Se ha detectado una campaña de phishing en la que se están utilizando imágenes QR para que el usuario acceda a enlaces maliciosos.
Detalle
Los correos detectados simulan una notificación de Microsoft en la que se pide al usuario «actualizar su información» desde el enlace del QR.
En realidad, lo que hace el enlace es registrar los usuarios que han entrado para obtener un listado de usuarios susceptibles a estos engaños. El enlace lleva un identificador único para cada usuario al que se envía el correo de phishing. Tras registrar al usuario como víctima potencial de futuras campañas, el enlace redirige al navegador Google o Bing, intentando resultar así menos sospechoso.
En este caso se trata de un ataque de ingeniería social para obtener estos listados de usuarios susceptibles, pero en campañas futuras el mismo método podría llevar a robo de credenciales, pagos a la entidad equivocada por suplantación, descarga de malware…
Muestra
Se ha anonimizado el usuario y el QR de un correo real para mostrarlo como ejemplo del formato que sigue actualmente esta campaña:
Recomendaciones
En caso de recibir un correo con un formato similar al de la imagen, se recomienda desconfiar por defecto y acceder sólo después de comprobar concienzudamente el correo o, si carece de conocimientos técnicos al respecto, contactar por otra vía con el personal de Microsoft para comprobar la legitimidad del correo.
Se recomienda revisar el dominio de cualquier enlace QR, especialmente uno que llegue a su correo. Si el dominio no se corresponde con la entidad esperada, desconfíe del enlace y acceda sólo si puede confirmar su legitimidad por otras vías.
Si la aplicación que utiliza para escanear códigos QR accede automáticamente a los enlaces de estos códigos, se recomienda desactivar esa opción o buscar una aplicación que permita visualizar el enlace antes de acceder al mismo.