Seguridad | Blog BANPAÍS Honduras

QUISHING - Phishing por medio de código QR

Escrito por Banpaís | Aug 27, 2024 10:15:59 PM

Los códigos QR ya están por todas partes, para ir a ver el menú de tu restaurante favorito, descargar una app en tu celular, en boletos de entrada para eventos o partidos de fútbol, también se utilizan en publicidad para redirigir a sitios web u ofertas.

Que fácil es utilizar los códigos QR, ¿verdad? Simplemente lo escaneas y abres el enlace que te muestra.

Pero detengámonos por un momento: 

Existe un gran riesgo al abrir el enlace cuando escaneas un código QR.

Debido a que los ciberdelincuentes los utilizan como una forma de ataque de phishing para engañar y robar información. A esto se le llama QUISHING.

Los ciberdelincuentes pueden:

  • Hacerse pasar por empresas reconocidas.
  • Utilizar publicidad engañosa.
  • Sobreponer sus códigos QR en establecimientos públicos.

Veamos unos ejemplos:

 

Redireccionamiento a Sitios de Phishing

Los atacantes pueden crear códigos QR que, al escanearse, redirigen a las víctimas a sitios web falsos diseñados para parecerse a páginas legítimas, como bancos o redes sociales, donde se solicita ingresar credenciales de inicio de sesión.

 

Descarga de Malware:

Un código QR puede llevar a las víctimas a sitios que inician la descarga automática de malware en sus dispositivos, infectándolos con un software malicioso que roba datos o controla el dispositivo.

 

Suplantación de Identidad:

Los ciberdelincuentes pueden colocar códigos QR en lugares públicos que prometen ofrecer acceso a redes Wi-Fi gratuitas. Al escanearlo, la víctima es dirigida a un formulario que solicita información personal, como números de tarjetas de crédito o contraseñas.

 

Manipulación de Pagos:

En un entorno de pago móvil, un código QR malicioso puede ser colocado sobre uno legítimo en un establecimiento comercial. Cuando los clientes escanean el código, el pago se dirige a la cuenta del atacante en lugar de al vendedor auténtico.

 

Ataques de Ingeniería Social:

Los atacantes suelen acompañar el código QR con mensajes persuasivos o urgentes para incentivar a las personas a escanear el código, como ofertas especiales, promociones, encuestas y estos pueden ser por medio de correo electrónico, mensajes de WhatsApp, entre otros.

 

Manipulación de contactos:

El usuario puede ser dirigido a agregar automáticamente un contacto falso con la esperanza de que posteriormente lo utilice, permitiendo a los atacantes acceder a más información o realizar ataques de vishing (phishing por voz).

 

Los códigos QR seguirán siendo parte de nuestras vidas, entonces ¿Cómo podemos evitar ser víctimas de QUISHING?

  Verifica la fuente del código QR:

 - Revisa que sea de fuentes que conoces y confías, como tiendas, restaurantes o empresas verídicas.

 - Asegúrate que no haya sido alterado, como por ejemplo pegado sobre otro, especialmente en lugares públicos.

    Revisa el enlace antes de abrirlo:

    - Usa Aplicaciones de Seguridad: Algunas apps ofrecen una vista previa de la URL antes de abrirla. 

    - Analiza la URL: Antes de interactuar con el enlace, verifica que la dirección web sea legítima, revisa la ortografía, dominios extraños, o URL  acortadas que podrían ser sospechosas.

Protege tu información personal:

   - No proporciones datos sensibles: Nunca ingreses información personal o financiera después de escanear un código QR a menos
      que estés absolutamente seguro de la autenticidad del sitio web.

  - Usa autenticación en dos factores: Implementa autenticación en dos factores siempre que sea posible para añadir una capa  adicional de seguridad a tus cuentas.


 

Y Recuerda:

¡Un simple escaneo puede comprometer tu seguridad! Antes de escanear un código QR, verifica su fuente.

¡Para evitar ser víctima, mantente siempre atento!