Una nueva campaña de phishing Quishing utiliza códigos QR para engañar a las víctimas para que hagan clic en un enlace malicioso. Así es como se deben capturar los datos de acceso para las aplicaciones en la nube de Microsoft 365.
El phishing es una de las mayores amenazas para la seguridad informática, como ya se sabe. La mayoría de las empresas han tomado medidas para al menos detener la marea de campañas en curso. Como resultado, los atacantes tienen que actualizarse y crear nuevos trucos. Los investigadores de seguridad cibernética de Abnormal Security ahora informan sobre una nueva campaña de phishing. Los ciberdelincuentes usan códigos QR para atraer a sus víctimas a páginas falsas de Microsoft 365 para robar datos de los usuarios. Este procedimiento también se llama quishing.
Quishing, el tipo ligeramente diferente de phishing
El caso actual parece ser el desarrollo posterior de una campaña ya conocida para capturar datos de usuarios para el servicio en la nube de Microsoft 365. En los correos electrónicos originales, se suponía que una URL dirigía a lo que se suponía que era un correo de voz, que debe escuchar después de ingresar sus datos de inicio de sesión. Sin embargo, este enlace pronto fue reconocido como infectado por programas antivirus comunes y bloqueado. Entonces, los delincuentes tuvieron que inventar algo nuevo y reemplazaron el enlace con un código QR. En muchos casos, esto no es reconocido como peligroso por los escáneres de virus comunes, ya que solo ven un archivo de imagen supuestamente inofensivo.
Los correos electrónicos de phishing se envían desde cuentas de correo electrónico que ya están infectadas con malware y son propiedad de empleados reales en empresas reales. Esto le da a la campaña credibilidad adicional. Aún no se ha aclarado por completo cómo exactamente los delincuentes detrás de escena obtuvieron acceso a estas cuentas de correo electrónico.
Objetivo de Quishing: inicios de sesión de Microsoft 365
Si la víctima escanea el código QR y sigue el enlace incluido, se le dirige a una página de inicio de sesión falsa de Microsoft 365 que parece engañosamente real. Allí se le solicita ingresar sus datos de usuario para poder escuchar el buzón de voz anunciado en el e-mail. Si la víctima sigue esta solicitud, sus datos caen en manos de los delincuentes y luego pueden usarse para propagar ransomware u otros programas maliciosos. Cada vez más, los datos capturados simplemente se venden a otros delincuentes, lo que a menudo dificulta aún más la identificación de los verdaderos ladrones de datos.
A primera vista, el desvío a través de un código QR parece innecesariamente complejo. Después de todo, la víctima generalmente necesita un segundo dispositivo con el que pueda escanear el código QR antes de poder acceder al sitio comprometido e ingresar sus datos. Pero para los delincuentes, este enfoque ofrece la ventaja de que es mucho menos probable que sean rastreados por el software de seguridad. Entonces, mientras la víctima no se dé cuenta de que el correo electrónico proviene de una cuenta de correo electrónico secuestrada, muchos deberían sentirse seguros. Por otro lado, la activación de la autenticación multifactor ofrece una protección muy fiable contra el quishing. Esto significa que los delincuentes aún no han podido acceder a la cuenta, a pesar de los datos de acceso que han robado.
Acerca de 8com El Centro de Ciberdefensa de 8com protege eficazmente las infraestructuras digitales de los clientes de 8com contra los ataques cibernéticos. Incluye gestión de eventos e información de seguridad (SIEM), gestión de vulnerabilidades y pruebas de penetración profesionales. Además, ofrece el desarrollo e integración de un Sistema de Gestión de Seguridad de la Información (SGSI) incluyendo la certificación según estándares comunes. Medidas de sensibilización, formación en seguridad y gestión de respuesta a incidentes completan la oferta.