Se ha detectado una nueva campaña de correos electrónicos fraudulentos de tipo phishing que destaca por el uso de códigos QR. El método detectado podría vulnerar las herramientas de seguridad, además de ser efectivo incluso utilizando un doble factor de autenticación.
Análisis
Los correos electrónicos identificados siguen una estructura común, aunque no se descartan variaciones en la misma.
En primer lugar, la víctima recibe un correo electrónico que incluye su nombre y el de la empresa. En el mensaje se incita a la víctima a escanear un código QR a través de su teléfono móvil. Para ello, los ciberdelincuentes pueden alegar que es necesaria una verificación de la identidad o de un doble factor de autenticación.
Esta campaña de correos fraudulentos es especialmente peligrosa, ya que los ciberdelincuentes utilizan cuentas de correo electrónico comprometidas para personalizar el nombre del remitente y los asuntos, en función de la organización y el correo electrónico del destinatario. Por ejemplo: « Scan requirement: [NOMBRE EMPRESA] Security Authentication for your account: [email_destinatario] ».
En los correos detectados el código QR fraudulento suele encontrarse directamente en el cuerpo del mensaje, aunque también se han detectado versiones en las que se incluye en un documento adjunto.
En caso de que la víctima escanee el código QR, será redirigido a una página web fraudulenta, muy parecida a la de inicio de sesión en los servicios de Microsoft de su organización. Además, a través del escaneo del código QR, los ciberdelincuentes consiguen que la dirección de la víctima pueda aparecer ya rellenada en el formulario.
En caso de que la víctima introduzca los datos, estos quedarían en manos de los ciberdelincuentes.
En algunos de los casos detectados, los destinatarios eran personal directivo o con grandes responsabilidades en la organización.
Recomendaciones
Si sospecha que un correo que ha recibido puede ser uno de estos correos, puede enviarlo a CSIRT-CV para su análisis mediante la función Phishing de este mismo portal.
Por otra parte, si cree que puede haber hecho click en el enlace y ejecutado el archivo descargado, analice su equipo con un antivirus actualizado. Además, compruebe sus movimientos bancarios para cancelar cualquier pago no autorizado, y cambie las credenciales de todas las cuentas que haya utilizado mientras el malware ha estado instalado.
Referencias
Informar de un Phishing – CSIRT-CV (gva.es)
https://www.incibe.es/empresas/avisos/nueva-campana-de-phishing-utilizando-codigos-qr