Vés al contingut
Si us plau, espereu...
QRishing
28 Feb, 2023

QRishing: ves amb compte amb els codis QR fraudulents

Els ciberdelinqüents sempre van un pas per davant i proven diferents modalitats per a defraudar a les seues víctimes. Aquesta nova entrada de la sèrie «Protegeix-te contra el frau» et permetrà sospitar i actuar en cas que ocórrega.

Un codi QR (Quick Response) és un codi de barres evolucionat que, després de ser escanejat per un lector amb el nostre mòbil, ens permet accedir a la informació. Un enllaç a una web, una aplicació, entrades d'un concert en PDF, la carta d'un restaurant, bitllets de tren en pkpass, la clau d'una xarxa wifi, unes coordenades o una targeta de contacte.

Inventat al Japó en els anys 90, des de la pandèmia s'ha popularitzat enormement per a reduir el contacte amb suports físics en usos com el certificat de vacunació, el menú del restaurant o en el mobiliari urbà. Això no ha passat desapercebut per als ciberdelinqüents que poden «colar-nos» enllaços maliciosos. Quin modus operandi utilitzen? Vegem alguns exemples reals que han succeït en els últims mesos:

  • Multes de trànsit amb un QR que condueix a una web falsa per al pagament de la sanció, però realment és el ciberdelinqüent el que rep l'import.
  • Un tipus d'estafa coneguda com QR invers, realitzada a cambrers en pagar el compte. El presumpte delinqüent ensenya a la víctima un codi QR vinculat a la seua pròpia entitat bancària, quan en realitat es tracta d'una sol·licitud de diners. Així mateix, aconsegueix fer-se amb les seues dades personals i bancàries.
  • Combinat amb altres tècniques, com la instal·lació de malware o webs que suplanten pàgines reals (web spoofing) perquè facilites dades personals.
  • Col·locant adhesius damunt el codi QR real en un establiment comercial.

De la unió dels termes QR i phishing sorgeix el nom d'aquest frau, el QRishing, que consisteix en la manipulació de codis QR per a enganyar la víctima i que accedisca a enllaços o aplicacions malicioses i obtindre la seua informació privada.

Què puc fer per a detectar i previndre aquest tipus de frau? La prevenció es basa a tractar d'identificar la direcció a la qual ens remet el codi QR:

  • Encara que no és infal·lible, si la web comença per https vol dir que compleix amb un mínim de seguretat i protecció.
  • Extremar precaucions i comprovar que l'enllaç web o url no és sospitós, abans d'obrir-ho. Si és un enllaç acurtat millor «allargar-lo» abans per a verificar-lo o no obrir-lo.
  • Si accedim a una web que ens sol·licite dades, és preferible accedir nosaltres directament des de la url completa o des de la pròpia aplicació.
  • Com a amo d'una empresa comprova els QR que poses a la disposició dels teus clients per a comprovar que no han sigut falsejats.
  • Utilitzar aplicacions que permeten veure l'enllaç abans d'obrir-lo. En el cas de dispositius iOS es fa des de la pròpia cambra però has d'activar la funcionalitat. En Android disposes de l'app Google Lens que ja ve preinstal·lada o aplicacions dedicades que trobaràs en la Play Store.