Que é o quishing e como o evitar?

Os experientes em ciberseguridad da empresa Check Point têm detectado um aumento nos ataques de phishing com códigos QR. Mais especificamente, no final de maio de 2024 detectaram mais de 600 correios electrónicos que seguiam este padrão.

Ademais, os pesquisadores de Harmony E-mail têm descoberto uma nova campanha na que o código QR não está numa imagem, sina que se cria mediante HTML e caracteres ASCII. Um novo ciberataque que têm denominado 'quishing'.

Que é o quishing?

Os ataques de quishing diferenciam-se dos ataques de phishing tradicionais na forma em que se formata o enlace num correio electrónico. Em lugar de um enlace baseado em texto, o lugar site malicioso assinala-se mediante um código QR. Assim, quando um utente escanea o código QR, seu dispositivo pode extrair o enlace indicado e levar ao utente a essa URL.

Começaram com solicitações de autenticação MFA regular e posteriormente evoluíram para o ataque de routing e objectivos personalizados. "Agora estamos a ver uma nova tendência para a manipulação de códigos QR", expõem desde Check Point.

O phishing de código QR

Os ciberdelincuentes estão a inserir pequenos fragmentos de código no HTML. A simples vista, num e-mail, isto poderia parecer um código QR regular, mas para um OCR não se detecta nenhuma informação relevante. Existem plataformas on-line que facilitam aos ciberdelincuentes a geração automática destes códigos maliciosos, os quais podem ser configurados para incluir enlaces daninhos.

Em muitos casos de ataques de phishing com códigos QR, o correio electrónico pretende ser uma solicitação de autenticação. No entanto, a presença de caracteres ASCII no código QR pode levar aos sistemas de segurança a passar por alto o risco, interpretando erroneamente o e-mail como seguro.

A evolução do quishing

Todas as formas de ataque evoluem e o phishing de código QR não é diferente. No entanto, é único que a evolução se tenha produzido tão rapidamente.

1. Começou com códigos de verificação MFA regular: eram bastante singelos e pediam aos utentes que escanearan um código, já fosse para restabelecer a MFA ou inclusive para consultar dados financeiros.
2. A segunda variante, QR Code Phishing 2.0, eram ataques de routing. O enlace procura onde está a interatuar o utente com ele e se ajusta. Se o internauta está num Mac, aparece um enlace, se pelo contrário conta com um telefone Android, aparece outro. Também se detectaram campanhas de códigos QR personalizados, nas que os ciberdelincuentes introduzem o logotipo da empresa e o nome de utente correcto de forma dinâmica.
3. Agora estamos a ver o Código QR 3.0, que é a representação de um baseada em texto. Isto faz que seja extremamente difícil para os sistemas OCR o ver e o detectar.

Como evitar os ataques de quishing?

Para proteger em frente a estas ameaças, as empresas e profissionais da segurança devem tomar as seguintes medidas:

• Implantar uma segurança que descodifique automaticamente os códigos QR incorporados nos correios electrónicos e analise as URL em procura de conteúdo malicioso.
• Utilizar segurança que reescriba o código QR incorporado no corpo do e-mail e o substitua por um enlace seguro e reescrito.
• Implementar segurança que utilize IA avançada para procurar múltiplas indicadores de phishing.