Os códigos QR, ou QR codes como também são chamados inclusive no Brasil, estão se tornando rapidamente a ferramenta favorita de hackers em ataques de phishing. Levantamento feito pela Hoxhunt revela que 22% dos ataques de phishing — ou “quishing” como vem sendo chamadas essas campanhas — nas primeiras semanas de outubro usaram códigos QR para entregar cargas maliciosas.
O estudo, publicado nesta quinta-feira, 19, e realizado com 38 organizações de nove indústrias em 125 países, observa que à medida que o código QR ganhou popularidade devido à sua conveniência e passou a ser utilizado desde em pagamentos móveis, controle de acesso até no compartilhamento de documentos, ele se tornou um recurso útil explorado por cibercriminosos para atacar também às organizações.
Para enfatizar o papel crítico do envolvimento dos funcionários na redução do risco, a empresa de cibersegurança realizou o Hoxhunt Challenge, um benchmark para verificar como as organizações se saíam em uma simulação de ataque de phishing criada por seus consultores de segurança cibernética.
O desafio categorizou as respostas dos funcionários em três grupos: sucesso, erro e clique/digitalização. Apenas 36% dos colaboradores identificaram e relataram com sucesso o ataque simulado, deixando a maioria das organizações vulnerável a ameaças de phishing. O setor de varejo foi i que registrou a maior taxa de risco, com apenas dois em cada dez funcionários engajados com o benchmark, enquanto as empresas de serviços jurídicos e empresariais superaram as demais na identificação e denúncia de códigos QR suspeitos.
“Os códigos QR, devido à sua conveniência, escondem facilmente o risco. Em um mundo onde nenhum e-mail, mensagem de texto ou site está protegido contra atividades cibercriminosas, era apenas uma questão de tempo até que os códigos QR se tornassem parte da equação”, escreveu no relatório Eliott Tallqvist, especialista em marketing de produtos da Hoxhunt.
De acordo com o Hoxhunt Challenge, a função de trabalho também afetou a suscetibilidade dos funcionários, com a equipe de comunicação sendo 1,6 vezes mais propensa a se envolver com um ataque de código QR. Em contrapartida, os funcionários com responsabilidades legais foram os mais vigilantes.
Veja isso
Cibercriminosos estão usando o reCAPTCHA para ataques de phishing
Hackers exploram códigos QR para roubar informações confidenciais
Funcionários engajados — definidos como aqueles que são apaixonados por seus trabalhos — tiveram uma taxa de risco de 40%, um contraste gritante com aqueles que não estão tão comprometidos em suas responsabilidades de trabalho e com a organização, cuja taxa de risco foi de 90%. Além disso, os funcionários que concluíram a integração e receberam pré-treinamento também demonstraram melhor vigilância na identificação de e-mails de phishing.
A principal conclusão do Hoxhunt Challenge é a importância da formação contínua em cibersegurança, enfatizando a necessidade de uma formação que inclua onboarding inicial e cursos regulares de atualização. A falha em fornecer esse treinamento aumenta a suscetibilidade a ameaças de segurança cibernética e coloca os dados organizacionais em risco. Para ter acesso ao relatório original do Hoxhunt Challenge , em inglês, clique aqui.
A exploração de códigos QR também é tratada em um post publicado no GitHub, que mostra em um esquema como se dá o ataque de quishing, bem como fornece recomendações e mitigações. Para ter acesso ao post, em inglês, clique aqui.