Phishing a través de QR: claus per protegir els teus clients

Els codis QR no són una novetat. Tanmateix, no ha estat fins a la irrupció de la pandèmia de COVID-19 i l’eclosió de la Low Touch Economy que els hem començat a veure per tot arreu. Escanejar-los per accedir a informació sobre un producte o servei és cada vegada més habitual, una pràctica no exempta de riscos. Per això, els negocis han de passar a l’acció i protegir els seus clients contra atacs com el phishing a través de QR o Qrishing.

Qui més, qui menys, té al seu smartphone un escàner de codis QR. I aquesta és una oportunitat que els ciberdelinqüents no podien deixar escapar. Aquesta és la raó per la qual, en els últims temps, han començat a proliferar els coneguts com a atacs de phishing a través de QR o Qrishing.

Aquests atacs cerquen que l’usuari d’un codi QR proporcioni les seves credencials mitjançant l’escaneig d’un codi que pot estar present en una pàgina web, missatge o correu electrònic, però també a la taula d’un restaurant o un cartell a la paret d’un establiment. En escanejar-lo, es redirigeix l’usuari a una pàgina web que suplanta la de l’empresa, que li sol·licitarà informació confidencial.

Es tracta d’atacs que combinen tecnologia amb enginyeria social i que s’aprofiten de la relació de confiança entre clients i empreses per aconseguir informació valuosa. Aquesta és la raó per la qual les empreses que utilitzin codis QR per informar els seus clients sobre productes o serveis han de romandre alertes per protegir-los. Tanmateix, no és l’única.

Els atacs de tipus phishing no són els únics que poden posar en risc els usuaris d’un negoci que utilitzin codis QR. Com que aquests elements poden fer molt més que obrir una pàgina web, les possibilitats de frau són molt variades.

Els codis QR poden executar comandaments directament. Per exemple, afegir contactes a la llista de l’smartphone, fer trucades o afegir una xarxa Wi-Fi amb credencials per connectar-se automàticament.

Això facilita, entre altres qüestions, la descàrrega de codi maliciós en el dispositiu, la subscripció a serveis premium no sol·licitada i fins i tot unir el telèfon a una botnet per participar en un atac contra un lloc web legítim. També obre la possibilitat d’agregar un contacte a la llista del telèfon per guanyar credibilitat en una trucada per intentar estafar l’usuari, fer trucades de cobrament a destinació o fins i tot identificar la ubicació de l’usuari.

Els segrestos de sessió a través de QR, per part seva, es caracteritzen per la captura de les credencials d’un usuari quan intenta accedir a un servei d’inici de sessió mitjançant un d’aquests codis. Els ciberdelinqüents després podran utilitzar-les per accedir a la informació continguda en el compte.

Està clar que hi ha persones disposades a aprofitar-se de la popularitat dels codis QR per fer diferents estafes. Tanmateix, els negocis no estan indefensos davant aquests atacs.

De fet, l’Institut Nacional de Ciberseguretat (INCIBE) proposa una sèrie de bones pràctiques i recomanacions que les empreses poden posar en pràctica. Així podran continuar utilitzant aquests codis amb seguretat i, sobretot, garantir la dels seus clients.

Revisar sovint que els codis QR presents en un establiment o en els seus canals digitals no han estat canviats ni modificats per tercers pot estalviar molts disgustos.

Entre altres comprovacions, convé cerciorar-se que ningú ha col·locat un codi QR fals per damunt de l’original per iniciar un atac de phishing a través de QR. Això serveix tant per a anuncis físics —sobre els quals resulta fàcil posar adhesius— com per a bàners i altres elements digitals en webs i apps.

El link al qual dirigeix el codi QR també s’ha de revisar de manera periòdica. En aquest cas, s’ha de comprovar que el codi QR redirigeix efectivament a la pàgina que li hem indicat i que coincideix amb la que s’indica a la carta o l’anunci. També que la URL pertany a un lloc de confiança i que no apareix escurçada per tal de dificultar la seva comprovació per part del client.

Precisament per permetre a l’usuari que comprovi fàcilment si l’enllaç que obrirà és legítim, és important deshabilitar l’obertura automàtica d’enllaços en escanejar el codi QR. D’aquesta manera, el link només s’obrirà si el mateix usuari atorga el seu permís després d’examinar-lo.

A l’hora de generar els propis codis QR, convé confiar en serveis que ofereixin prou garanties de seguretat i que proporcionin un enllaç correcte allà on es vol dirigir l’usuari.

A vegades, alguns negocis utilitzen els codis QR per facilitar l’accés a determinats serveis. Poden ser de transport, d’oci o fins i tot a àrees reservades. En aquest cas, convé ser el més discrets possibles i no difondre’ls a xarxes socials per evitar fraus.