A Sophos, líder global em soluções de segurança inovadoras que vencem os ciberataques, divulga hoje os resultados da investigação da sua equipa Sophos X-Ops sobre um novo tipo de ameaça: o quishing.
Este novo vetor de ataque envolve a utilização de códigos QR fraudulentos, enviados por e-mail pelos cibercriminosos para contornar as medidas de segurança contra phishing implementadas pelas empresas.
Códigos QR fraudulentos
Estes códigos QR fraudulentos, incorporados em documentos PDF anexados a e-mails, geralmente assemelham-se a mensagens sobre salários, benefícios ou outras formas de documentação oficial que uma empresa possa enviar aos seus colaboradores. Uma vez que os códigos QR não são legíveis por computadores, o utilizador tem de digitalizar o código utilizando o seu telemóvel.
O código QR leva-o, então, a uma página de phishing, que a vítima pode não reconhecer como maliciosa, uma vez que os telemóveis estão normalmente menos protegidos do que os computadores. O objetivo dos atacantes é capturar as palavras-passe dos colaboradores e os seus tokens de autenticação multifator (MFA) para aceder ao sistema das empresas, contornando as medidas de segurança ativas.
“Investimos um tempo considerável a analisar todas as amostras de spam que tínhamos para encontrar exemplos de quishing,” comenta Andrew Brandt, Principal Researcher da Sophos X-Ops. “A nossa investigação revelou que os ataques com este vetor específico têm vindo a intensificar-se, tanto em volume como em sofisticação, especialmente no que diz respeito ao aspeto de credibilidade dos documentos PDF.”
Para além das táticas de engenharia social, da qualidade dos e-mails, dos anexos e dos gráficos dos códigos QR, estes ataques parecem estar a crescer também em termos de organização. Na verdade, alguns cibercriminosos disponibilizam agora ferramentas ‘as-a-service’ para executar campanhas de phishing através de códigos QR fraudulentos. Para além de funcionalidades como contornar os CAPTCHA ou gerar proxies de endereços IP para evitar a deteção automática de ameaças, estas organizações criminosas fornecem uma plataforma de phishing sofisticada, capaz de capturar as credenciais ou os tokens MFA dos seus alvos.
Para incentivar as organizações a protegerem melhor os seus sistemas contra este tipo de ataque, a Sophos X-Ops partilha algumas recomendações:
- Prestar atenção especial a e-mails internos sobre temas de RH, salários ou benefícios: A investigação da Sophos X-Ops descobriu que as táticas de manipulação exploram este tipo de temas para enganar os colaboradores e levá-los a digitalizar códigos QR fraudulentos a partir dos seus dispositivos móveis.
- Instalar o Sophos Intercept X for Mobile: Disponível para Android, iOS e Chrome OS, esta solução inclui um scanner de código QR seguro que ajuda a identificar sites de phishing conhecidos e alerta se o URL for considerado malicioso.
- Monitorizar os inícios de sessão arriscados: Através de ferramentas de gestão de identidade, as organizações podem detetar atividades de início de sessão invulgares.
- Ativar o acesso condicional: Esta funcionalidade ajuda a aplicar controlos de acesso com base na localização do utilizador, no estado do dispositivo e no risco.
- Avitar a monitorização eficaz dos acessos com logs sofisticados: Este tipo de monitorização avançada permite às empresas visualizar melhor todos os acessos ao sistema e detetar atempadamente este tipo de ameaças.
- Implementar filtragem de e-mail avançada: A solução de proteção contra quishing da Sophos deteta códigos QR fraudulentos incluídos diretamente nos e-mails. Há também planos para expandir a solução para códigos QR em anexos já no primeiro trimestre de 2025.
- Tirar partido da recuperação de e-mail ‘on-demand’: Os clientes do Sophos Central Email que utilizam o Microsoft 365 dispõem desta funcionalidade para eliminar e-mails de spam ou phishing dos e-mails corporativos.
- Incentivar os colaboradores a estarem vigilantes e a comunicarem incidentes: A comunicação imediata de anomalias à equipa de resposta a incidentes é essencial para proteger os sistemas da empresa contra o phishing.
- Eliminar sessões de utilizadores suspeitos: É imperativo ter um plano para revogar o acesso de utilizadores que mostrem sinais de estarem comprometidos.
Apesar do desenvolvimento contínuo de novos vetores de ataque, as organizações podem evitar o comprometimento dos seus sistemas equipando-se com as ferramentas certas, promovendo uma cultura e um ambiente de trabalho seguros – e rodeando-se de fornecedores fiáveis de cibersegurança, como a Sophos.
