Pasar al contenido principal

QRLjacking

Ataque de ingeniería social en el cual un atacante suplanta un código QR con el objetivo de robar información de un usuario que acceda al mismo.

Un código QR, también llamado código de respuesta rápida (Quick Response en inglés), consiste en una imagen que contiene una matriz de puntos que, al ser escaneada con un dispositivo móvil, nos redirige a un servicio de internet. Basada en esta tecnología, se desarrolló el SQRL, que permite la autenticación en un sitio web sin tener que especificar usuario o contraseña. El funcionamiento de este sistema consiste en mostrar un código QR en la pantalla de la página a la que ha accedido un usuario y tras escanearlo con su dispositivo móvil, la página inicia la sesión del usuario sin necesidad de introducir credenciales. Esta funcionalidad está implementada en multitud de servicios de comercio electrónico y aplicaciones de mensajería que son vulnerables a este tipo de ataques.

En el QRLJacking el atacante suplanta el SQRL de un servicio para engañar a la víctima a que escanee su código y le facilite sus credenciales de acceso. En este ataque, el delincuente tiene que actualizar los códigos frecuentemente para simular el uso habitual de la página y poder así servir el acceso legítimo al usuario cuando ha conseguido secuestrar sus credenciales.

Pongamos como ejemplo WhatsApp Web para explicar cómo funciona un ataque de QRLJacking. WhatsApp tiene la opción de poder trabajar en el navegador web de nuestro ordenador autenticándonos con un código SQRL. Un atacante podría aprovechar este uso para servirnos una falsa página de acceso que al escanear el código secuestrase la sesión en el equipo del delincuente y sirviese simultáneamente un código SQRL válido para la víctima que podría continuar su acceso sin percibir nada extraño en el proceso.

Para realizar estos tipos de suplantación, los atacantes suelen estar en la misma red que la víctima, aprovechándose del ataque denominado como hombre en el medio. Consiste en situarse entre el dispositivo del usuario y la salida hacia Internet para servir su página fraudulenta en lugar de la auténtica a la que quiere acceder el usuario. Al ser un ataque de ingeniería social, suelen utilizar otras técnicas como falsas promociones o alertas para que la víctima acceda al código SQRL facilitado.

Las formas para evitar este tipo de ataques son:

  • Revisar el formato de los servicios a los que accedemos. Comprobar el diseño de la página, la URL y el certificado de la página. Al ser una suplantación, el formato de una página malintencionada suele variar en alguno de estos apartados.
  • Comprobar la veracidad del sitio al que accedamos y desconfiar de posibles ofertas o solicitudes de configuración fuera de lo común en el servicio.
  • Evitar conectarse a redes públicas o inseguras. De este modo evitaremos situaciones favorables a un ataque de hombre en el medio.
  • Denegar el acceso automático a servicios web en la aplicación usada para escanear códigos QR para evitar posibles accesos no deseados.
  • Implementar controles de seguridad como un antivirus en nuestro dispositivo que nos ayude a detectar este tipo de ataques.

Compartir

Compartir en Linkedin