Quishing 2.0: Hackers Usan QR y SharePoint en Nuevos Ataques

Los ciberataques están volviéndose cada vez más astutos, y ahora, el phishing ha dado un paso más allá. Quishing 2.0 es la nueva cara del engaño digital, donde los atacantes están usando códigos QR y plataformas como SharePoint para hacer que sus estafas parezcan más legítimas que nunca. Estos ataques ya no se limitan a simples correos electrónicos maliciosos; ahora aprovechan herramientas que usamos a diario en el trabajo, lo que hace que pasen desapercibidos fácilmente. Si no estás al tanto de esta nueva amenaza, es posible que ya estés en la mira sin saberlo. Aquí te contamos todo lo que necesitas saber para protegerte.

Recientemente, se ha detectado una nueva campaña de phishing por el equipo de investigación de seguridad de Perception Point, donde los atacantes han llevado el uso de códigos QR a un nivel completamente diferente. Este método, conocido como quishing, está evolucionando rápidamente, ya que los ciberdelincuentes ajustan sus tácticas para burlar las medidas de seguridad que escanean los correos electrónicos en busca de códigos QR maliciosos.

El quishing se ha convertido en uno de los vectores de ataque por correo electrónico que más rápido está creciendo. Al incluir códigos QR en sus campañas, los atacantes han añadido una capa extra de evasión que dificulta la detección para muchas soluciones de seguridad tradicionales. Pero ahora que varios proveedores de ciberseguridad han empezado a implementar escáneres especializados para identificar estas amenazas, los hackers han respondido con Quishing 2.0, una versión más sofisticada y aún más difícil de detectar.

Te podrá interesar leer:  Phishing Multietapa: Uso de QR, CAPTCHA y Esteganografía

Un Gran Avance para el Quishing: Nuevo Método de Evasión

Un nuevo y preocupante avance en el quishing ha salido a la luz, en esta campaña, los ciberdelincuentes aprovechan plataformas de confianza como SharePoint y servicios de escaneo de códigos QR en línea, combinándolos de tal manera que logran esquivar casi todas las soluciones de seguridad de correo electrónico actuales.

Para entender mejor lo sofisticados que son estos ataques de Quishing 2.0, es importante seguir el camino que recorren las víctimas y luego analizar cómo los atacantes han ajustado sus tácticas para evitar ser detectados. Las innovaciones en estos ataques muestran una clara evolución, haciendo que la protección frente a ellos sea más desafiante que nunca.

Recorrido del Quishing 2.0

1. Correo electrónico inicial: Todo empieza cuando la víctima recibe un correo que parece legítimo, enviado supuestamente por una empresa de confianza. En muchos casos, el atacante incluso falsifica el dominio del remitente para hacerlo pasar por un socio comercial conocido. El asunto del correo y el archivo PDF adjunto suelen referirse a algo cotidiano, como una orden de compra (OC), lo que hace que la víctima no sospeche.
   
   
2. El archivo PDF adjunto: Dentro del PDF, el destinatario se encuentra con un código QR prominente acompañado de instrucciones que indican que debe escanearlo para ver los detalles completos de la orden de compra. Para reforzar la credibilidad del mensaje, el documento también incluye la dirección física de la empresa suplantada.
   
   
3. Escaneo del código QR: Al escanear el código QR, la víctima es redirigida a me-qr.com, un servicio legítimo de escaneo de códigos QR. Aquí, se muestra un mensaje que indica que el código se escaneó correctamente, con un botón que dice "Omitir anuncio". Este paso añade una capa adicional de autenticidad, ya que utiliza un servicio confiable. Los atacantes usan este tipo de tácticas para mantener la confianza de la víctima durante el proceso.
   
   
4. Redirección a SharePoint: Después de hacer clic en "Omitir anuncio", la víctima es redirigida a una carpeta real de SharePoint, aparentemente asociada con la empresa que se suplantó en el correo inicial. Por la URL, se deduce que los atacantes crearon esta cuenta de SharePoint utilizando el dominio falsificado que ya habían usado para enviar el correo electrónico. Aquí es donde el ataque aprovecha la confianza en los servicios de Microsoft, lo que hace más difícil detectar la intención maliciosa.
   
   Dentro de la carpeta de SharePoint, el destinatario encuentra lo que parece ser un archivo con el nombre de la orden de compra, pero es un archivo .url, es decir, un enlace disfrazado de archivo. Además, el archivo fue cargado por un usuario que tiene el mismo nombre que el remitente del correo original, lo que hace que el ataque parezca aún más legítimo.
   
   
5. Archivo .url y página de phishing: Si la víctima hace clic en el archivo .url, será redirigida a la parte final y más peligrosa del ataque: una falsa página de inicio de sesión de Microsoft OneDrive. Esta página está diseñada para capturar las credenciales de Microsoft 365 de la víctima. Además, para que todo parezca más creíble, el fondo de la página muestra archivos de facturas escaneadas, simulando el entorno de una orden de compra.

Este es el recorrido completo de un ataque de Quishing 2.0, donde los ciberdelincuentes mezclan servicios legítimos como SharePoint y plataformas de escaneo de códigos QR para crear un engaño difícil de detectar.

Carpeta de SharePoint

Conoce más sobre:  ¿Cómo puede un SOC detectar y prevenir ataques cibernéticos?

¿Cómo Mitigar el Riesgo de Ataques de Quishing?

Afortunadamente, hay varias medidas que las organizaciones y los usuarios pueden tomar para protegerse de los ataques de quishing:

1. Educación y concienciación: La mejor defensa contra cualquier ciberataque es, sin duda, la educación. Los empleados deben estar capacitados constantemente sobre las amenazas más recientes, como el quishing. Es clave que sepan identificar los signos de correos electrónicos sospechosos, incluso si parecen provenir de plataformas de confianza como SharePoint. Cuanta más conciencia tengan los usuarios, menos probabilidades hay de que caigan en trampas.

2. Autenticación multifactorial (MFA): Implementar la autenticación multifactorial es una de las formas más efectivas de reducir los riesgos de ataques de phishing. Incluso si un atacante obtiene las credenciales de un usuario, la MFA proporciona una capa adicional de seguridad al requerir un segundo factor, como un código enviado a un dispositivo móvil.

3. Revisión de enlaces antes de hacer clic: Nunca está de más tomarse un segundo extra para revisar cualquier enlace antes de hacer clic. Pasar el cursor sobre el enlace permite previsualizar la dirección y, en muchos casos, ayuda a detectar si algo no está bien. Si el enlace redirige a un sitio inesperado, es mejor no abrirlo.

4. Herramientas de seguridad avanzadas: Es fundamental contar con soluciones de seguridad más sofisticadas que los simples filtros de correo electrónico. TecnetProtect, por ejemplo, ofrece una protección robusta contra amenazas como el quishing, utilizando la tecnología avanzada de Perception Point para analizar correos electrónicos, identificar comportamientos sospechosos y bloquear enlaces maliciosos antes de que lleguen a los usuarios. Además, TecnetProtect no solo cubre la seguridad del correo, sino que también ofrece soluciones de backup para mantener tus datos protegidos en todo momento.

Conoce más sobre:  Seguridad Avanzada en Microsoft 365 con TecnetProtect

Conclusión

El quishing es una táctica de ciberataque en rápida evolución que está utilizando plataformas confiables como SharePoint para engañar a las víctimas y comprometer sistemas. Comprender cómo funciona este tipo de ataque y qué medidas se pueden tomar para mitigar los riesgos es esencial para cualquier organización que busque proteger sus datos y a sus trabajadores. Con la implementación de buenas prácticas de ciberseguridad, el uso de autenticación multifactorial y herramientas como TecnetProtect, es posible defenderse eficazmente contra estos ataques sofisticados.