Qrishing. ¿Sabes en qué consiste esta nueva estafa?

Qrishing. ¿Sabes en qué consiste esta nueva estafa?

Los códigos QR se han convertido en algo cotidiano en nuestro día a día y más, tras la llegada de la pandemia.

Consultamos la carta de un restaurante mediante ellos, nuestro pasaporte Covid es uno de estos códigos, los escaneamos para acceder a una red wifi, para mostrar nuestra tarjeta de embarque, etc… Pues bien, los ciberdelincuentes, han descubierto el potencial de estos códigos para sustraer datos bancarios y de otra índole de sus víctimas de tres maneras diferentes:

1)      La víctima escanea el código y es redirigido a una web que suplanta la empresa original. A continuación, se le solicita información confidencial. Es de vital importancia que siempre se revise a que dirección nos manda el enlace antes de pinchar en ellos.

2)      Tras leer el código con nuestro dispositivo y llevarnos a una web “falsa” o “infectada”, se puede descargar automáticamente software malicioso y una vez infectado tu dispositivo, se pueden ir haciendo con tus datos, darse de alta en servicios premium sin que lo sepas, o utilizar tu móvil para realizar un ataque DDOS contra un sitio web legítimo.

3)      QRljacking o Secuestro de sesión. En este caso, se secuestra la cuenta de un servicio que acepte la función de inicio de sesión mediante código QR. Para ello basta con engañar a la víctima para que escanee un código falso que imita al original. Al escanearlo el atacante roba las credenciales de acceso a la sesión de la victima y accede a la información contenida en la cuenta.

En otras ocasiones, como ya ha pasado no hace mucho, no es necesario escanear un código ya que es la propia aplicación descargada para el escaneo de estos QR desde el Store, la que contiene el malware (Barcode Scanner).

¿Qué podemos hacer para evitarlo?

1.- Evita acceder a lugares web, enlaces y aplicaciones que no conozcas.

2.- Si tienes un establecimiento, revisa frecuentemente los códigos que utilizas para comprobar que no fueron suplantados o modificados y mantener, así, a tus clientes a salvo. Podrás también seleccionar un generador de códigos QR, o servicio que ofrezca garantías de seguridad en la generación de códigos, deshabilitando, además, la apertura automática de enlaces al escanear el código, ya que los usuarios podrán comprobar la dirección a la que enlaza el código.

3.- No publiques en redes sociales un código QR que facilite el acceso a servicios de transporte, ocio o áreas reservadas ya que puedes convertirte en víctima de un fraude.

4.- Revisa si las direcciones a donde nos llevan estos códigos están acortadas y sospecha de ello, ya que no suele ser muy normal que con los QR se acorten las mismas. Ante la duda, accede mediante tu navegador a la web oficial de la empresa.

5.- En carteles o cartas, asegúrate que no han sido modificados o manipuladas pegando un código encima del original.