Na era digital atual, os códigos QR estão perfeitamente integrados no nosso quotidiano, facilitando o acesso rápido a informações, sítios Web e serviços com um simples scan. A sua conveniência, no entanto, não passou despercebida aos cibercriminosos. Uma tendência crescente no panorama das ameaças cibernéticas é a utilização de códigos QR para ataques de phishing, um método conhecido como phishing de código QR ou "quishing".
Este artigo explora as nuances do phishing de código QR, os riscos associados e a forma como as organizações se podem proteger contra esta ameaça crescente.
O que é o Quishing?
O quishing, ou phishing de código QR, envolve a incorporação de URLs maliciosos em códigos QR. Quando os utilizadores lêem estes códigos, são direccionados para sites de phishing concebidos para roubar informações sensíveis, tais como credenciais de início de sessão, dados pessoais e informações financeiras. Ao contrário dos ataques de phishing tradicionais, que dependem de os utilizadores clicarem em ligações maliciosas em e-mails ou mensagens de texto, o quishing tira partido da confiança e curiosidade que os códigos QR podem inspirar.
O Mecanismo de Quishing
O quishing envolve normalmente a incorporação de um URL malicioso num código QR. Quando digitalizado, este código QR redirecciona a vítima para um site de phishing concebido para roubar credenciais, informações pessoais ou instalar malware. A sofisticação destes ataques reside na sua capacidade de contornar as medidas tradicionais de segurança de correio eletrónico, uma vez que os códigos QR não são normalmente analisados como os URLs de texto simples.
Phishing de código QR baseado em correio eletrónico: Os cibercriminosos incorporam frequentemente códigos QR maliciosos em mensagens de correio eletrónico aparentemente legítimas. Estas mensagens de correio eletrónico podem parecer ser de fontes de confiança, como instituições financeiras, fornecedores de serviços ou entidades empresariais. O código QR pode levar o destinatário a digitalizá-lo por vários motivos, como verificar detalhes da conta, aceder a documentos seguros ou participar em inquéritos.
Físico e digital Media: Os códigos QR maliciosos também podem ser encontrados em cartazes, panfletos e outros suportes físicos. Além disso, podem ser distribuídos através das redes sociais, SMS ou outras plataformas digitais, alargando o leque de potenciais vítimas.
Como o phishing com código QR pode afetar as organizações de infra-estruturas críticas
Em maio de 2023, uma campanha de phishing que utilizava códigos QR visava uma importante empresa de energia dos EUA. A campanha visava roubar credenciais Microsoft de utilizadores de vários sectores. Nomeadamente, a empresa de energia recebeu cerca de 29% de mais de 1000 mensagens de correio eletrónico contendo códigos QR maliciosos, tendo sido também visados os sectores da indústria transformadora, seguros, tecnologia e serviços financeiros.
As mensagens de phishing incluíam códigos QR em imagens PNG ou anexos PDF, pedindo aos destinatários que digitalizassem os códigos para verificar as suas contas. Este método contorna as soluções anti-phishing, uma vez que as ligações maliciosas estão ocultas nas imagens QR. A campanha, que se observou ter crescido mais de 2400% desde maio de 2023, sugere que os agentes da ameaça estão a testar a eficácia dos códigos QR. O FBI alertou para este tipo de ataques, recomendando vigilância e verificação cuidadosa dos URLs obtidos a partir de códigos QR digitalizados.
Eis três outras formas de utilizar o phishing com código QR contra organizações de infra-estruturas críticas ou os seus clientes e consumidores:
Objetivo para o sector financeiro
Os clientes de um grande banco recebem mensagens de correio eletrónico com códigos QR que dizem ser para uma nova funcionalidade de segurança. Quando lidos, estes códigos conduzem a um sítio que imita a página de início de sessão do banco, capturando dados da conta e informações pessoais. Este incidente resulta em perdas financeiras significativas e numa reputação manchada para o banco.
Golpe de RH corporativo
Os funcionários de uma empresa multinacional recebem um e-mail que parece ser do departamento de RH, com um código QR ligado a um "inquérito obrigatório". A página do inquérito, no entanto, é um site de phishing concebido para roubar as credenciais dos funcionários. A violação leva ao acesso não autorizado a dados corporativos confidenciais.
Violação de dados no sector da saúde
Os pacientes de um prestador de cuidados de saúde recebem lembretes de consultas com códigos QR. A leitura destes códigos redirecciona-os para uma página de início de sessão falsa do portal do doente, comprometendo registos médicos e informações pessoais de saúde.
O cenário de ameaças crescentes
De acordo com um relatório da InfoSecurity Magazine, tem-se registado um aumento significativo dos ataques de phishing com códigos QR. Só em 2022, 22% dos ataques de phishing envolveram códigos QR. Esse aumento pode ser atribuído ao uso crescente de códigos QR e à relativa facilidade com que eles podem ser explorados. Os cibercriminosos reconhecem que muitos utilizadores não têm consciência dos potenciais perigos associados à leitura de códigos QR, o que os torna um alvo fácil.
O aumento do trabalho remoto e das transacções digitais também contribuiu para o aumento do phishing de códigos QR. Os funcionários que trabalham a partir de casa podem ser mais propensos a digitalizar códigos QR sem o mesmo nível de escrutínio que aplicariam num ambiente de escritório tradicional. Além disso, o aumento das transacções em linha proporciona mais oportunidades para os cibercriminosos distribuírem códigos QR maliciosos.
Eis os três principais factores que contribuem para o aumento do phishing com códigos QR:
O impacto do phishing com código QR
Os ataques de quishing bem sucedidos podem ser graves, afectando tanto os indivíduos como as organizações, resultando em:
- Violações de dados: Acesso não autorizado a informações sensíveis, incluindo dados pessoais, detalhes financeiros e credenciais empresariais.
- Perdas financeiras: Perda monetária direta devido a transacções fraudulentas ou ransomware.
- Danos à reputação: Perda de confiança dos clientes e parceiros, o que pode ter implicações comerciais a longo prazo.
Atenuando os riscos com o Anti-Phishing em tempo real
Dada a natureza sofisticada dos ataques de quishing, as organizações devem adotar estratégias abrangentes para mitigar estes riscos. Uma das formas mais eficazes de combater o phishing de código QR é através de uma solução anti-phishing em tempo real. OPSWATA camada de defesa Real-Time Anti-Phishing da Microsoft pode melhorar significativamente a segurança do correio eletrónico, fornecendo uma proteção robusta contra ataques de phishing utilizando as seguintes tecnologias:
Análise do tempo de clique
Efectua verificações da reputação das ligações utilizando mais de 30 fontes online no momento do clique. Isto garante que, mesmo que um código QR pareça inicialmente seguro, quaisquer alterações subsequentes ao URL ligado são detectadas e bloqueadas.
Digitalização e reescrita de códigos QR
Analisa códigos QR incorporados em e-mails e reescreve quaisquer URLs maliciosos, impedindo que os utilizadores sejam redireccionados para sites de phishing.
Elevada taxa de deteção
Com uma taxa de deteção de 99,98%, esta solução oferece uma proteção sem paralelo contra ataques de spam e phishing. As verificações abrangentes da reputação das ligações e a análise em tempo real reduzem significativamente o risco de ser vítima de esquemas de phishing.
Deteção em várias camadas
Utiliza heurística avançada e algoritmos de aprendizagem automática para identificar e bloquear tentativas de phishing. Esta abordagem em várias camadas garante que mesmo os ataques de phishing mais sofisticados são detectados e neutralizados.
A implementação da solução Anti-Phishing em tempo real da OPSWAToferece vários benefícios, tais como
Segurança reforçada
Ao adicionar uma camada robusta de proteção contra ataques de phishing, as empresas podem salvaguardar as suas informações sensíveis e impedir o acesso não autorizado aos seus sistemas.
Paz de espírito
Os funcionários podem utilizar códigos QR sem receio de serem vítimas de esquemas de phishing, sabendo que quaisquer ligações maliciosas serão detectadas e bloqueadas em tempo real.
Conformidade
Para as empresas de sectores regulamentados, a implementação de soluções anti-phishing avançadas pode ajudar a cumprir os requisitos de conformidade relacionados com a segurança e a privacidade dos dados.
Formação e sensibilização dos trabalhadores
Além disso, recomenda-se vivamente que os funcionários sejam informados sobre os riscos associados aos códigos QR e sobre como reconhecer códigos suspeitos. A formação deve incluir:
Verificação: Incentive os empregados a verificarem a origem dos códigos QR antes de os digitalizarem. Se um código QR for recebido por correio eletrónico ou encontrado num local invulgar, devem verificar novamente a sua legitimidade.
Inspeção do URL: Ensine os funcionários a inspecionar o URL para o qual um código QR os direcciona. Os URLs legítimos devem ser examinados para detetar quaisquer anomalias ou erros ortográficos que possam indicar um site de phishing.
Em resumo
À medida que a utilização de códigos QR continua a aumentar, o mesmo acontece com a ameaça de phishing de códigos QR. Os cibercriminosos estão constantemente a desenvolver as suas tácticas, pelo que é essencial que as empresas se mantenham à frente da curva.
A formação dos funcionários, a implementação de soluções avançadas de segurança de correio eletrónico e a utilização de tecnologias anti-phishing em tempo real são passos cruciais para reduzir o risco de phishing de código QR. Ao tomar estas medidas proactivas, as empresas podem garantir que estão bem equipadas para lidar com o cenário de ameaças em evolução e manter a segurança dos seus activos digitais.
Para ver como as soluções inovadoras da OPSWATpodem manter a sua infraestrutura crítica segura, fale com um especialista hoje mesmo.
