Qrishing: o que é o phishing por QR e como simulá-lo na tua organização

Un código QR luminoso con una esquina despegada que deja ver un patrón de alerta debajo, mientras un teléfono lo escanea desde abajo
Nicolás Bruna Blog Sem comentários

Qrishing: o que é o phishing por QR e como simulá-lo na tua organização

Há um cartaz com um código QR colado por cima de outro. À primeira vista não se nota, o autocolante novo tapa o original e leva para outro lado. Quem o digitaliza pensa que está a pagar o estacionamento ou a abrir o menu do restaurante, mas acabou de entregar os seus dados numa página falsa.

Isto é qrishing, também escrito quishing, e é um dos vetores que mais cresceu no último ano. A parte incómoda para a equipa de segurança é que quase tudo o que está montado para travar o phishing por email não o vê chegar.

O que é o qrishing?

O qrishing é uma variante de phishing que usa um código QR como isco. Em vez de uma ligação em texto, o atacante esconde o URL malicioso dentro de um QR para que a pessoa o digitalize e acabe numa página fraudulenta.

O nome nasce da junção de QR e phishing, e vais encontrá-lo escrito das duas formas, qrishing e quishing, consoante a fonte. O objetivo é o do costume (roubar credenciais, dados de pagamento ou levar a instalar algo no dispositivo), mas muda o invólucro, e essa mudança é precisamente o que o torna eficaz.

Como funciona um ataque de qrishing?

O esquema é simples, e é por isso que funciona.

O atacante gera um código QR falso que aponta para uma página sob o seu controlo, uma cópia do portal de acesso de um banco, do email corporativo ou de uma plataforma de pagamentos. Depois coloca-o onde as pessoas baixam a guarda: colado por cima de um QR legítimo num espaço público, dentro de um email ou PDF com aspeto oficial, ou impresso numa carta que aparenta vir de um fornecedor.

A pessoa digitaliza, chega à página falsa, escreve as suas credenciais e entrega-as ao atacante sem dar conta. Como o QR abre quase sempre no telemóvel, o salto do ambiente corporativo para o dispositivo pessoal é imediato.

Porque é que escapa aos filtros tradicionais?

Aqui está o ponto que mais preocupa. Um filtro de email analisa ligações e anexos, mas um código QR viaja como imagem. Para o filtro é um quadrado de píxeis, não um endereço que possa verificar contra listas de reputação.

E há um segundo problema. O QR é quase sempre digitalizado com o telemóvel pessoal, fora da rede corporativa e dos seus controlos. A equipa de segurança perde visibilidade precisamente no momento da digitalização. É a mesma lacuna que abordamos em o que o teu SIEM não vê, onde o comportamento da pessoa acontece num sítio que as ferramentas tradicionais não alcançam.

Por isso bloquear não chega. Se a defesa depender de um sistema que intercete o ataque, o qrishing passa por baixo.

Como se simula o qrishing?

A forma de saber quão exposta está a tua organização é provocar um ataque controlado antes de chegar o real. Uma simulação de qrishing reproduz o cenário num ambiente seguro e mede o que acontece.

Na prática, a campanha inclui um código QR que leva a uma página de destino própria e inofensiva, em vez de um site fraudulento. Quando alguém o digitaliza não entrega nada; apenas fica registado que digitalizou, e esse dado alimenta o indicador de risco dessa pessoa. Com isso, a organização sabe onde reforçar.

O que distingue uma boa simulação está em como é desenhada, algo que desenvolvemos em como se desenha uma campanha de simulação que muda o comportamento. O QR é mais um canal dentro dessa lógica, não um truque isolado.

Como se forma as pessoas contra o qrishing?

A tecnologia ajuda, mas perante o qrishing a última decisão é sempre tomada por uma pessoa com o telemóvel na mão. Vale a pena trabalhar três reflexos:

  • Desconfiar de qualquer QR não solicitado, sobretudo se chega por email ou aparece colado num local público.
  • Pré-visualizar o URL antes de o abrir. A maioria dos telemóveis mostra o endereço ao apontar a câmara, e é aí que saltam à vista os domínios estranhos.
  • Verificar por outro canal quando um QR pede credenciais ou um pagamento. Um telefonema ou entrar manualmente no site oficial tira a dúvida.

Estes hábitos não se instalam com uma única sessão. Constroem-se com prática e repetição, que é o sentido de um programa de sensibilização sustentado no tempo.

A resposta curta

O que é o qrishing? Phishing que esconde a armadilha dentro de um código QR para contornar os filtros de email e saltar para o telemóvel da pessoa. Como se combate? Medindo-o com simulações controladas e treinando os reflexos de quem digitaliza, porque o resultado joga-se aí, na pessoa, mais do que no filtro.

Se queres ver como se montam estas campanhas dentro de um programa de sensibilização, na SMARTFENSE trabalhamo-las como parte das nossas ferramentas de simulação de phishing.

Share:

Share on LinkedIn Share on Pinterest Share on WhatsApp
Post Tags :
Prev Post

Next Post

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deixe um comentário

Pesquisa

Publicações recentes

Nuvem de etiquetas

cibersegurança ciso compliance conteúdos formação e sensibilização hardening do utilizador mudança de comportamento phishing plataforma responsável de segurança riesgo humano sensibilização simulación smartfense whitelist

Blogue espanhol

No blogue espanhol, temos centenas de publicações para ler

Ir para o blogue espanhol