Quishing: Mais um recurso para a engenharia social

Quem já não ouvir a famosa frase “A curiosidade matou o gato” ?

 Velho ditado popular usado para alertar uma pessoa de que um mal pode ocorrer se ela for muito curiosa. E ser humano curioso é que não falta. Prova disso é o sucesso das redes sociais até hoje. A propósito, o engenheiro social nunca foi tão bem abastecido de recursos para facilitar cada vez mais sua vida.

A forma original do ditado, hoje pouco usada, era "A preocupação matou o gato". No caso, a "preocupação" era no sentido de ficar preocupado/aflito mesmo, o que na verdade faz com que muita gente venha acessar vários dos inúmeros tipos de recursos virtuais para apaziguar sua “preocupação”. E uma outra continuação pouco conhecida para "a curiosidade matou o gato" é "mas a satisfação ressuscitou", no sentido de que a satisfação em descobrir a verdade compensa os problemas decorridos de ser curioso. A parte da ressurreição talvez se refira às várias vidas dos gatos. O problema é que o ser humano tem somente uma vida aqui na Terra para ser curioso, preocupado, ficar satisfeito. E isso não é ruim. Porém alguns cuidados neste mundo cada vez mais virtual são necessários para evitar transtornos ou até prejuízos.

Bom, curiosidades à parte vale ressaltar que é de conhecimento natural as inúmeras armadilhas, golpes, fraudes, que estamos sujeitos a cair, só de estarmos literalmente on-line. Neste contexto, além das redes sociais, o uso dos dispositivos mobile, ganham força para ajudar nas empreitadas da engenharia social. Por isso, as empresas já perceberam a necessidade constante de realizar periodicamente campanhas de phishing, orientando sobre os problemas de comprometer os aparelhos móveis pessoais dos colaboradores, para ampliar o alcance sobre acessos corporativos. Por isso, mais do que nunca, a necessidade de conscientização do usuário e formas de repensar melhores estratégias para políticas de BYOD.

Justamente utilizando dispositivos mobile é onde conseguimos por exemplo usufruir dos recursos de QR code, que são muito úteis, diga-se de passagem, porém agora também uma “arma” à favor das ações maliciosas. “Há uma variedade de motivos que levaram a esse aumento das campanhas de phishing por QR Code. A mais importante é que os aparelhos móveis usados para escanear esses códigos frequentemente estão fora da fronteira de proteção da companhia. Portanto, uma vez comprometidos, qualquer credencial ou informação crítica contida neles é exposta também”, explicou o Head de Outreach da Cisco Talos, NickBiasini.

Com isso, este tipo de ataque chamado de Phishing de código QR, ou Quishing , é um ataque de phishing de engenharia social que engana intencionalmente o destinatário, fazendo-o digitalizar um código QR, redirecionando a pessoa para um site falso. Na maioria das vezes enviadas incorporadas em um e-mail, essas imagens de código contornam os controles de segurança e a maioria dos filtros de links, tornando-as muito mais perigosas do que a maioria das outras formas de phishing .

O que não falta é criatividade para utilizar o bom e velho QR Code. Tanto para campanhas publicitárias quanto para fins ilícitos para cair nas ciladas preparadas pelos mal-intencionados que sabem que a demanda de curiosos incautos é gigante.

Durante o Super Bowl de 2022, a empresa de criptografia Coinbase desenvolveu um anúncio altamente inovador que mostrava um código QR saltando na tela. Os usuários que digitalizaram este anúncio foram levados a baixar o aplicativo e, por sua vez, receberam US$ 15 em Bitcoin. Embora o anúncio certamente tenha funcionado bem para a Coinbase, aumentando as instalações de aplicativos em 309 por cento , causou agitação na comunidade de segurança cibernética, onde mais uma vez os especialistas expressaram preocupação com a facilidade com que códigos QR desconhecidos estavam sendo digitalizados. A preocupação certamente era justificada, pois algumas semanas antes, notícias de golpes de Crypto QR estavam circulando. Os golpistas usaram códigos para forçar as vítimas a sacar dinheiro de contas de aposentadoria ou de investimento usando caixas eletrônicos físicos de criptomoeda juntamente com códigos QR. 

A divulgação pode até ser legitima, contudo, desconfiar é preciso. E as vezes nem acessar até se certificar de fato. “Através dos QR Codes, os agentes hostis podem entregar outros tipos de conteúdos maliciosos, direcionando a malwares infostealers ou mesmo para páginas falsas de login, para o usuário entregar esses dados sem perceber. Todavia, as campanhas se baseiam nos mesmos métodos de engenharia social que já eram usados nos golpes tradicionais de phishing, abrindo mais um flanco nos processos de Security Awareness”.

·         Os códigos QR estáticos são usados quando não se espera que as informações codificadas sejam alteradas. Uma vez geradas, as informações não podem ser atualizadas ou modificadas. Esse tipo de código QR é frequentemente usado para tarefas simples, como compartilhar o endereço de um site, informações de contato ou uma senha de Wi-Fi.

·         Os códigos QR dinâmicos , por outro lado, oferecem mais flexibilidade, pois os dados que armazenam podem ser atualizados ou alterados sem alterar a aparência do código. Esses códigos contêm uma URL exclusiva, que aponta para um servidor onde as informações são armazenadas. Ao ser escaneado, o código QR dinâmico redireciona o usuário para a URL, permitindo-lhe acessar as informações mais atuais. Isso torna os códigos QR dinâmicos ideais para situações em que o conteúdo precisa ser atualizado com frequência, como detalhes de eventos, ofertas promocionais ou rastreamento de inventário em tempo real, mas também oferece uma excelente oportunidade para os golpistas manipularem códigos QR legítimos, alterando sua fonte. para um malicioso.

Implicações financeiras corporativas

O objetivo final mais comum de acabar com golpes é a aquisição ilícita de dinheiro. Um estudo conduzido pela Ponemon em 2021 concluiu que grandes organizações sofreram mais de US$ 15 milhões em perdas relacionadas a phishing, o que equivale a aproximadamente US$ 1.500 por funcionário.

O montante das perdas financeiras também está aumentando. As perdas financeiras diretas decorrentes de ataques de phishing aumentaram 76%, de acordo com o relatório “2023 State of the Phish” da Proofpoint .

Maneiras de se proteger contra quishing

Os ataques de Quishing têm muito em comum com os ataques de phishing tradicionais, e é por isso que a maioria das recomendações gerais para evitar phishing também o ajudará a detectar o quishing, desde a verificação cuidadosa do endereço do remetente e a detecção de erros ortográficos ou saudações impessoais até a visualização dos links antes de clicar. e evite baixar quaisquer anexos suspeitos. No entanto, o Quishing explora vulnerabilidades específicas contra as quais você pode se proteger seguindo estas recomendações:

·         Verifique a fonte do QR: Evite ler códigos QR de estranhos, especialmente se eles oferecerem ofertas ou descontos irresistíveis. Se a mensagem ou e-mail vier de uma fonte oficial ou de um colega, verifique com eles a autenticidade da correspondência ou visite o site oficial.

·         Use um leitor de código QR confiável : a maioria dos smartphones permite que você escaneie códigos QR com a leitura integrada na câmera ou com o Google Lens, mas se você decidir baixar um aplicativo de terceiros, certifique-se de que ele seja confiável. Os cibercriminosos usaram atualizações fraudulentas para aplicativos de digitalização QR para infectar usuários com malware no passado. 

·         Visualize o URL de destino : se o seu aplicativo de digitalização tiver esse recurso, verifique o link para onde o código QR o leva antes de acessá-lo. Isso irá protegê-lo contra códigos QR que baixam automaticamente malware em seu dispositivo ao digitalizá-los.

·         Tenha cuidado com as informações que você fornece após escanear um QR: quando for solicitado um link solicitando informações ou dados pessoais, verifique o logotipo e o URL completo da página em que você está antes de inserir qualquer coisa. Se possível, digite o URL original no seu navegador em vez de inserir informações confidenciais por meio de um link ou código QR. 

·         Habilite a autenticação de dois fatores : essa camada extra de proteção funciona exatamente como no phishing tradicional. Caso suas informações estejam nas mãos de um cibercriminoso, ele não conseguirá acessar suas contas, a menos que você aceite a segunda forma de autenticação. Isso também significa que você deve evitar aceitar notificações em seu telefone se não tiver tentado acessar sua conta, mesmo que receba centenas delas. Este é um sinal claro de que hackers obtiveram suas credenciais e estão tentando acessar sua conta

·         Mantenha-se atualizado com treinamentos regulares de conscientização sobre segurança : Estar dois passos à frente de um cibercriminoso significa aprender como eles agem e o que fazer quando se deparam com uma situação de ataque em potencial.

O fato é que hoje não é apenas persuadir por intermédio de links, e-mails, anexos, mas agora também utilizando o recurso de QR Code, sendo assim um novo vetor de ataque, as vezes não tão conhecido pelo público, mas tão perigoso quanto os outros ataques já existentes. Por isso, a importância de campanhas, workshops, treinamentos, capacitações atualizadas com este assunto dentro das empresas sobretudo, para mitigar eventuais riscos.