En lo que parece ser un método de ataque cada vez más popular, se han identificado dos grupos de amenazas que utilizan código qr Estafas de aparcamiento en el Reino Unido y en todo el mundo.
EL investigadores de netcraft Según los informes iniciales, uno de los grupos está activo en toda Europa, incluidos Francia, Alemania, Italia, Suiza y el Reino Unido. Según los informes iniciales, los actores de amenazas engañan a las víctimas desprevenidas para que escaneen códigos QR maliciosos e ingresen su información personal. Y el daño no termina ahí: en última instancia, debido a que los códigos QR son falsos, los usuarios no registran sus autos para estacionar, lo que significa que corren el riesgo de sufrir un doble golpe: un posible fraude financiero y una multa de estacionamiento.
La amenaza llamó la atención del público por primera vez en agosto, cuando la aseguradora de automóviles británica RAC Las autoridades emitieron una advertencia advirtiendo a los automovilistas que estén atentos y paguen únicamente con tarjeta, efectivo o mediante aplicaciones de estacionamiento oficiales ya instaladas en sus teléfonos. El número de víctimas potenciales aumenta a unas 10.000 en sólo dos meses, según el informe publicado hoy.
Las estafas están creciendo tanto que se están extendiendo más allá de Europa a Canadá y Estados Unidos, lo que llevó al FBI a emitir un número de alerta. I-011822-PSA“Los ciberdelincuentes falsifican códigos QR para robar los fondos de las víctimas” para llamar la atención sobre un problema que creen que sólo empeorará.
Sin zona de aparcamiento
En el Reino Unido, los investigadores comenzaron con una “ola de códigos QR maliciosos que aparecieron en el centro de la ciudad” de Londres. Los códigos QR falsos se imprimieron en pegatinas y se exhibieron en los parquímetros. Después de escanear el código QR, el usuario víctima fue redirigido a un sitio web de phishing que se hacía pasar por una aplicación legítima de pago de estacionamiento, PayByPhone.
Las estafas se extendieron por Gran Bretaña y alcanzaron su punto máximo entre junio y septiembre, cuando los actores de amenazas ganaron terreno entre los turistas, o quizás se dirigieron específicamente a ellos, en áreas como Blackpool, Brighton, Portsmouth, Southampton, Conwy y Aberdeen.
Con alrededor de 30 aplicaciones de estacionamiento actualmente en uso en todo el Reino Unido, es probable que estos delincuentes tengan éxito al aprovecharse de los turistas que necesitan acceso a estacionamiento público con opciones de pago fáciles y accesibles.
Y aunque la investigación actual se centra en el impacto de estos programas en el estacionamiento y en los turistas en particular, Robert Duncan, vicepresidente de estrategia de producto de Netcraft, señala a Dark Reading que las amenazas conllevan riesgos en el contexto comercial, destacando una ola de fraude en empresas. “Eliminación” de Microsoft 365 intenta explotar a los usuarios de la empresa que utilizaban sus propios dispositivos, excluyéndolos del perímetro de seguridad de la empresa y dejándolos expuestos a posibles amenazas.
¿Pagar con Quish?
Un grupo criminal que utiliza estos métodos se hace pasar específicamente por PayByPhone y sigue una serie de pasos para llevar a cabo su estafa.
Primero, el atacante “despliega recursos sobre el terreno” para preparar el ataque y colocar los códigos QR en las máquinas de pago del estacionamiento, dice Duncan. Luego, las víctimas escanean el código QR falso malicioso y, sin saberlo, son redirigidas a un sitio web de phishing. A continuación, la víctima sigue los pasos para introducir sus datos personales: el código del lugar de aparcamiento, los datos de su vehículo, la duración del aparcamiento y, por último, y lo más perjudicial, los datos de su tarjeta de pago.
Una vez que se complete esto, el sitio web mostrará una página de “procesamiento” para simular la experiencia del usuario legítimo. Luego se “acepta” el pago y el sitio web de phishing confirma la información ingresada antes de dirigir a la víctima al sitio web real de PayByPhone.
Según los investigadores, en algunos casos, el grupo de phishing envía a la víctima a una página de pago fallida y le solicita otro método de pago. Esto sólo agrava el problema al recopilar más información de las tarjetas y aumentar aún más los fondos que los delincuentes pueden robar.
Parece difícil escapar de las maquinaciones de los grupos criminales cuando se trata de una operación legítima. Pero los investigadores han descubierto que ciertos marcadores pueden ayudar a las víctimas potenciales a detectar una estafa. Por ejemplo, 32 nombres de dominio con la misma estafa tenían las siguientes características:
-
Registrado en NameSilo.
-
Utilice dominios de nivel superior (TLD) .info, .click, .live, .online y .site en lugar de .com o TLD comunes específicos de cada país.
-
Los sitios parecían estar protegidos por Cloudflare.
¿Cómo pueden las empresas evitar la trampa de Quish Hook?
A medida que este tipo de amenazas continúan creciendo y potencialmente podrían expandirse a nuevas industrias (como amenazas de asfixia (infiltrándose en restaurantes o tiendas minoristas), Duncan señala que no será fácil defenderse.
“Es bastante difícil para las empresas defenderse de códigos QR maliciosos colocados encima de códigos existentes”, explica. “También es más difícil proteger a los clientes que utilizan dispositivos móviles que no necesariamente tienen tantas medidas de seguridad integradas como los dispositivos de escritorio. En este caso, una plataforma de protección de marca en línea con una amplia base de inteligencia sobre amenazas basada en URL y soporte para códigos QR puede resultar útil. »
En última instancia, dice Duncan, no existe una solución infalible para prevenir estas amenazas porque “los códigos QR, ya sean falsos o legítimos, a menudo utilizan acortadores de URL, lo que los hace muy difíciles de distinguir”. En cambio, recomienda a los usuarios evitar escanear códigos QR y buscar aplicaciones de estacionamiento en las tiendas de aplicaciones oficiales.
“El riesgo de uso indebido de los códigos QR es alto”, añade. “A menudo se utiliza un dispositivo móvil, donde los controles pueden ser más débiles. Mira este espacio. »