En este artículo hablaremos sobre la nueva campaña de phishing en la que se utilizan códigos QR.
Se ha detectado una nueva campaña de phishing que utiliza códigos QR y podría afectar a cualquier empresario, autónomo o empleado.
En qué consiste la campaña de phishing
Esta campaña de phishing se caracteriza por el uso de códigos QR. Este método podría vulnerar las herramientas de seguridad. Además, es efectivo aunque el usuario utilice un doble factor de autenticación.
Los correos electrónicos identificados de esta campaña tienen una estructura común, aunque podría haber otros con variaciones.
Cómo son los correos electrónicos fraudulentos
Los correos electrónicos fraudulentos incluyen el nombre del usuario al que van dirigidos y el de la empresa. En el mensaje, los ciberdelincuentes incitan a la víctima a escanear un código QR a través de su móvil.
Además, los estafadores pueden alegar que es necesaria una verificación de identidad o un doble factor de autenticación.
Esta campaña de phishing es muy peligrosa debido a que los ciberdelincuentes utilizan cuentas de correo electrónico comprometidas para personalizar el nombre del remitente y los asuntos, en función de la organización y el correo del destinatario.
Por ejemplo, un asunto detectado es el siguiente: “Scan requirement: [Empresa] Security Authentication for your account: [correo destinatario]”.
El código QR suele estar situado en el cuerpo del mensaje, aunque en algunos casos se encuentra en un archivo adjunto.
Si el usuario escanea el código QR, es redirigido a una página web maliciosa, similar a la de inicio de sesión en los servicios de Microsoft. Si introduce sus datos, se los estará entregando a los ciberdelincuentes.
En algunos casos, los destinatarios eran miembros del personal directivo o con grandes responsabilidades en la empresa.
Qué hacer si eres víctima del phishing
Si recibes un correo electrónico como el que hemos comentado anteriormente, debes eliminarlo de forma inmediata y comunicárselo a los demás empleados de la empresa, para que no haya más víctimas.
Se deben tomar medidas para proteger la empresa del phishing y lo primordial es la formación de los empleados.