um usuário desprevenido escaneia o código e é levado a um site de phishing malicioso onde o usuário revela informações confidenciais, como credenciais de login ou detalhes do cartão de crédito.
Exemplos de Ataques de Phishing com Código QR
A possibilidade de ataques de phishing com códigos QR já não é mais uma mera especulação. Houve alguns incidentes exemplos que exploraram diretamente a crescente dependência de pessoas e empresas em relação aos códigos QR.
Esses e-mails de phishing afirmavam incluir uma mensagem de correio de voz importante, mas exigiam que a vítima escaneasse um código QR para poder ouvir a mensagem. Os usuários que escanearam o código QR foram direcionados para um site de phishing que exigia suas credenciais do Microsoft O365 antes de serem dados acesso ao arquivo de áudio inexistente.
Não está claro se alguém caiu nesse golpe, mas existe um claro potencial para incidentes semelhantes. Os Cyber Criminosos geralmente consideram as credenciais de login do Microsoft Office 365 como particularmente úteis para alcançar outros objetivos, como roubar dados sensíveis ou tunelar em uma rede corporativa.
Dicas para Usar Códigos QR com Segurança
Com códigos QR aparentemente em todos os lugares hoje e usados para muitas aplicações diferentes voltadas para o cliente, o que você pode fazer para usá-los com segurança? Aqui estão algumas dicas gerais para reduzir as chances de ser enganado.
- Para códigos QR que o levam a um URL, examine o endereço de perto para garantir que seja genuíno e não contenha erros de digitação.
- Tenha cuidado ao escanear códigos de URL físicos para garantir que não tenham sido adulterados e exerça extrema cautela se ver um código QR em forma de adesivo em qualquer lugar.
- Não baixe aplicativos diretamente usando códigos QR—em vez disso, anote o nome do aplicativo, procure-o na loja de aplicativos que você usa e baixe de lá.
- Se você receber um e-mail sobre a necessidade de completar uma transação com um código QR, ligue para o banco ou instituição financeira para verificar essas informações e/ou navegue até o site sem escanear o código para garantir que esteja visitando um URL confiável.
- Fique atento sobre qualquer código QR que informe sobre a chance de ganhar algum tipo de prêmio se você escanear o código.
- Em geral, não confie em códigos QR em e-mails, pois seria mais fácil e faria mais sentido para um remetente legítimo inserir um link real no texto do e-mail.
A ameaça de golpes com códigos QR é agora tão alta que o FBI lançou um alerta descrevendo como os criminosos cibernéticos adulteram esses códigos para roubar dinheiro. Agora que você entende os riscos potenciais e as medidas de mitigação a serem tomadas, você terá uma melhor chance de se manter seguro durante o ressurgimento dos códigos QR.
Para saber mais sobre Segurança de E-mails, práticas e medidas adotadas para proteger empresas contra ataques phishing, ameaças e vulnerabilidades, acompanhe nosso conteúdo e conte com nossos especialistas.
Quer fazer um teste na sua empresa? Entre em contato conosco através do seu Account Manager na Nova8 ou por meio dos nossos canais parceiros e marque seu 90 Days Scan Back.
SOBRE A IRONSCALES:
IRONSCALES é a principal plataforma de segurança de e-mail na nuvem para empresas que utiliza inteligência artificial (IA) e insights humanos (HI) para deter ataques avançados de phishing que contornam as soluções de segurança tradicionais. Sua plataforma premiada e autoaprendizagem detecta e remedia continuamente ameaças avançadas como Comprometimento de E-mail Empresarial (BEC), Tomada de Conta (ATO), personificação de VIPs e muito mais. Como a plataforma de segurança de e-mail mais poderosamente simples, o IRONSCALES ajuda as empresas a reduzir o risco, aumentar a eficiência da equipe de segurança e desenvolver uma cultura de conscientização em cibersegurança. O IRONSCALES tem sede em Atlanta, Georgia, e tem orgulho de atender a mais de 13.000 clientes globalmente.
Por que escolher o IRONSCALES? O IRONSCALES pega o phishing que os outros perdem. Garantimos que suas caixas de entrada estejam seguras e sua equipe livre de preocupações. Diga adeus ao phishing, BEC e ataques de código QR com nossa detecção avançada de ameaças. Nosso AI Adaptativo aprende e evolui automaticamente para manter seus funcionários seguros contra ataques de e-mail. Junte-se aos mais de 20.000 líderes de segurança de TI que combatem ameaças de e-mail de forma mais eficiente, gastando menos de 6 minutos por dia em segurança de e-mail, graças à nossa Automatização SOC. Suas pessoas estarão mais atentas para identificar e-mails arriscados e serão parceiras na segurança com simulações de phishing integradas e treinamento de conscientização em segurança. O IRONSCALES é a única solução de segurança de e-mail do mercado que unifica IA adaptativa e insights humanos para combater o phishing.
Originalmente Postado por Audian Paxson em Ironscales.com/blog
08 de Dezembro de 2023