Com podem identificar el ‘Qrishing’, l’estafa amb QR que roba les nostres dades
L’estratègia de pesca de dades a través de codis maliciosos és cada cop més freqüent
L’estratègia de pesca de dades a través de codis maliciosos és cada cop més freqüent
Què s’ha dit?
Que s’estan produint robatoris d’informació a través de codis QR en notificacions de multes falses.
Què en sabem?
Que es tracta d’una estafa de la qual ja han advertit autoritats de l’Amèrica Llatina i d’Espanya des de fa temps.
Ens heu fet arribar a través del nostre número de WhatsApp (+34 666908353) la imatge d’una suposada multa per aparcar incorrectament que inclou un codi QR i ens demaneu de què es tracta. És una estafa que utilitza un QR per captar dades personals i que s’ha detectat a la província de Salta, a l’Argentina.
Aquesta mena de frau, anomenat Qrishing, s’està reproduint majoritàriament a l’Amèrica Llatina, on diferents autoritats ja han emès diferents alertes. Tot i que a Espanya el volant que ens heu fet arribar no s’ha detectat, sí que hi ha constància d’estafes similars a partir de codis QR. El modus operandi està enregistrat per l’Institut Nacional de Ciberseguretat i tant Mossos d’Esquadra com Policia Nacional en tenen constància. T’expliquem com funciona i com pots evitar caure en aquest frau!
La Policia Nacional compartia al seu compte de X (abans Twitter) alertes per fraus amb QR ja l’any 2021. A més, el 2022 va advertir a través del mateix canal d’una estafa que emprava aquesta metodologia i que simulava ser una multa de 100 euros per infracció emesa per la Policia Municipal de la Comunitat de Madrid. Aleshores van aclarir que cap butlletí de denúncia de les autoritats municipals incorporaven codis QR. Per la seva banda, l’Agència de Ciberseguretat de Catalunya també recull diferents consells per fer-hi front després d’haver detectat casos semblants.
Una sofisticació del phishing
Afegir un QR com a ham per robar-te les dades sofistica una pràctica similar ja existent que fa el mateix, però només a través d’un enllaç: el phishing. En aquest cas, els ciberdelinqüents envien a la víctima un correu amb un enllaç a través del qual li roben dades personals.
En canvi, el Qrishing inclou codis QR en documents on és habitual trobar-se’ls (menús de restaurants, cartes, documents, vehicles de mobilitat personal de lloguer…). Un cop la víctima ha escanejat el QR, es carrega un enllaç al motor de cerca del dispositiu mòbil de forma automàtica i, aleshores, els delinqüents poden usurpar credencials i altres informacions de caràcter sensible com ara dades bancàries.
Una altra possibilitat que permet aquesta estafa és la descàrrega automàtica d’un arxiu sense que la víctima se n’adoni després d’haver fet clic a l’enllaç vinculat al QR. En aquest cas, el dispositiu s’infectaria d’un malware o programa maliciós que permetria als ciberdelinqüents prendre el control de l’equip tot bloquejant o xifrant la informació de l’usuari per, a continuació, demanar diners a canvi d’alliberar els fitxers del dispositiu.
Com podem detectar i protegir-nos d’aquesta pràctica?
- Fixar-se si el codi QR és un adhesiu o està tapant un altre codi. És recomanable comparar els QR amb altres existents per trobar diferències sospitoses.
- L’aplicació d’escaneig que s’utilitza ha de tenir mesures de seguretat, com ara mostrar-te l’enllaç abans d’accedir-ho i advertir-te de possibles perills.
- Comprovar que l’adreça web a què s’accedeix comença per “HTTPS”, cosa que implica que el web té certificat de seguretat.
- Si després d’escanejar el QR, es descarrega un arxiu, cal desconfiar-hi. Especialment, si es tracta d’un arxiu executable (“.apk” o altres).
- Cal tenir el mòbil actualitzat per rebre els últims murs de seguretat disponibles, a més de poder implementar altres barreres com ara un programari antivirus.
En cas de ser víctima d’aquesta estafa, l’Agència de Ciberseguretat de Catalunya estableix pautes a seguir.