Grande organização de energia dos EUA alvo de ataque de phishing com código QR
17 de Agosto de 2023

Uma campanha de phishing foi observada predominantemente visando uma notável empresa de energia nos EUA, utilizando códigos QR para inserir e-mails maliciosos nas caixas de entrada e burlar a segurança.

Cerca de um terço (29%) dos 1.000 e-mails atribuídos a esta campanha visaram uma grande empresa de energia dos EUA, enquanto as tentativas restantes foram feitas contra empresas de manufatura (15%), seguro (9%), tecnologia (7%) e serviços financeiros (6%).

De acordo com a Cofense, que identificou esta campanha, esta é a primeira vez que códigos QR são usados ​​nesta escala, indicando que mais atores de phishing podem estar testando sua eficácia como um vetor de ataque.

A Cofense não divulgou o nome da empresa de energia visada nesta campanha, mas as categorizou como uma "grande" empresa sediada nos EUA.

A Cofense diz que o ataque começa com um e-mail de phishing que afirma que o destinatário deve tomar uma ação para atualizar suas configurações de conta do Microsoft 365.

Os e-mails carregam anexos PNG ou PDF com um código QR que o destinatário é solicitado a escanear para verificar sua conta.

Os e-mails também afirmam que o alvo deve concluir esta etapa em 2-3 dias para adicionar um senso de urgência.

Os atores de ameaças usam códigos QR incorporados em imagens para burlar as ferramentas de segurança de e-mail que escaneiam uma mensagem em busca de links maliciosos conhecidos, permitindo que as mensagens de phishing alcancem a caixa de entrada do alvo.

Para evadir a segurança, os códigos QR nesta campanha também usam redirecionamentos no Bing, Salesforce e nos serviços Web3 da Cloudflare para redirecionar os alvos a uma página de phishing do Microsoft 365.

Escondendo a URL de redirecionamento no código QR, abusando de serviços legítimos e usando a codificação base64 para o link de phishing ajudam a evadir a detecção e passar pelos filtros de proteção de e-mail.

Códigos QR foram utilizados em campanhas de phishing, embora em menor escala, no passado, incluindo uma na França e uma na Alemanha.

Golpistas também usaram códigos QR para enganar as pessoas a escaneá-los e redirecioná-los para websites maliciosos que tentam roubar seu dinheiro.

Em janeiro de 2022, o FBI alertou que os cibercriminosos usam cada vez mais códigos QR para roubar credenciais e informações financeiras.

Apesar de sua eficácia em burlar as proteções, os códigos QR ainda exigem que a vítima tome uma ação para ser comprometida, o que é um fator de mitigação decisivo que favorece o pessoal bem treinado.

Além disso, a maioria dos scanners de código QR em smartphones modernos pedirá ao usuário para verificar a URL de destino antes de lançar o navegador como uma etapa de proteção.

Além do treinamento, a Cofense também sugere que as organizações usem ferramentas de reconhecimento de imagem como parte de suas medidas de proteção contra phishing, embora estas não sejam garantidas para captar todas as ameaças de código QR.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...