Alerta: Hackers usam códigos QR em ficheiros PDF para roubar credenciais

Alerta: Hackers usam códigos QR em ficheiros PDF para roubar credenciais
Alerta: Hackers usam códigos QR em ficheiros PDF para roubar credenciais. Foto: Rosa Pinto

O quishing é um novo vetor de ataque que envolve a utilização de códigos QR fraudulentos, enviados por e-mail pelos cibercriminosos para contornar as medidas de segurança contra phishing implementadas pelas empresas, alerta a empresa especializada em soluções de cibersegurança, Sophos.

Os códigos QR fraudulentos, incorporados em documentos PDF anexados a e-mails, assemelham-se a mensagens sobre vários itens de interesse como salários, benefícios ou outras documentação oficial, que uma empresa possa enviar aos seus colaboradores.

Quando os códigos QR não são legíveis por computadores, o utilizador tem de digitalizar o código utilizando o telemóvel. O código QR leva-o, então, a uma página de phishing, que a vítima pode não reconhecer como maliciosa, uma vez que os telemóveis estão normalmente menos protegidos do que os computadores. O objetivo dos atacantes é capturar as palavras-passe dos colaboradores e os seus tokens de autenticação multifator (MFA) para aceder ao sistema das empresas, contornando as medidas de segurança ativas.

“Investimos um tempo considerável a analisar todas as amostras de spam que tínhamos para encontrar exemplos de quishing,” comenta Andrew Brandt, Investigador Principal da Sophos X-Ops. “A nossa investigação revelou que os ataques com este vetor específico têm vindo a intensificar-se, tanto em volume como em sofisticação, especialmente no que diz respeito ao aspeto de credibilidade dos documentos PDF.”

Para além das táticas de engenharia social, da qualidade dos emails, dos anexos e dos gráficos dos códigos QR, estes ataques parecem estar a crescer também em termos de organização. Na verdade, alguns cibercriminosos disponibilizam agora ferramentas ‘as-a-service’ para executar campanhas de phishing através de códigos QR fraudulentos. Para além de funcionalidades como contornar os CAPTCHA ou gerar proxies de endereços IP para evitar a deteção automática de ameaças, estas organizações criminosas fornecem uma plataforma de phishing sofisticada, capaz de capturar as credenciais ou os tokens MFA dos seus alvos.

Para incentivar as organizações a protegerem melhor os seus sistemas contra este tipo de ataque, a Sophos X-Ops partilha algumas recomendações:

  • Prestar atenção especial a e-mails internos sobre temas de RH, salários ou benefícios: A investigação da Sophos X-Ops descobriu que as táticas de manipulação exploram este tipo de temas para enganar os colaboradores e levá-los a digitalizar códigos QR fraudulentos a partir dos seus dispositivos móveis.
  • Instalar o Sophos Intercept X for Mobile: Disponível para Android, iOS e Chrome OS, esta solução inclui um scanner de código QR seguro que ajuda a identificar sites de phishing conhecidos e alerta se o URL for considerado malicioso.
  • Monitorizar os inícios de sessão arriscados: Através de ferramentas de gestão de identidade, as organizações podem detetar atividades de início de sessão invulgares.
  • Ativar o acesso condicional: Esta funcionalidade ajuda a aplicar controlos de acesso com base na localização do utilizador, no estado do dispositivo e no risco.
  • Ativar a monitorização eficaz dos acessos com logs sofisticados: Este tipo de monitorização avançada permite às empresas visualizar melhor todos os acessos ao sistema e detetar atempadamente este tipo de ameaças.
  • Implementar filtragem de e-mail avançada: A solução de proteção contra quishing da Sophos deteta códigos QR fraudulentos incluídos diretamente nos e-mails. Há também planos para expandir a solução para códigos QR em anexos já no primeiro trimestre de 2025.
  • Tirar partido da recuperação de e-mail ‘on-demand’: Os clientes do Sophos Central Email que utilizam o Microsoft 365 dispõem desta funcionalidade para eliminar e-mails de spam ou phishing dos e-mails corporativos.
  • Incentivar os colaboradores a estarem vigilantes e a comunicarem incidentes: A comunicação imediata de anomalias à equipa de resposta a incidentes é essencial para proteger os sistemas da empresa contra o phishing.
  • Eliminar sessões de utilizadores suspeitos: É imperativo ter um plano para revogar o acesso de utilizadores que mostrem sinais de estarem comprometidos.

Apesar do desenvolvimento contínuo de novos vetores de ataque, as organizações podem evitar facilidades no comprometimento dos sistemas usando ferramentas avançadas de cibersegurança e promovendo uma cultura e um ambiente de trabalho seguros.