Hoje em dia, os códigos QR tornaram-se uma forma popular de os usuários acessarem informações rápidas sobre um produto ou serviço, eliminando a necessidade de pesquisas manuais. No entanto, aproveitando essa conveniência e as políticas de segurança relaxadas em clientes de e-mail, os invasores têm supostamente começou a usar códigos QR em campanhas de phishing generalizadas e visando as principais instituições dos EUA.
De acordo com a Cofense, entre os 1.000 e-mails associados à campanha de phishing, impressionantes 29% foram direcionados a uma única grande empresa de energia dos EUA, enquanto os outros visavam uma ampla gama de setores, incluindo manufatura (15%), seguros (9%) , tecnologia (7%) e serviços financeiros (6%).
Por que usar códigos QR?
Embora plataformas de e-mail como Gmail e Outlook tenham implementado protocolos de segurança robustos para proteger os usuários contra ataques comuns de phishing, os códigos QR, geralmente apresentados como arquivos de imagem como .PNG ou .JPG, fornecem aos agentes de ameaças um meio de contornar as medidas de segurança convencionais. Além disso, para evitar a detecção, esses e-mails empregam codificação base64 para links de phishing, com códigos QR utilizando redirecionamentos por meio de plataformas como Bing, Salesforce e serviços Web3 da Cloudflare.
“O que é importante notar é que, além de se esconder em códigos QR, as ameaças estão abusando de um domínio confiável para realizar ataques. Abusar de domínios confiáveis, usando táticas de ofuscação, juntamente com a ocultação de URLs dentro de códigos QR incorporados em um anexo PNG ou PDF, ajuda a garantir que os e-mails contornem a segurança e cheguem às caixas de entrada”, diz o relatório.
O modus operandi da campanha envolve o envio de um e-mail de phishing que insta os destinatários a atualizar rapidamente suas configurações de conta do Microsoft 365, digitalizando um código QR, supostamente para verificação da conta. Além disso, os agentes de ameaças manipulam os destinatários impondo um prazo de três dias para atualizar suas configurações de conta, aproveitando um gatilho psicológico comum.
Qual é a solução?
Dada a eficácia dos códigos QR em evitar a detecção de segurança, empresas como Google e Microsoft precisarão desenvolver novas formas de escanear códigos QR em busca de links de phishing. Além disso, a Cofense recomenda treinamento abrangente de funcionários para reconhecer sinais de tentativas de phishing, incluindo e-mails que pressionam ações imediatas e páginas de destino que divergem dos designs oficiais.