Threat Spotlight: A evolução do uso de códigos QR em ataques de phishing

PRINCIPAIS CONCLUSÕES

• Os investigadores de inteligência de ameaças da Barracuda detetaram mais de meio milhão de e-mails de phishing com códigos de resposta rápida (QR) incorporados em documentos PDF.
• Os códigos QR que conduzem a sites de phishing estão agora a ser incluídos em documentos PDF e anexados aos emails — em vez de serem incluídos nos próprios emails.
• Os ataques são concebidos para capturar credenciais de login para compromisso.
  

COMPREENDER A AMEAÇA

Phishing de código QR, também conhecido como quishing, é um tipo de ataque de engenharia social. Os cibercriminosos tentam enganar as vítimas para usarem a câmara do seu telemóvel para digitalizar um código QR que direciona para um site malicioso para roubar informações sensíveis, como credenciais de login ou dados financeiros.

Os criminosos cibernéticos estão a evoluir as formas como usam códigos QR para realizar ataques. No período de três meses de meados de junho a meados de setembro, os investigadores da Barracuda identificaram e analisaram mais de meio milhão de e-mails de phishing com códigos QR incorporados em documentos PDF. Os PDFs são anexados a e-mails de phishing que usam imitação de marca e urgência para motivar potenciais vítimas a responder. Esta é uma mudança notável nas táticas: No passado, os códigos QR eram tradicionalmente incluídos no corpo dos e-mails de phishing.

Ataques de quishing em números

Num período de três meses, os investigadores da Barracuda identificaram e analisaram mais de meio milhão de e-mails de phishing com códigos QR incorporados em documentos PDF.

Na maioria das amostras de ataque analisadas pelos investigadores da Barracuda, os golpistas imitam empresas conhecidas. A Microsoft, incluindo SharePoint e OneDrive, é imitada em mais de metade (51%) de todos os ataques, seguida pela DocuSign (31%) e Adobe (15%). Num pequeno número de ataques, os golpistas imitam o departamento de recursos humanos da empresa da vítima pretendida.

Nesses ataques, criminosos cibernéticos enviam e-mails de phishing e anexam um documento PDF simples de uma ou duas páginas que inclui um código QR. Nenhum outro link externo ou ficheiro incorporado está incluído no PDF. Os destinatários são orientados a escanear o código QR com a câmara do seu telemóvel, para que possam visualizar um ficheiro, assinar um documento ou ouvir uma mensagem de voz. Se o fizerem, são levados a um site de phishing projetado para capturar as suas credenciais de login.

Marcas a ser imitadas

Golpistas imitam marcas conhecidas e utilizam táticas de engenharia social para enganar vítimas.

O quishing apresenta alguns desafios de segurança únicos para as empresas. Os filtros de e-mail tradicionais têm dificuldade em detetar estes ataques porque não há links diretos ou anexos suspeitos para analisar. Além disso, o quishing envolve frequentemente múltiplos dispositivos: os colaboradores recebem o e-mail de phishing num dispositivo, mas digitalizam o código QR usando um dispositivo diferente, como um telemóvel pessoal que pode não ter o mesmo nível de proteção de segurança que os sistemas corporativos. Como resultado, estes ataques podem contornar as defesas corporativas, tornando-os difíceis de rastrear ou prevenir.

Certos setores — como finanças, saúde e educação — estão a ser cada vez mais alvo de ataques de quishing devido aos dados sensíveis que manejam. As pequenas e médias empresas (PMEs) são especialmente vulneráveis, pois frequentemente carecem das ferramentas de segurança avançadas necessárias para se protegerem contra estas táticas de phishing sofisticadas. A mudança de táticas, de incorporar códigos QR no corpo de um e-mail para anexá-los em documentos PDF, torna mais difícil para as defesas tradicionais identificar e bloquear estes ataques antes que cheguem aos funcionários.

EXEMPLOS DE E-MAILS DE QUISHING

Este e-mail de phishing que imita a Adobe informa os destinatários para digitalizar o código QR num documento PDF anexado para rever um documento de “Revisão de Benefícios dos Funcionários & Ajuste Salarial”.

DEFENDER O SEU NEGÓCIO DE ATAQUES

Aqui estão várias formas de se defender contra quishing:

Implementar segurança de e-mail com várias camadas
Colocar filtros robustos de spam e malware em prática e garantir que estão corretamente configurados para bloquear mensagens de phishing de forma eficaz. As equipas de TI precisam ainda de realizar uma verificação de saúde nas definições do gateway de e-mail regularmente para garantir um desempenho ideal.

Utilize IA e outras tecnologias avançadas
Os golpistas estão a adaptar as suas táticas para contornar gateways e filtros de spam, por isso é crucial ter uma solução que detete e proteja contra ataques de phishing direcionados. Complemente os seus gateways com tecnologia de segurança de e-mail em nuvem baseada em IA que não depende apenas da procura de links e anexos maliciosos.

Educar os utilizadores
Certifique-se de que a sua formação de sensibilização sobre segurança ensina os funcionários sobre quishing e os riscos de digitalizar códigos QR de fontes desconhecidas ou duvidosas. Assegure-se de que os funcionários conseguem reconhecer estes ataques, compreender a sua natureza fraudulenta e saber como reportá-los.

Ativar a autenticação multifator (MFA)
Fornecer uma camada adicional de segurança além do nome de utilizador e da palavra-passe e reduzir os impactos potenciais do comprometimento de credenciais utilizando MFA para proteger o acesso às contas de utilizador.

RECURSOS RELACIONADOS

[Relatório] Principais Ameaças e Tendências de Email ~ Junho 2024
https://www.barracuda.com/reports/email-threats-and-trends-1

[Post de blog] Quishing: O que precisa saber sobre ataques de e-mail com código QR
https://blog.barracuda.com/2023/10/05/quishing-what-you-need-to-know-about-QR-code-email-attacks

[Publicação no Blog] Técnicas de phishing inovadoras para evadir a deteção: códigos QR baseados em ASCII e URIs 'Blob'
https://blog.barracuda.com/2024/10/09/novel-phishing-techniques-ascii-based-qr-codes-blob-uri