Simulaciones de ataques de QRishing

Galería de contenidos de simulación de QRishing

Acerca de los contenidos de Simulación de QRishing

Conocer más
GIF que representa un clic en un enlace de simulación de Phishing con la consiguiente apertura de un Momento Educativo
Usuario reportando un correo de Phishing utilizando el botón de reporte de phishing de SMARTFENSE
Detalle de campaña de una campaña de simulación de QRishing
Reporte sobre la evolución de comportamientos en el tiempo en simulaciones de QRishing
Representación del scoring de riesgo en SMARTFENSE
Direct Message Injection
Advertencia en el detalle de una campaña acerca de falsos positivos detectados
Interfaz de creación de una campaña de simulación de QRishing de prueba en SMARTFENSE
Detalle de campaña de una agrupación de campañas de phishing
  • Tipo de envío secuencial y aleatorio, a la totalidad de usuarios o a una muestra
  • Ingreso de credenciales activado o desactivado en la página de QRishing simulado
  • Nombre de host y dominio personalizado en las URL de QRishing
  • Contenido de las cabeceras FROM y Reply-to de los correos
  • Detección automática de DKIM, SPF y DMARC en los dominios suplantados
  • Tipo de archivo descargado desde código QR: ZIP, EXE, PDF, DOC, PPT, XLS, etc.
Dominio personalizado para una simulación de phishing
¿Qué es el QRishing?

Todos los informes de ciberseguridad coinciden en que la Ingeniería Social es la puerta de entrada de la gran mayoría de ciberataques.

El QRishing es una técnica más de Ingeniería Social, que nace como variante del Phishing. Mientras que un Phishing clásico posee uno o más enlaces maliciosos en el cuerpo del correo, en un QRishing los enlaces están codificados en forma de códigos QR. 

Estos códigos QR maliciosos, al ser escaneados con un dispositivo móvil, redirigen a la víctima a sitios web falsos o descargan malware en el dispositivo.

El uso de códigos QR presenta dos ventajas clave para los ciberdelincuentes.

Por un lado, permite que los mensajes pasen con éxito algunos filtros de ciberseguridad, ya que muchas herramientas de ciberseguridad no están preparadas para escanear códigos QR. Por ende, no pueden detectar la presencia de enlaces maliciosos dentro de ellos.

Por otro lado, otra ventaja de las trampas de QRishing es que usualmente las personas no acostumbran a revisar la URL a la cual los dirige un código QR, o bien su dispositivo no se los permite. Esto hace que este tipo de engaños sean muy efectivos.

Por lo general las organizaciones implementan barreras tecnológicas para frenar el QRishing antes de que sea recibido por los usuarios.

De todas maneras, estas herramientas no son infalibles, y muchos correos de QRishing terminan alcanzando la bandeja de entrada de los usuarios.

Por otro lado, los códigos QR son cada vez más comunes en diversos contextos (pagos móviles, campañas de marketing, etc.), por lo que los usuarios están expuestos tanto dentro como fuera del entorno corporativo.

En ese punto, si los usuarios no saben reconocer un engaño, es muy probable que el ataque termine siendo exitoso.

Simular ataques de QRishing es una manera eficaz de entrenar a los empleados para identificar y evitar este tipo de amenazas. Es importante que los usuarios estén conscientes de los riesgos asociados con escanear códigos de fuentes desconocidas. 

Las simulaciones de QRishing permiten medir cómo reaccionan las personas ante códigos QR sospechosos en un entorno seguro, identificar los usuarios y áreas de mayor riesgo y mejorar la cultura de ciberseguridad. 

Las simulaciones son una forma proactiva de reducir el riesgo de que un verdadero ataque tenga éxito.

Una ventaja extra de las simulaciones tiene que ver con la reacción ante el riesgo. Los usuarios concienciados pueden reportar los correos de QRishing recibidos y permitir que el equipo de respuesta a incidentes actúe rápidamente para disminuir el impacto de los ataques reales.

Para gestionar un riesgo primero hay que medirlo. El nivel de exposición de la organización frente a un ataque de QRishing se mide a través de simulaciones.

A la primera medición que se realiza sobre la organización se le suele llamar “Línea base”. Esta línea base representa el nivel de riesgo actual de la organización y a partir de allí se pueden plantear objetivos y metas para llevar ese nivel de riesgo a uno aceptable.

La línea base no se mide con una simulación de QRishing única y aislada. Lo más aconsejable es tomar un período y lanzar múltiples simulaciones que varíen en los usuarios destinatarios, días y horarios de envío, escenarios de simulación utilizados, etc.

Para llevar el nivel de riesgo actual a uno aceptable deben realizarse acciones de concienciación. Estas acciones idealmente deben ser continuas y combinarse con nuevas tandas de simulación que permitan conocer si los objetivos y metas propuestos se están logrando.

Una vez que se alcanzó el nivel de riesgo aceptable, las acciones de concienciación y simulación deben mantenerse en forma continua a lo largo del tiempo. Esto permite que el nivel de riesgo se mantenga estable en el nivel deseado.

Cada simulación de QRishing que se envía está sesgada por numerosos factores, entre los cuales se incluyen:

  • El nivel de interés que el usuario tenga en el asunto del correo electrónico, el remitente y el contenido del mensaje recibido.
  • Las técnicas de persuasión utilizadas en la trampa (las cuales son muy diversas). No todas pueden estar presentes en un solo correo y pueden tener distintos impactos en cada persona. Cada usuario es más o menos susceptible a la técnica empleada, lo que influye en si cae o no en la simulación.
  • La cantidad de correos pendientes que tiene el usuario, además del correo relacionado con la simulación.
  • La carga de trabajo del usuario, como si está en un día lleno de actividades o si es un día más tranquilo, o si está de vacaciones o en un viaje de trabajo, por citar algunos ejemplos.
  • El dispositivo que el usuario utiliza para revisar su correo electrónico, ya sea un ordenador o un dispositivo móvil.
  • La situación personal de cada usuario, que puede incluir su situación económica, sentimental, estado emocional, entre otros.
  • La conformidad y satisfacción del usuario con la organización donde trabaja.
  • El nivel de atención y conciencia del usuario.
  • El grado de interacción que el usuario tenga con sus compañeros de trabajo.
  • La posibilidad de que la campaña sea detectada por alguna herramienta tecnológica y, en algún momento de su ciclo de vida, empiece a mostrar algún tipo de advertencia a los usuarios.
  • Y otros factores adicionales.

 

Por todos estos motivos (y más) debemos pensar en las simulaciones de QRishing por período más que por campaña. Lo mejor que podemos hacer es lanzar múltiples simulaciones de QRishing en un mes y luego agruparlas para ver sus resultados como una única evaluación.

Cada campaña de QRishing del período debe variar en cuanto a su temática, día, horario, grupo de usuarios destinatarios, tipo de engaño, grado de personalización, etc.

De esta manera todas las simulaciones de QRishing van a tener algún sesgo de los mencionados arriba, pero cada una habrá sido sesgada por diferentes factores. En su conjunto, brindarán un resultado mucho más representativo de la realidad.

Esta forma de trabajar permite además obtener métricas valiosas sobre los usuarios, como los escenarios a los cuales son más sensibles o los horarios en los cuales son más propensos a caer en un engaño, por mencionar sólo algunas.

Como punto extra, los usuarios se encontrarán más atentos a los códigos QR maliciosos, debido a que estarán recibiendo simulaciones con una frecuencia suficiente como para desarrollar el hábito de pensar dos veces antes de realizar una acción dentro de su correo electrónico.

Quiero más información:

Artículos relacionados en nuestro blog

Por qué tus simulaciones no sirven para nada

¿Cuáles son las posibilidades de lanzar una simulación de Phishing y que salga bien a la primera?

Leer más

Foto de un ave pescando

Consejos para lanzar simulaciones Phishing

Conozca las mejores prácticas a tener en cuenta en la creación de campañas de simulación de Phishing.

Leer más

¿Sabes realmente lo que es una simulación de Phishing?

Información importante para no llevarse disgustos a la hora de simular Phishing en nuestras organizaciones.

Leer más